HJT log; padají programy, hry Vyřešeno

[Žbeky]

Jak se momentálně chová počítač?

Toto otestuj na Virustotal
c:\windows\system32\userinit.exe
c:\windows\system32\mshtml.dll
c:\windows\ehome\CreateDisc\SBEServer.exe
c:\windows\System32\Utilman.exe

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/40 , nebo 1/40. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

[Reklama]

[Rejtharik]

Omlovám se, že jsem neodepsal včera, teď jsem dojel z Brna, o víte muzejní noc mě přitáhla do technického muzea

Právě to mě dokopalo k tomu konečně udělat ten Combo FIx, protože Mozillu Firefox jsme někdy vůbec nezapl, hned po dvojkliku na ikonu mi vyskočilo to okno s odeláním zprávy o pádu společnosti Mozzilla.

[Žbeky]

To je všechno pěkné, ale jak se to chová teď? A dej sem ty výsledky z VT

[Rejtharik]

O výsledky se snažím od tý doby co jsem tady, pořád je tam napsaný Current status: queued, Teď se chová tak, že mám otevřenou mozzillu a v ní 4 záložky 3 z toho virus total a ze 4. Vám píšu nebo co bys chtěl slyšet ?

[Žbeky]

To, že sis všiml VT a děláš ho Ať tu nečekáme věčnost - já na VT a ty na radu.

[Rejtharik]

já čekám taky na VT mám to zkusit reupnout a spustit znova ten test ?

// EDIT: Teď zrovna mi padl VLC s hláškou program přestal pracovat doufám že je to dost aktuální

[Žbeky]

Nevím jestli si neděláš o CF mylné představy. CF je hlavně čistící a odvirovávací nástroj. Mnohdy odstraní přičiny padání různých rpogramů, není to ale pravidlem a ani jeho hlavní účel. Takže to, že ti spadne program je mi vcelku k ničemu, konkrétní programy spravovat neumím.

VT zkus znova a třeba v IE

[Rejtharik]

Rozdíl mezi FF a IE je nulový viz. obrázek

// EDIT 1: Pořád nemůžu udělat ten log z VT , pořád je tam queued jak jsem posílal ten obrázek, ať už FF nebo IE.
// EDIT 2: ŘÍkám si že bych vám mohl poslat taky nejaké minidumpy, jestli by to nepomohlo

[Žbeky]

Zkus to ještě jinou cestou - stáhni si a nabootuj liveCD linuxu a otestuj to z tama. Je možné, že to je opravdu zavšivené a brání se to kontrole

[Rejtharik]

Ha, viry se lekly a utekly , opravdu si z Vás nedělám srandu, včera to nešlo dnes jde

http://www.virustotal.com/file-scan/rep ... 1305647980
http://www.virustotal.com/file-scan/rep ... 1305648502
http://www.virustotal.com/file-scan/rep ... 1305648289
http://www.virustotal.com/file-scan/rep ... 1305648462

[Žbeky]

Sláva

Používáš Garenu? Jestli ne tak ji odinstaluj.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"=-
"ConsentPromptBehaviorUser"=-
"EnableLUA"=-
"EnableUIADesktopToggle"=-
"PromptOnSecureDesktop"=-

File::
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu

[Rejtharik]

Log z CF :
ComboFix 11-05-13.02 - Martin 17.05.2011 19:20:07.3.1 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1250.420.1029.18.1984.1416 [GMT 2:00]
Spuštěný z: c:\users\Martin\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\Martin\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Outdated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Outdated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
E:\Autorun.inf
.
c:\windows\ehome\CreateDisc\SBEServer.exe . . . je infikován!! . . .Failed to restore. Attempting to replace on reboot
.
Nakažená kopie c:\windows\System32\certutil.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\combofix\HarddiskVolumeShadowCopy1_!Windows!System32!certutil.exe
.
Nakažená kopie c:\windows\System32\xpsrchvw.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\combofix\HarddiskVolumeShadowCopy1_!Windows!System32!xpsrchvw.exe
.
Nakažená kopie c:\windows\ehome\CreateDisc\SBEServer.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\winsxs\x86_microsoft-windows-sonic-sbeserver_31bf3856ad364e35_6.1.7600.16385_none_1ce85d64ba8de34d\SBEServer.exe
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-04-17 do 2011-05-17 )))))))))))))))))))))))))))))))
.
.
2011-05-17 17:33 . 2011-05-17 17:33 0 ---ha-w- c:\users\Martin\AppData\Local\BIT127A.tmp
2011-05-17 17:32 . 2011-05-17 17:33 -------- d-----w- c:\users\Martin\AppData\Local\temp
2011-05-17 17:32 . 2011-05-17 17:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-05-17 16:45 . 2011-05-17 16:45 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-16 17:50 . 2011-05-16 17:51 -------- d-----w- c:\programdata\Skype Extras
2011-05-16 17:50 . 2011-05-16 17:50 -------- d-----w- c:\program files\Common Files\Skype
2011-05-15 13:52 . 2011-04-18 07:15 7071056 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{BDF267E5-3FFD-4A50-AB72-44931F0F8DE1}\mpengine.dll
2011-05-13 18:46 . 2011-05-13 18:46 -------- d-----w- c:\program files\Celestia
2011-05-12 18:34 . 2011-05-12 18:34 -------- d-----w- c:\windows\Sun
2011-05-10 18:20 . 2011-05-10 18:20 -------- d-----w- c:\program files\Common Files\Java
2011-05-10 18:19 . 2011-05-10 18:19 472808 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
2011-05-10 18:19 . 2011-05-10 18:19 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-05-10 18:19 . 2011-05-10 18:19 -------- d-----w- c:\program files\Java
2011-05-08 08:44 . 2011-05-08 09:14 -------- d-----w- c:\program files\2K Games
2011-05-04 19:06 . 2011-05-04 19:06 -------- d-----w- c:\program files\XviD
2011-05-04 19:03 . 2011-05-04 19:14 -------- d-----w- c:\program files\Growler Guncam
2011-05-04 19:02 . 2011-05-04 19:03 -------- d-----w- c:\program files\Common Files\GC Install
2011-05-03 13:40 . 2007-03-01 00:54 109248 ----a-w- c:\windows\system32\MSWINSCK.OCX
2011-05-03 13:35 . 2011-05-17 12:55 -------- d-----w- c:\program files\DaemonicMU Season IV
2011-04-30 14:29 . 2011-04-30 14:30 -------- d-----w- c:\program files\OpenTTD
2011-04-23 06:48 . 2011-04-23 06:48 -------- d-----w- c:\users\Martin\AppData\Roaming\RedEyePilot
2011-04-22 16:54 . 2011-04-22 16:54 -------- d-----w- c:\users\Martin\AppData\Roaming\URSE Games
2011-04-22 07:17 . 2011-05-13 16:44 -------- d-----w- c:\program files\Ledova kralovna 3 - Vrani carodejka
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-30 18:07 . 2011-02-15 17:10 234768 ----a-w- c:\windows\system32\PnkBstrB.xtr
2011-04-30 18:07 . 2011-01-28 09:45 234768 ----a-w- c:\windows\system32\PnkBstrB.exe
2011-04-30 13:53 . 2011-01-28 09:46 138264 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-04-20 14:47 . 2011-01-28 09:46 138056 ----a-w- c:\users\Martin\AppData\Roaming\PnkBstrK.sys
2011-04-20 14:47 . 2011-01-28 09:45 75136 ----a-w- c:\windows\system32\PnkBstrA.exe
2011-04-08 11:28 . 2011-04-08 11:28 41872 ----a-w- c:\windows\system32\xfcodec.dll
2011-03-15 13:14 . 2011-03-15 13:09 2829 ----a-w- c:\windows\War3Unin.pif
2011-03-15 13:14 . 2011-03-15 13:09 139264 ----a-w- c:\windows\War3Unin.exe
2011-02-24 13:05 . 2011-02-24 13:05 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2011-02-24 13:05 . 2011-02-24 13:05 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2011-02-23 15:04 . 2011-01-09 18:16 40648 ----a-w- c:\windows\avastSS.scr
2011-02-23 15:04 . 2011-01-09 18:16 190016 ----a-w- c:\windows\system32\aswBoot.exe
2011-02-23 14:56 . 2011-02-24 15:47 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-02-23 14:56 . 2011-01-09 18:16 301528 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-02-23 14:55 . 2011-01-09 18:16 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-02-23 14:55 . 2011-01-09 18:16 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-02-23 14:55 . 2011-01-09 18:16 53592 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-02-23 14:54 . 2011-01-09 18:16 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-02-21 14:26 . 2011-02-21 14:26 388096 ----a-r- c:\users\Martin\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-05-01 17:04 . 2005-12-31 14:08 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
.
[-] 2009-07-14 . 8626F0C30D4E3564FFDD25C90F4426F1 . 811520 . . [6.1.7600.16385] . . c:\windows\System32\user32.dll
[7] 2009-07-14 . 34B7E222E81FAFA885F0C5F2CFA56861 . 811520 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-01-05 1305408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"SoundMan"="SOUNDMAN.EXE" [2009-03-10 604704]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"avast"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-02-23 3451496]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-11-10 11:49 932288 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-11-10 11:49 35736 ----a-w- c:\program files\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 02:44 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-02-22 03:57 406992 ----a-w- c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-01-05 09:09 1305408 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
.
R2 AODService;AODService;c:\program files\AMD\OverDrive\AODAssist.exe [2010-04-23 136616]
R2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-01-10 136176]
R3 GGSAFERDriver;GGSAFER Driver;c:\program files\Garena\safedrv.sys [x]
R3 gupdatem;Služba Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-01-10 136176]
R3 NetHook_ControlCenter;ArtOfPing ControlCenter;c:\program files\AutoTunnel GG\ControlCenter.sys [x]
R3 NetHook_Interceptor;ArtOfPing TDI Interceptor;c:\program files\AutoTunnel GG\Interceptor.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-01-10 218176]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-02-23 53592]
S2 cpuz133;cpuz133;c:\windows\system32\drivers\cpuz133_x32.sys [2010-05-11 20072]
S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2011-01-27 2253688]
.
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {90DB1A98-7E0C-4DF8-B97E-D851EA3E556E} = 62.240.187.250,10.0.0.1
FF - ProfilePath - c:\users\Martin\AppData\Roaming\Mozilla\Firefox\Profiles\0ujgpmbg.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedie (cs)
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-872976068-2092966973-4185235829-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:94,9e,e3,9f,77,2e,40,e3,b0,6d,c2,46,e8,6d,0c,c4,dd,2c,1e,ea,84,ec,7f,
32,aa,f0,b0,c6,34,d9,5d,3f,2b,c5,8d,0c,f2,32,3e,fc,aa,3a,73,1d,73,e6,4b,13,\
"??"=hex:d6,ff,49,4e,02,4a,38,47,02,cf,5d,fd,b2,87,1b,54
.
Celkový čas: 2011-05-17 19:39:31 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-05-17 17:39
ComboFix2.txt 2011-05-14 09:08
.
Před spuštěním: 8 995 319 808
Po spuštění: 8 966 930 432
.
- - End Of File - - 32CA32B07959CF6C65DF397E84B3B8E6

//EDIT : Po ukončení CF jsem Vám chtěl poslat LOG, ale po kliknutí na mozzillu vyskočila hláška že odkazuje na neplatný registr a bylo po srandě, zkusil jsem IE a taky to samé, pak jsem chtěl zapnout Správce úloh a PC zamrzl úplně po restartu jsem zapl alespoň IE páč FF zase nejde, tentokrát se ani nezapne ani nevyskočí chybová hláška, vypadá to čím dál húř, asi re-instaluju Widle a bude klid, Vám usnadním práci a sobě trápení , nebo myslíte že to zachráníme ?