Prosím o kontrolu HJT logu; už podruhé mi spadl Avast Vyřešeno

[Myloš]

Takže konečně ten c:\windows\system32\sfcfiles.dll z Virustotalu
Ten je úplně OK:

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: sfcfiles.dll
Submission date: 2011-09-02 21:59:19 (UTC)
Current status: queued (#2) queued (#2) analysing finished

Result: 0/ 44 (0.0%)

---

---

Dále:
C:\asdsdasdasdsadsad.zip znám, mám ho na svědomí.

---

---

Výpis dir \srsvc.dll /a h /s > File.txt nic nenašel:

Svazek v jednotce C je RAID System.
Sériové číslo svazku je 9CFF-9A6B.

---

---

Výpis dir \regsvc.dll /a h /s > File.txt taktéž nic:

Svazek v jednotce C je RAID System.
Sériové číslo svazku je 9CFF-9A6B.

---

---

Das ist Alleš

[Reklama]

[Myloš]

Ještě bych dodal, že po těchto akcích sice Avast běží, ale nemá v systrayi ikonu. Proč? A jak ji obnovím?

[jaojao]

Mám dojem, že jsem se s tím taky potýkal, přes - vlastnosti hlavního panelu - vlastní ....

a pomohl tuším až reinstal ...(možná stačí jen oprava přes odebrat)

[fredik]

Ohledně té zmínky, když ho chceš sám vypnout. Jedná se o sebeobranný mechanizmus, který má sloužit jako ochrana před ukončením nějakým malwarem.

Zkus ještě znovu udělat ty dva skripty, ale s tím rozdílem, že tam teď vlož toto:

Kód: Vybrat vše

Dir /S/A-D "%Systemdrive%\srsvc.dll" >> File.txt

Kód: Vybrat vše

Dir /S/A-D "%Systemdrive%\regsvc.dll" >> File.txt

a vlož je sem.

Zkus se podívat, jestli máš v Avastu zapnuté zobrazení ikony v system tray.
Nastavení => Základní a tam u vzhledu by jsi měl mít zaškrtnutou volbu Zobrazovat ikonu programu avast! v systémové liště.

[Myloš]

Ani následující hledání nebylo úspěšné.

Svazek v jednotce C je RAID System.
Sériové číslo svazku je 9CFF-9A6B.

Svazek v jednotce C je RAID System.
Sériové číslo svazku je 9CFF-9A6B.

Pokud jde o ten Avast, Zobrazovat ikonu bylo zaškrtnuté. Tak jsem to odškrtnul, potvrdil, znovu zaškrtnul a znovu potvrdil. Uvidím, co to udělá po restartu, teď mám nějakou práci a restart se mi nehodí.

[jaro3]

Stáhni si zde soubory s názvem files:
http://www.edisk.cz/stahni/99441/files.rar_70.56KB.html
rozbal , otevři složku a ty dva soubory vlož do C:\
Takže budou zde:
C:\srsvc.dll
C:\regsvc.dll

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
FCOPY::
C:\srsvc.dll | c:\windows\system32\dllcache\srsvc.dll
C:\srsvc.dll | c:\windows\System32\srsvc.dll
C:\regsvc.dll | C:\WINDOWS\system32\dllcache\regsvc.dll
C:\regsvc.dll | C:\WINDOWS\system32\regsvc.dll


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

[Myloš]

Tu je log. Mimochodem opětovně mi Combofix zrušil asociaci JPG a nastavil jako výchozí jiný prohlížeč.

ComboFix 11-09-03.01 - Administrator 04.09.2011 12:33:03.3.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2047.1443 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Vytvořen nový Bod Obnovení
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\srsvc.dll . . . je infikován!!
.
.
--------------- FCopy ---------------
.
c:\regsvc.dll --> c:\WINDOWS\system32\dllcache\regsvc.dll
c:\regsvc.dll --> c:\WINDOWS\system32\regsvc.dll
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-08-04 do 2011-09-04 )))))))))))))))))))))))))))))))
.
.
2011-09-04 10:28 . 2011-02-12 09:06 99840 ----a-w- C:\srvsvc.dll
2011-09-04 10:28 . 2008-04-14 05:51 59904 ------w- C:\regsvc.dll
2011-09-04 10:28 . 2008-04-14 05:51 59904 ----a-w- c:\windows\system32\regsvc.dll
2011-09-04 10:27 . 2008-04-14 05:51 59904 -c--a-w- c:\windows\system32\dllcache\regsvc.dll
2011-09-01 15:44 . 2011-09-01 15:44 -------- d-----w- c:\documents and settings\Administrator\Data aplikací\Malwarebytes
2011-09-01 15:44 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-09-01 15:44 . 2011-09-01 15:44 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-09-01 15:44 . 2011-09-01 15:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-09-01 15:44 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-09-01 15:39 . 2011-09-01 15:39 9466208 ----a-w- C:\mbam-setup-1.51.1.1800.exe
2011-09-01 15:39 . 2011-09-01 15:39 50688 ----a-w- C:\ATF-Cleaner.exe
2011-09-01 15:38 . 2011-09-01 15:38 -------- d-----w- C:\backups
2011-08-31 22:08 . 2011-08-31 22:07 388608 ----a-w- C:\HijackThis.exe
2011-08-31 20:16 . 2011-08-31 20:16 -------- d-----we c:\program files\Opera
2011-08-31 20:15 . 2011-08-31 20:15 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Opera
2011-08-27 10:23 . 2011-02-13 07:21 -------- d-----w- c:\documents and settings\Odstraneni_diakritiky
2011-08-24 15:17 . 2011-08-24 16:48 -------- d-----w- c:\program files\nLite
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-21 02:33 . 2011-05-15 19:59 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-15 13:29 . 2008-04-13 22:47 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 17:24 . 2011-07-08 17:24 144665 ----a-w- C:\asdsdasdasdsadsad.zip
2011-07-08 17:15 . 2011-07-08 17:15 144665 ----a-w- C:\BlockOut.zip
2011-07-08 14:02 . 2008-04-13 22:27 10496 ----a-w- c:\windows\system32\drivers\ndistapi.sys
2011-07-04 11:43 . 2011-02-10 00:18 40112 ----a-w- c:\windows\avastSS.scr
2011-07-04 11:43 . 2011-02-10 00:18 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-07-04 11:36 . 2011-02-23 20:06 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-07-04 11:36 . 2011-02-10 00:18 309848 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-07-04 11:35 . 2011-02-10 00:18 43608 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-07-04 11:35 . 2011-02-10 00:18 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-07-04 11:35 . 2011-02-10 00:18 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-07-04 11:32 . 2011-02-10 00:18 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-07-04 11:32 . 2011-02-10 00:18 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-07-04 11:32 . 2011-02-10 00:18 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-06-24 14:10 . 2011-02-09 23:14 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-06-23 18:31 . 2008-04-14 06:52 916480 ----a-w- c:\windows\system32\wininet.dll
2011-06-23 18:31 . 2008-04-14 06:52 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-06-23 18:31 . 2008-04-14 06:51 43520 ------w- c:\windows\system32\licmgr10.dll
2011-06-23 12:05 . 2008-04-14 05:50 385024 ------w- c:\windows\system32\html.iec
2011-06-20 17:44 . 2008-04-14 06:52 293376 ----a-w- c:\windows\system32\winsrv.dll
2011-06-06 11:35 . 2008-04-14 05:45 1858944 ----a-w- c:\windows\system32\win32k.sys
2011-01-15 12:59 . 2011-02-11 20:32 728275 ----a-w- c:\program files\Hotkey_Resolution_Changer_1.exe
2006-05-18 20:04 . 2011-02-13 07:29 175616 ----a-w- c:\program files\RemDiak.exe
2000-10-16 14:30 . 2011-02-13 07:29 217088 ----a-w- c:\program files\SpaceMonger.exe
2011-09-01 06:30 . 2011-03-22 19:55 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2011-02-09 . 4F0777D4A6A6D987BA87FBFE26BAFAB8 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2011-09-02_15.02.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-09-04 10:42 . 2011-09-04 10:42 16384 c:\windows\temp\Perflib_Perfdata_f08.dat
+ 2008-04-14 06:52 . 2011-02-12 09:06 99840 c:\windows\system32\dllcache\srvsvc.dll
- 2008-04-14 06:52 . 2010-08-27 05:54 99840 c:\windows\system32\dllcache\srvsvc.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-07-04 11:43 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\HardLinkMenu]
@="{0A479751-02BC-11d3-A855-0004AC2568AA}"
[HKEY_CLASSES_ROOT\CLSID\{0A479751-02BC-11d3-A855-0004AC2568AA}]
2010-11-21 21:00 309448 ----a-w- c:\program files\Linky\LinkShellExtension\HardlinkShellExt.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IconOverlayHardLink]
@="{0A479751-02BC-11d3-A855-0004AC2568DD}"
[HKEY_CLASSES_ROOT\CLSID\{0A479751-02BC-11d3-A855-0004AC2568DD}]
2010-11-21 21:00 309448 ----a-w- c:\program files\Linky\LinkShellExtension\HardlinkShellExt.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="c:\program files\Eraser\eraser.exe" [2009-12-16 337808]
"SandboxieControl"="c:\program files\Sandboxie\SbieCtrl.exe" [2011-03-24 409320]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 24576]
"Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-06-03 446635]
"NUSB3MON"="c:\program files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2009-09-25 106496]
"ApacheMonitor.exe"="c:\program files\PHP Home Edition 2\Apache2\bin\ApacheMonitor.exe" [2004-06-29 41042]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]
"CNAP2 Launcher"="c:\windows\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE" [2009-04-22 116128]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-08 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-08 86016]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
c:\documents and settings\Administrator\Nabˇdka Start\Programy\Po spuçtŘnˇ\
procexp.lnk - c:\program files\ProcessExplorer\procexp.exe [2011-2-10 4177272]
RAMASST.lnk - c:\windows\system32\RAMASST.exe [2011-2-12 155648]
VirtuaWin.lnk - c:\program files\VirtuaWin\VirtuaWin.exe [2011-2-13 145408]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Synchronizer]
2011-06-06 10:55 1240992 ----a-w- c:\program files\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2011-02-13 11:20 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-07-22 21:10 402432 ----a-w- c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]
2001-11-29 00:00 28672 ----a-w- c:\program files\Creative\SBLive\Program\ADGJDet.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-02-27 12:03 570664 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37 517096 ----a-w- c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Sendik\\Sendik.exe"=
"c:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Vzdálená správa systému Windows
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [23.2.2011 22:06 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [10.2.2011 2:18 309848]
R2 ABBYY.Licensing.FineReader.Home.10.0;ABBYY FineReader 10 HE Licensing Service;c:\program files\Common Files\ABBYY\FineReader\10.00\Licensing\Home\NetworkLicenseServer.exe [21.7.2010 18:30 814344]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10.2.2011 2:18 19544]
R2 PDRJNDL;PDRJNDL;m:\software\System_a_utility\!_Hesla_a_soukromi_vcetne_spywaru\dekart-privatni_disk__free--eng\nainstalovany\pdrjndl.sys [8.2.2011 18:05 16512]
R2 PRVDISK;PRVDISK;m:\software\System_a_utility\!_Hesla_a_soukromi_vcetne_spywaru\dekart-privatni_disk__free--eng\nainstalovany\prvdisk.sys [8.2.2011 18:05 14080]
R3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [25.9.2009 23:57 56576]
R3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [25.9.2009 23:57 138240]
R3 OA002Afx;Provides a software interface to control audio effects of OA002 camera.;c:\windows\system32\drivers\OA002Afx.sys [8.6.2007 10:00 148056]
R3 OA002Ufd;Creative Camera OA002 Upper Filter Driver;c:\windows\system32\drivers\OA002Ufd.sys [3.6.2008 18:30 144672]
R3 OA002Vid;Creative Camera OA002 Function Driver;c:\windows\system32\drivers\OA002Vid.sys [1.8.2008 10:01 268672]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 14:16 130384]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [22.6.2011 19:23 13192]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [22.6.2011 19:23 8456]
S3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [19.2.2010 14:37 517096]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 14:16 753504]
.
--- Ostatní služby/ovladače v paměti ---
.
*Deregistered* - PROCEXP141
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2011-04-16 10:07 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2011-09-04 c:\windows\Tasks\AdobeAAMUpdater-1.0-MRCHNA-Administrator.job
- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-02-13 11:20]
.
2011-07-04 c:\windows\Tasks\LightScribeControlPanel.job
- c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe [2011-04-16 10:09]
.
.
------- Doplňkový sken -------
.
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\y5u8ni4j.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-09-04 12:42
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: NVIDIA__ rev. -> Harddisk0\DR0 -> \Device\0000006f
.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
error: Read Parametr není správný.
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="C:/PROGRA~1/PHPHOM~1/mysql/bin/mysqld-nt.exe"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="C:/PROGRA~1/PHPHOM~1/mysql/bin/mysqld-nt.exe"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-220523388-1409082233-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,35,ce,5a,2e,6a,76,4a,9d,1e,82,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,35,ce,5a,2e,6a,76,4a,9d,1e,82,\
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(1428)
c:\program files\Linky\LinkShellExtension\HardlinkShellExt.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\program files\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Sandboxie\SbieSvc.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\RUNDLL32.EXE
c:\program files\VirtuaWin\modules\WinList.exe
c:\program files\PHP Home Edition 2\Apache2\bin\Apache.exe
c:\windows\system32\crypserv.exe
c:\windows\system32\DVDRAMSV.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\spool\DRIVERS\W32X86\3\CNAP2RPK.EXE
c:\windows\System32\spool\DRIVERS\W32X86\3\CNABBSWK.EXE
c:\program files\PHP Home Edition 2\Apache2\bin\Apache.exe
c:\windows\System32\spool\DRIVERS\W32X86\3\CNABBSWK.EXE
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2011-09-04 12:49:21 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-09-04 10:49
ComboFix2.txt 2011-09-02 21:37
ComboFix3.txt 2011-09-02 15:05
.
Před spuštěním: Volných bajtů: 58 337 316 864
Po spuštění: Volných bajtů: 58 336 247 808
.
- - End Of File - - AE898996FA77540E4723F16AD3844F17

[jaro3]

Občas se to stane..

Udělej ještě jeden script v CF , s tímto:

Kód: Vybrat vše

KillAll::
FCOPY::
C:\srsvc.dll | c:\windows\system32\dllcache\srsvc.dll
C:\srsvc.dll | c:\windows\System32\srsvc.dll


Pak:
V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
c:\windows\System32\srsvc.dll
C:\WINDOWS\system32\regsvc.dll

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/40 , nebo 1/40. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

[Myloš]

Soubor srsvc.dll nebyl ani na jednom z uvedených míst nalezen.
Místo něj je tam srvsvc.dll
Zdá se být v obou případech OK:

http://www.virustotal.com/file-scan/rep ... 1315154335
http://www.virustotal.com/file-scan/rep ... 1315154483

Jinak pozoruji škody napáchané combofixem –
Opera není výchozí prohlížeč
Asociace JPG je chybná (a které další asociace, to bych rád věděl)
Ze souboru etc\hosts byl smazán můj záznam o virtuální doméně – přišel jsem na to jako obvykle tak, že nefungovala.
O Avastu v systrayi ani nemluvě

V karanténě jsem našel například osubor index.htm, ve kterém považoval za škodlivé přesměrování:
<?
Header( "HTTP/1.1 301 Moved Permanently" );
Header( "Location: http://branik.evangnet.cz/hry/" );
?>
na němž není škodlivého ani ň a celé jsem ho ručně napsal.

Co to vlastně našel ComboFix za virus?

[jaro3]

Dej na virustotal ten druhý soubor:
C:\WINDOWS\system32\regsvc.dll


Co maže CF , za to nemohu , ale můžeme potom vrátit zpět.

//moje chyba poslal jsem ti jeden jiný soubor , proto to nebylo provedeno , tady stáhni:
http://www.edisk.cz/stahni/55887/files.rar_92.29KB.html
a vlož oba do C:\

Poté:
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KillAll::
FCOPY::
C:\srsvc.dll | c:\windows\system32\dllcache\srsvc.dll
C:\srsvc.dll | c:\windows\System32\srsvc.dll

DeQuarantine::
C:\index.htm.vir

Quit::


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

Pak na virustotal oba soubory.
c:\windows\System32\srsvc.dll
C:\WINDOWS\system32\regsvc.dll

[Myloš]

Log z CF (ostatní za chvilku):

ComboFix 11-09-05.05 - Administrator 05.09.2011 20:49:49.5.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2047.1527 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\cfscript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Vytvořen nový Bod Obnovení
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\srsvc.dll . . . je infikován!!
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-08-05 do 2011-09-05 )))))))))))))))))))))))))))))))
.
.
2011-09-05 18:45 . 2011-09-04 17:02 42 ----a-w- c:\windows\system32\drivers\etc\hosts.tmp
2011-09-04 19:54 . 2011-09-04 19:54 -------- d-----w- C:\files
2011-09-04 10:28 . 2011-02-12 09:06 99840 ----a-w- C:\srvsvc.dll
2011-09-04 10:28 . 2008-04-14 05:51 59904 ------w- C:\regsvc.dll
2011-09-04 10:28 . 2008-04-14 05:51 59904 ----a-w- c:\windows\system32\regsvc.dll
2011-09-04 10:27 . 2008-04-14 05:51 59904 -c--a-w- c:\windows\system32\dllcache\regsvc.dll
2011-09-01 15:44 . 2011-09-01 15:44 -------- d-----w- c:\documents and settings\Administrator\Data aplikací\Malwarebytes
2011-09-01 15:44 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-09-01 15:44 . 2011-09-01 15:44 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-09-01 15:44 . 2011-09-01 15:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-09-01 15:44 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-09-01 15:39 . 2011-09-01 15:39 9466208 ----a-w- C:\mbam-setup-1.51.1.1800.exe
2011-09-01 15:39 . 2011-09-01 15:39 50688 ----a-w- C:\ATF-Cleaner.exe
2011-09-01 15:38 . 2011-09-01 15:38 -------- d-----w- C:\backups
2011-08-31 22:08 . 2011-08-31 22:07 388608 ----a-w- C:\HijackThis.exe
2011-08-31 20:16 . 2011-08-31 20:16 -------- d-----we c:\program files\Opera
2011-08-31 20:15 . 2011-08-31 20:15 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Opera
2011-08-27 10:23 . 2011-02-13 07:21 -------- d-----w- c:\documents and settings\Odstraneni_diakritiky
2011-08-24 15:17 . 2011-08-24 16:48 -------- d-----w- c:\program files\nLite
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-21 02:33 . 2011-05-15 19:59 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-15 13:29 . 2008-04-13 22:47 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 17:24 . 2011-07-08 17:24 144665 ----a-w- C:\asdsdasdasdsadsad.zip
2011-07-08 17:15 . 2011-07-08 17:15 144665 ----a-w- C:\BlockOut.zip
2011-07-08 14:02 . 2008-04-13 22:27 10496 ----a-w- c:\windows\system32\drivers\ndistapi.sys
2011-07-04 11:43 . 2011-02-10 00:18 40112 ----a-w- c:\windows\avastSS.scr
2011-07-04 11:43 . 2011-02-10 00:18 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-07-04 11:36 . 2011-02-23 20:06 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-07-04 11:36 . 2011-02-10 00:18 309848 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-07-04 11:35 . 2011-02-10 00:18 43608 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-07-04 11:35 . 2011-02-10 00:18 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-07-04 11:35 . 2011-02-10 00:18 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-07-04 11:32 . 2011-02-10 00:18 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-07-04 11:32 . 2011-02-10 00:18 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-07-04 11:32 . 2011-02-10 00:18 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-06-24 14:10 . 2011-02-09 23:14 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2011-06-23 18:31 . 2008-04-14 06:52 916480 ----a-w- c:\windows\system32\wininet.dll
2011-06-23 18:31 . 2008-04-14 06:52 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-06-23 18:31 . 2008-04-14 06:51 43520 ------w- c:\windows\system32\licmgr10.dll
2011-06-23 12:05 . 2008-04-14 05:50 385024 ------w- c:\windows\system32\html.iec
2011-06-20 17:44 . 2008-04-14 06:52 293376 ----a-w- c:\windows\system32\winsrv.dll
2011-01-15 12:59 . 2011-02-11 20:32 728275 ----a-w- c:\program files\Hotkey_Resolution_Changer_1.exe
2006-05-18 20:04 . 2011-02-13 07:29 175616 ----a-w- c:\program files\RemDiak.exe
2000-10-16 14:30 . 2011-02-13 07:29 217088 ----a-w- c:\program files\SpaceMonger.exe
2011-09-01 06:30 . 2011-03-22 19:55 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2011-02-09 . 4F0777D4A6A6D987BA87FBFE26BAFAB8 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2011-09-02_15.02.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-09-05 18:58 . 2011-09-05 18:58 16384 c:\windows\temp\Perflib_Perfdata_84c.dat
+ 2008-04-14 06:52 . 2011-02-12 09:06 99840 c:\windows\system32\dllcache\srvsvc.dll
- 2008-04-14 06:52 . 2010-08-27 05:54 99840 c:\windows\system32\dllcache\srvsvc.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-07-04 11:43 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\HardLinkMenu]
@="{0A479751-02BC-11d3-A855-0004AC2568AA}"
[HKEY_CLASSES_ROOT\CLSID\{0A479751-02BC-11d3-A855-0004AC2568AA}]
2010-11-21 21:00 309448 ----a-w- c:\program files\Linky\LinkShellExtension\HardlinkShellExt.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IconOverlayHardLink]
@="{0A479751-02BC-11d3-A855-0004AC2568DD}"
[HKEY_CLASSES_ROOT\CLSID\{0A479751-02BC-11d3-A855-0004AC2568DD}]
2010-11-21 21:00 309448 ----a-w- c:\program files\Linky\LinkShellExtension\HardlinkShellExt.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="c:\program files\Eraser\eraser.exe" [2009-12-16 337808]
"SandboxieControl"="c:\program files\Sandboxie\SbieCtrl.exe" [2011-03-24 409320]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 24576]
"Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-06-03 446635]
"NUSB3MON"="c:\program files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2009-09-25 106496]
"ApacheMonitor.exe"="c:\program files\PHP Home Edition 2\Apache2\bin\ApacheMonitor.exe" [2004-06-29 41042]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]
"CNAP2 Launcher"="c:\windows\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE" [2009-04-22 116128]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-08 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-08 86016]
.
c:\documents and settings\Administrator\Nabˇdka Start\Programy\Po spuçtŘnˇ\
procexp.lnk - c:\program files\ProcessExplorer\procexp.exe [2011-2-10 4177272]
RAMASST.lnk - c:\windows\system32\RAMASST.exe [2011-2-12 155648]
VirtuaWin.lnk - c:\program files\VirtuaWin\VirtuaWin.exe [2011-2-13 145408]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Synchronizer]
2011-06-06 10:55 1240992 ----a-w- c:\program files\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2011-02-13 11:20 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-07-22 21:10 402432 ----a-w- c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]
2001-11-29 00:00 28672 ----a-w- c:\program files\Creative\SBLive\Program\ADGJDet.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-02-27 12:03 570664 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37 517096 ----a-w- c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Sendik\\Sendik.exe"=
"c:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Vzdálená správa systému Windows
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [23.2.2011 22:06 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [10.2.2011 2:18 309848]
R2 ABBYY.Licensing.FineReader.Home.10.0;ABBYY FineReader 10 HE Licensing Service;c:\program files\Common Files\ABBYY\FineReader\10.00\Licensing\Home\NetworkLicenseServer.exe [21.7.2010 18:30 814344]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10.2.2011 2:18 19544]
R2 PDRJNDL;PDRJNDL;m:\software\System_a_utility\!_Hesla_a_soukromi_vcetne_spywaru\dekart-privatni_disk__free--eng\nainstalovany\pdrjndl.sys [8.2.2011 18:05 16512]
R2 PRVDISK;PRVDISK;m:\software\System_a_utility\!_Hesla_a_soukromi_vcetne_spywaru\dekart-privatni_disk__free--eng\nainstalovany\prvdisk.sys [8.2.2011 18:05 14080]
R3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [25.9.2009 23:57 56576]
R3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [25.9.2009 23:57 138240]
R3 OA002Afx;Provides a software interface to control audio effects of OA002 camera.;c:\windows\system32\drivers\OA002Afx.sys [8.6.2007 10:00 148056]
R3 OA002Ufd;Creative Camera OA002 Upper Filter Driver;c:\windows\system32\drivers\OA002Ufd.sys [3.6.2008 18:30 144672]
R3 OA002Vid;Creative Camera OA002 Function Driver;c:\windows\system32\drivers\OA002Vid.sys [1.8.2008 10:01 268672]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 14:16 130384]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [22.6.2011 19:23 13192]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [22.6.2011 19:23 8456]
S3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [19.2.2010 14:37 517096]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 14:16 753504]
.
--- Ostatní služby/ovladače v paměti ---
.
*Deregistered* - PROCEXP141
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2011-04-16 10:07 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2011-09-05 c:\windows\Tasks\AdobeAAMUpdater-1.0-MRCHNA-Administrator.job
- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-02-13 11:20]
.
2011-07-04 c:\windows\Tasks\LightScribeControlPanel.job
- c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe [2011-04-16 10:09]
.
.
------- Doplňkový sken -------
.
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\y5u8ni4j.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-09-05 20:58
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: NVIDIA__ rev. -> Harddisk0\DR0 -> \Device\0000006f
.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
error: Read Parametr není správný.
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="C:/PROGRA~1/PHPHOM~1/mysql/bin/mysqld-nt.exe"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]
"ImagePath"="C:/PROGRA~1/PHPHOM~1/mysql/bin/mysqld-nt.exe"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-220523388-1409082233-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,35,ce,5a,2e,6a,76,4a,9d,1e,82,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,35,ce,5a,2e,6a,76,4a,9d,1e,82,\
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(184)
c:\program files\Linky\LinkShellExtension\HardlinkShellExt.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\program files\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Sandboxie\SbieSvc.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\RUNDLL32.EXE
c:\program files\VirtuaWin\modules\WinList.exe
c:\windows\System32\spool\DRIVERS\W32X86\3\CNAP2RPK.EXE
c:\windows\System32\spool\DRIVERS\W32X86\3\CNABBSWK.EXE
c:\program files\PHP Home Edition 2\Apache2\bin\Apache.exe
c:\windows\System32\spool\DRIVERS\W32X86\3\CNABBSWK.EXE
c:\windows\system32\crypserv.exe
c:\program files\PHP Home Edition 2\Apache2\bin\Apache.exe
c:\windows\system32\DVDRAMSV.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2011-09-05 21:05:14 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-09-05 19:05
ComboFix2.txt 2011-09-04 16:46
ComboFix3.txt 2011-09-04 10:49
ComboFix4.txt 2011-09-02 21:37
ComboFix5.txt 2011-09-05 18:48
.
Před spuštěním: Volných bajtů: 58 278 154 240
Po spuštění: Volných bajtů: 58 329 092 096
.
- - End Of File - - 54EF8BE67E57971536C4DB6D1919827C

[Myloš]

Soubory srsvc.dll stále neexistují, pouze srvsvc.dll


A tady log z HJT

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:17:48, on 5.9.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe
C:\Program Files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Program Files\PHP Home Edition 2\Apache2\bin\ApacheMonitor.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Eraser\eraser.exe
C:\Program Files\Sandboxie\SbieCtrl.exe
C:\Program Files\ProcessExplorer\procexp.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\VirtuaWin\VirtuaWin.exe
C:\Program Files\VirtuaWin\modules\WinList.exe
C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\Home\NetworkLicenseServer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAP2RPK.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNABBSWK.EXE
C:\Program Files\PHP Home Edition 2\Apache2\bin\Apache.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNABBSWK.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\PHP Home Edition 2\Apache2\bin\Apache.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
c:\HijackThis.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O1 - Hosts: 127.0.0.2 br.cz
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" /mode2
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [ApacheMonitor.exe] C:\Program Files\PHP Home Edition 2\Apache2\bin\ApacheMonitor.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [CNAP2 Launcher] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - Startup: procexp.lnk = C:\Program Files\ProcessExplorer\procexp.exe
O4 - Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Startup: VirtuaWin.lnk = C:\Program Files\VirtuaWin\VirtuaWin.exe
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 7435870203
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ABBYY FineReader 10 HE Licensing Service (ABBYY.Licensing.FineReader.Home.10.0) - ABBYY - C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\Home\NetworkLicenseServer.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Program Files\PHP Home Edition 2\Apache2\bin\Apache.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MySql - Unknown owner - C:/PROGRA~1/PHPHOM~1/mysql/bin/mysqld-nt.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

--
End of file - 7010 bytes