Prosím o preventivní kontolu logu Vyřešeno

[Lynx.Lynx]

Dobré odpoledne, prosil bych o preventivní kontrolu logu z HJT. PC se chová normálně , akorát občas se rozchrochtá disk tak na půl minuty, ale ne jako vždycky, ale monotónně....


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:16:48, on 28.7.2011
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.atlas.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://msn.atlas.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1029,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://msn.atlas.cz
O14 - IERESET.INF: MS_START_PAGE_URL=http://msn.atlas.cz
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe

--
End of file - 3284 bytes

[Reklama]

[memphisto]

Vypni rezidentní štít antiviru a antispywaru
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštìní se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynù, bìhem aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by mìl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Lynx.Lynx]

Po restartu při naběhnutí toho programu se objevilo: creg.dat nelze importovat: při přístupu k registru došlo k chybě. A taky nenaběhl Spybot Teatimer.

ComboFix 11-07-28.01 - 854.022 28.07.2011 14:42:18.1.1 - FAT32x86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.256.115 [GMT 2:00]
Spuštěný z: c:\documents and settings\854.022\Plocha\ComboFix.exe
.
/wow section - STAGE 10
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\winnt\IsUn0405.exe
c:\winnt\system\WINSPOOL.DRV
.
.
.
c:\winnt\system32\msgsvc.dll . . . je infikován!!
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-06-28 do 2011-07-28 )))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2000-03-19 20752]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 111888]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-07-04 3493720]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2000-03-19 20752]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]
.
c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk.disabled [2011-7-23 708]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Matrox Powerdesk"=c:\winnt\System32\PDesk\PDesk.exe /Autolaunch
"NeroFilterCheck"=c:\winnt\system32\NeroCheck.exe
.
R1 aswSP;aswSP;c:\winnt\system32\drivers\aswSP.sys [23.7.2011 13:54 309848]
R2 aswMon;aswMon;c:\winnt\system32\drivers\aswmon.sys [23.7.2011 13:54 96344]
R3 ess;ESS Audio Driver (WDM);c:\winnt\system32\drivers\ess.sys [23.7.2011 12:54 64144]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://msn.atlas.cz
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
TCP: DhcpNameServer = 192.168.100.1
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Adobe Photoshop 7.0 CE - c:\winnt\ISUN0405.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-28 14:55
Windows 5.0.2195 Service Pack 4 FAT NTAPI
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(156)
c:\winnt\system32\MPR.DLL
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
- - - - - - - > 'lsass.exe'(220)
c:\winnt\system32\mpr.dll
.
- - - - - - - > 'explorer.exe'(736)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\MPR.dll
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\winnt\system32\Msi.dll
c:\program files\Common Files\Microsoft Shared\Web Components\10\1029\OWCI10.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\11\1029\OWCI11.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\winnt\System32\mgabg.exe
c:\winnt\system32\MSTask.exe
c:\winnt\System32\WBEM\WinMgmt.exe
c:\winnt\system32\internat.exe
c:\program files\AVAST Software\Avast\setup\avast.setup
.
**************************************************************************
.
Celkový čas: 2011-07-28 15:00:06 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-07-28 13:00
.
Před spuštěním: 7 073 972 224
Po spuštění: 7 048 142 848
.
- - End Of File - - FF3097DFBAEA9C4FC72DE792464A0B6C

[jaro3]

1) Odinstaluj Spybot

2) Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://msn.atlas.cz
O14 - IERESET.INF: MS_START_PAGE_URL=http://msn.atlas.cz

3) Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected. Poté klikni na Main (hlavní stránku ) a klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

4)
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

Restore::
c:\winnt\system32\msgsvc.dll

Mia::
c:\winnt\system32\msgsvc.dll

DDS::
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

5) Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

Pokud budou problémy , spusť v nouz. režimu.

[Lynx.Lynx]

1) provedeno (co mám nainstalovat místo Spybotu?)
2) provedeno
3) ATF nechtěl odstranit věci od Opery, i když nebyla spuštěná (ani proces), smazal jsem to CCleanerem
4) provedeno, log níže (ale při startu Combofixu to píše, že jeden soubor v system32 [teď nevím jaký, ale jiný než msgsvc.dll] je infikován. To je normální? Zobrazilo se to hned postartu modré obrazovky, ještě předtím než se zobrazí 1. dialogové okno)
5) provedeno, log níže

Log ComboFix

ComboFix 11-07-28.01 - 854.022 28.07.2011 21:25:34.2.1 - FAT32x86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.256.130 [GMT 2:00]
Spuštěný z: c:\documents and settings\854.022\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\854.022\Plocha\CFScript.txt
.
/wow section - STAGE 10
Systém nemůže najít soubor tempAA.
Nelze najít c:\combofix\tempAA
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
.
c:\winnt\system32\msgsvc.dll . . . je infikován!!
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-06-28 do 2011-07-28 )))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-28_12.55.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-24 14:49 . 2011-07-28 19:22 32768 c:\winnt\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-24 14:49 . 2011-07-28 12:39 32768 c:\winnt\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-24 14:49 . 2011-07-28 12:39 16384 c:\winnt\History\History.IE5\index.dat
+ 2011-07-24 14:49 . 2011-07-28 19:22 16384 c:\winnt\History\History.IE5\index.dat
+ 2011-07-24 14:49 . 2011-07-28 19:22 16384 c:\winnt\Cookies\index.dat
- 2011-07-24 14:49 . 2011-07-28 12:39 16384 c:\winnt\Cookies\index.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2000-03-19 20752]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 111888]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-07-04 3493720]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2000-03-19 20752]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Matrox Powerdesk"=c:\winnt\System32\PDesk\PDesk.exe /Autolaunch
"NeroFilterCheck"=c:\winnt\system32\NeroCheck.exe
.
R1 aswSP;aswSP;c:\winnt\system32\drivers\aswSP.sys [23.7.2011 13:54 309848]
R2 aswMon;aswMon;c:\winnt\system32\drivers\aswmon.sys [23.7.2011 13:54 96344]
R3 ess;ESS Audio Driver (WDM);c:\winnt\system32\drivers\ess.sys [23.7.2011 12:54 64144]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://msn.atlas.cz
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: %SystemRoot%\system32\msafd.dll
TCP: DhcpNameServer = 192.168.100.1
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-28 21:41
Windows 5.0.2195 Service Pack 4 FAT NTAPI
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(156)
c:\winnt\system32\MPR.DLL
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
- - - - - - - > 'lsass.exe'(220)
c:\winnt\system32\mpr.dll
.
- - - - - - - > 'explorer.exe'(1160)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\MPR.dll
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\winnt\system32\Msi.dll
c:\program files\Common Files\Microsoft Shared\Web Components\10\1029\OWCI10.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\11\1029\OWCI11.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\winnt\System32\mgabg.exe
c:\winnt\system32\MSTask.exe
c:\winnt\System32\WBEM\WinMgmt.exe
c:\winnt\system32\internat.exe
.
**************************************************************************
.
Celkový čas: 2011-07-28 21:46:12 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-07-28 19:46
ComboFix2.txt 2011-07-28 13:00
.
Před spuštěním: 7 163 781 120
Po spuštění: 7 161 643 008
.
- - End Of File - - BDB8882C76195C06EBFB425A30F870B9

Log HJT

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:09:04, on 28.7.2011
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\WINNT\system32\internat.exe
C:\WINNT\explorer.exe
C:\Program Files\Opera\opera.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.atlas.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: @msdxmLC.dll,-1@1029,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe

--
End of file - 2674 bytes

Log Malwarebytes

Malwarebytes' Anti-Malware
http://www.malwarebytes.org

Verze databáze:

Windows 5.0.2195 Service Pack 4
Internet Explorer 5.00.3700.1000

28.7.2011 21:53:17
mbam-log-2011-07-28 (21-53-17).txt

Typ: Rychlá kontrola
Kontrolované objekty: 101994
Uplynulý čas: 4 minut, 0 sekund

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 0
Infikované hodnoty v registru: 0
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
(Žádné škodlivé položky nebyly zjištěny)

[jaro3]

Stáhni si zde soubor msgsvc:
http://www.dlldump.com/zip/dllfiles/M/msgsvc.zip

Rozbal , vyjmi ho ze složky a vlož do C:\
Bude tedy zde:
C:\msgsvc.dll

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
FCopy::
C:\msgsvc.dll | c:\windows\system32\msgsvc.dll

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

[Lynx.Lynx]

Při spuštění ComboFixu to v modrém okně píše: "System file C:\Windows\system32\Drivers\VolSnap.sys is infected - attempting to restore!" V průběhu probíhání ComboFixu pak hláška "PEV.exe generoval chyby a bude systémem Windows uzavřen. Prbíhá generování protokolu chyb."

Log ComboFix
ComboFix 11-07-28.01 - 854.022 29.07.2011 9:39.3.1 - FAT32x86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.256.128 [GMT 2:00]
Spuštěný z: c:\documents and settings\854.022\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\854.022\Plocha\CFScript.txt
.
/wow section - STAGE 10
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
.
c:\winnt\system32\msgsvc.dll . . . je infikován!!
.
.
--------------- FCopy ---------------
.
c:\msgsvc.dll --> c:\windows\system32\msgsvc.dll
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-06-28 do 2011-07-29 )))))))))))))))))))))))))))))))
.
.
2011-07-29 07:39 . 2011-07-29 07:39 -------- d-----w- C:\windows
2011-07-28 20:45 . 2011-07-28 20:45 33792 ------w- C:\msgsvc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-28_12.55.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-24 14:49 . 2011-07-28 19:22 32768 c:\winnt\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-24 14:49 . 2011-07-28 12:39 32768 c:\winnt\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-24 14:49 . 2011-07-28 12:39 16384 c:\winnt\History\History.IE5\index.dat
+ 2011-07-24 14:49 . 2011-07-28 19:22 16384 c:\winnt\History\History.IE5\index.dat
+ 2011-07-24 14:49 . 2011-07-28 19:22 16384 c:\winnt\Cookies\index.dat
- 2011-07-24 14:49 . 2011-07-28 12:39 16384 c:\winnt\Cookies\index.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2000-03-19 20752]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 111888]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-07-04 3493720]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2000-03-19 20752]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Matrox Powerdesk"=c:\winnt\System32\PDesk\PDesk.exe /Autolaunch
"NeroFilterCheck"=c:\winnt\system32\NeroCheck.exe
.
R1 aswSP;aswSP;c:\winnt\system32\drivers\aswSP.sys [23.7.2011 13:54 309848]
R2 aswMon;aswMon;c:\winnt\system32\drivers\aswmon.sys [23.7.2011 13:54 96344]
R3 ess;ESS Audio Driver (WDM);c:\winnt\system32\drivers\ess.sys [23.7.2011 12:54 64144]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://msn.atlas.cz
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: %SystemRoot%\system32\msafd.dll
TCP: DhcpNameServer = 192.168.100.1
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-29 09:50
Windows 5.0.2195 Service Pack 4 FAT NTAPI
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(156)
c:\winnt\system32\MPR.DLL
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
- - - - - - - > 'lsass.exe'(220)
c:\winnt\system32\mpr.dll
.
- - - - - - - > 'explorer.exe'(1280)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\MPR.dll
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\winnt\system32\Msi.dll
c:\program files\Common Files\Microsoft Shared\Web Components\10\1029\OWCI10.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\11\1029\OWCI11.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\winnt\System32\mgabg.exe
c:\winnt\system32\MSTask.exe
c:\winnt\System32\WBEM\WinMgmt.exe
c:\winnt\system32\internat.exe
.
**************************************************************************
.
Celkový čas: 2011-07-29 09:54:19 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-07-29 07:54
ComboFix2.txt 2011-07-28 19:46
ComboFix3.txt 2011-07-28 13:00
.
Před spuštěním: 7 141 679 104
Po spuštění: 7 140 401 152
.
- - End Of File - - 3EDC2E3702A4C50B2638D1AC6B310FAF

Log HJT

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:56:19, on 29.7.2011
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\WINNT\system32\internat.exe
C:\WINNT\explorer.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.atlas.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: @msdxmLC.dll,-1@1029,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe

--
End of file - 2639 bytes

[jaro3]

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
c:\winnt\system32\msgsvc.dll
C:\Windows\system32\Drivers\VolSnap.sys

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/40 , nebo 1/40. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

[Lynx.Lynx]

Nevěděl jsem, jak zobrazit skryté soubory, protože tam zmizely popisky:

Jinak, jak tak pozoruji, tak jsme asi špatně nakopírovali ten msgsvc.dll. Originál je totiž ve složce C:\WinNT\system32 a my ho nakopírovali ComboFixem do C:\Windows\system32, kde tvoří jedinou složku s jediným souborem.

Soubor Volsnap.sys nemůžu nikde najít, ve složce C:\WinNT\system32\Drivers není. Je možné, že jsem taky u popisu toho souboru zaměnil WinNT za Windows, ale není ani tam, ani tam.

Virustotal:

http://www.virustotal.com/file-scan/rep ... 1311938010

Viděl bych to na přeinstalaci OS. Pakliže se do toho mám pustit, co mám používat na kontrolu, zda není PC nakažen? Mám Avast 6 a MalwareBytes AntiMalware (+ čistič CCleaner). Ještě jsem měl Spybot, ale dal jsem ho pryč.

[jaro3]

spybot je dnes zbytečný , stačí co máš , 100% není žádný antivir...

Bohužel windows 2000 neznám..

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
FCopy::
C:\msgsvc.dll | c:\winnt\system32\msgsvc.dll

File::
c:\windows\system32\msgsvc.dll

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

[Lynx.Lynx]

ComboFix

ComboFix 11-07-28.01 - 854.022 29.07.2011 15:19:40.4.1 - FAT32x86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.256.47 [GMT 2:00]
Spuštěný z: c:\documents and settings\854.022\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\854.022\Plocha\CFScript.txt
.
FILE ::
"c:\windows\system32\msgsvc.dll"
.
/wow section - STAGE 10
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
.
c:\winnt\system32\msgsvc.dll . . . je infikován!!
.
.
--------------- FCopy ---------------
.
c:\msgsvc.dll --> c:\winnt\system32\msgsvc.dll
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-06-28 do 2011-07-29 )))))))))))))))))))))))))))))))
.
.
2011-07-29 07:39 . 2011-07-29 07:39 -------- d-----w- C:\windows
2011-07-28 20:45 . 2011-07-28 20:45 33792 ------w- C:\msgsvc.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-28_12.55.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-24 14:49 . 2011-07-28 19:22 32768 c:\winnt\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-24 14:49 . 2011-07-28 12:39 32768 c:\winnt\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-24 14:49 . 2011-07-28 12:39 16384 c:\winnt\History\History.IE5\index.dat
+ 2011-07-24 14:49 . 2011-07-28 19:22 16384 c:\winnt\History\History.IE5\index.dat
+ 2011-07-24 14:49 . 2011-07-28 19:22 16384 c:\winnt\Cookies\index.dat
- 2011-07-24 14:49 . 2011-07-28 12:39 16384 c:\winnt\Cookies\index.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2000-03-19 20752]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 111888]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-07-04 3493720]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2000-03-19 20752]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Matrox Powerdesk"=c:\winnt\System32\PDesk\PDesk.exe /Autolaunch
"NeroFilterCheck"=c:\winnt\system32\NeroCheck.exe
.
R1 aswSP;aswSP;c:\winnt\system32\drivers\aswSP.sys [23.7.2011 13:54 309848]
R2 aswMon;aswMon;c:\winnt\system32\drivers\aswmon.sys [23.7.2011 13:54 96344]
R3 ess;ESS Audio Driver (WDM);c:\winnt\system32\drivers\ess.sys [23.7.2011 12:54 64144]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://msn.atlas.cz
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: %SystemRoot%\system32\msafd.dll
TCP: DhcpNameServer = 192.168.100.1
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-29 15:35
Windows 5.0.2195 Service Pack 4 FAT NTAPI
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(156)
c:\winnt\system32\MPR.DLL
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
- - - - - - - > 'lsass.exe'(220)
c:\winnt\system32\mpr.dll
.
- - - - - - - > 'explorer.exe'(636)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\MPR.dll
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\winnt\system32\Msi.dll
c:\program files\Common Files\Microsoft Shared\Web Components\10\1029\OWCI10.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\11\1029\OWCI11.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\winnt\System32\mgabg.exe
c:\winnt\system32\MSTask.exe
c:\winnt\System32\WBEM\WinMgmt.exe
c:\winnt\system32\internat.exe
.
**************************************************************************
.
Celkový čas: 2011-07-29 15:38:51 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-07-29 13:38
ComboFix2.txt 2011-07-29 07:54
ComboFix3.txt 2011-07-28 19:46
ComboFix4.txt 2011-07-28 13:00
.
Před spuštěním: 7 074 529 280
Po spuštění: 7 126 884 352
.
- - End Of File - - 52578C5C4BE95AB0EF68375AC6F2B58F


HJT

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:40:12, on 29.7.2011
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\WINNT\system32\internat.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\notepad.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.atlas.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: @msdxmLC.dll,-1@1029,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe

--
End of file - 2671 bytes

[jaro3]

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
c:\winnt\system32\msgsvc.dll

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/40 , nebo 1/40. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

Stáhni si CrystalDiskInfo
Spusť program a klikni na Úpravy-Kopírovat. Poté sem vlož pomocí Ctrl+V obsah logu.

Zkus udělat defragmentaci disku.