Prosím o kontrolu - service.exe zatěžuje CPU Vyřešeno

[dunlop]

3)
Ze zoufalství jsem dvakrát zkusil spustit "kompletní kontrolu" MbAM. Na oba pokusy to vyhodilo nějaké problémové soubory.
--------------------------------------------

Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware.) 1.70.0.1100
http://www.malwarebytes.org

Verze: v2013.03.04.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Zed :: ZDĚNDA [administrátor]

Ochrana: Povolena

20.3.2013 0:12:13
mbam-log-2013-03-20 (00-12-13).txt

Typ: Kompletní kontrola (C:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 234133
Uplynulý čas: 1 hodin, 20 minut, 15 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 2
C:\= Instalačky a ovladače =\lakyho INSTALACKY\Ahead Nero Burning\Ahead.Nero.v7.0.Ultra.Edition.Incl.Keymaker-EMBRACE\keygen.exe (RiskWare.Tool.CK) -> Přesun do karantény a smazání se zdařilo.
C:\= Instalačky a ovladače =\lakyho INSTALACKY\mereni pripojeni\nsli.exe (Malware.Packer.Gen) -> Přesun do karantény a smazání se zdařilo.

(konec)
-------------------------------------------------------


Malwarebytes Anti-Malware 1.70.0.1100
http://www.malwarebytes.org

Verze: v2013.03.19.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Zed :: ZDĚNDA [administrátor]

20.3.2013 0:42:31
mbam-log-2013-03-20 (00-42-31).txt

Typ: Kompletní kontrola (A:\|C:\|D:\|F:\|G:\|H:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM | P2P
Nastavení kontroly zakázáno:
Kontrolované objekty: 246267
Uplynulý čas: 2 hodin, 26 minut, 48 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 2
C:\System Volume Information\_restore{FC2DAF72-B184-4ABC-9C64-77A576F2DE02}\RP310\A0061991.exe (Malware.Packer.Gen) -> Přesun do karantény a smazání se zdařilo.
C:\System Volume Information\_restore{FC2DAF72-B184-4ABC-9C64-77A576F2DE02}\RP310\A0061992.exe (RiskWare.Tool.CK) -> Přesun do karantény a smazání se zdařilo.

(konec
---------------------------------------------------

[Reklama]

[memphisto]

To první jsou cracky a keygeny na SW = WAREZ!

Ty druhé jsou zbytky v bodech obnovy. Těch se zbavíš tak, že vypneš body obnovy a zase zapneš. Smažou se a zůstane jen pár posledních.

[dunlop]

Každopádně od té doby, co jsem spustil tu kompletní kontrolu MbAM, se zdá být chod PC lepší. Předtím, když ten soubor services.exe zabíral tolik CPU, to byla katastrofa. Nejsem si ale vědom, že bych něco takového do počítače v poslední době ukládal.

Mohly ty soubory na to mít vliv, nebo je to náhoda?

Předpokládám, že když vypnu body obnovy, nepůjdou vrátit změny, které provedl ComboFix - tedy
1. smazání účetního programu a
2. vytvoření "konzoly pro zotavení", která má zřejmě na svědomí, že při startu PC se ještě před start Windows začala zobrazovat na monitoru na cca 1 vteřinu nějaká nová nabídka na spuštění operačního systému.

[jaro3]

Zkusíme vrátit ten program:

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:

Kód: Vybrat vše

DeQuarantine::
C:\Qoobox\Quarantine\C\UCTO2010

Quit::


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.

Stáhni si RogueKiller
32bit.:
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
64bit.:
http://www.sur-la-toile.com/RogueKiller ... lerX64.exe
na svojí plochu.
- Zavři všechny ostatní programy a prohlížeče.
- Pro OS Vista a win7 spusť program RogueKiller.exe jako správce , u XP poklepáním.
- počkej až skončí Prescan.
- Zkontroluj , zda máš zaškrtnuto:
Kontrola MBR
Kontrola Faked
Antirootkit
-Potom klikni na „Prohledat“.
- Program skenuje PC. Po proskenování klikni na „Zpráva“celý obsah logu sem zkopíruj.
Pokud je program blokován , zkus ho spustit několikrát. Pokud dále program nepůjde spustit a pracovat, přejmenuj ho na winlogon.exe.

[dunlop]

Já jsem ten program "UCTO2010" vrátil už předtím pomocí bodu obnovy a pro jistotu jsem ho přesunul do jiného PC a z tohoto NTB jsem ho úplně odstranil.

ComboFix jsem spustil znova (viz. log), poté jsem spustil HjT (viz. log), poté RogueKiller (viz. log).

ComboFix 13-03-20.02 - Zed 21.03.2013 2:16.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1262.896 [GMT 1:00]
Spuštěný z: c:\documents and settings\Zed\Dokumenty\Stažené soubory\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-02-21 do 2013-03-21 )))))))))))))))))))))))))))))))
.
.
2013-03-20 10:05 . 2013-03-06 23:33 164736 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2013-03-20 10:05 . 2013-03-06 23:33 49248 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2013-03-20 10:05 . 2013-03-06 23:33 66336 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2013-03-19 21:42 . 2013-03-19 21:42 -------- d-----w- c:\documents and settings\Zed\Data aplikací\RealNetworks
2013-03-19 19:29 . 2013-02-12 00:32 12928 -c----w- c:\windows\system32\dllcache\usb8023x.sys
2013-03-19 19:29 . 2013-02-12 00:32 12928 -c----w- c:\windows\system32\dllcache\usb8023.sys
2013-03-05 14:04 . 2013-03-05 14:04 -------- d-----w- c:\program files\IrfanView
2013-03-04 21:38 . 2013-03-04 21:38 -------- d-----w- c:\documents and settings\Zed\Data aplikací\Malwarebytes
2013-03-04 21:38 . 2013-03-04 21:38 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2013-03-04 21:37 . 2012-12-14 15:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-03-04 21:37 . 2013-03-04 21:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-03-03 21:47 . 2013-03-03 21:47 388096 ----a-r- c:\documents and settings\Zed\Data aplikací\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2013-03-03 21:47 . 2013-03-03 21:47 -------- d-----w- c:\program files\Trend Micro
2013-03-01 21:32 . 2013-03-01 21:32 -------- d-----w- c:\program files\AntiTwin
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-12 23:47 . 2012-04-11 10:29 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-03-12 23:47 . 2012-03-09 14:35 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-06 23:33 . 2012-12-29 22:53 368176 ----a-w- c:\windows\system32\drivers\aswSP.sys
2013-03-06 23:33 . 2012-12-29 22:53 49760 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2013-03-06 23:33 . 2012-12-29 22:53 62376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2013-03-06 23:33 . 2012-12-29 22:27 765736 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2013-03-06 23:33 . 2012-12-29 22:53 29816 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2013-03-06 23:32 . 2012-12-29 22:26 41664 ----a-w- c:\windows\avastSS.scr
2013-03-06 23:32 . 2012-12-29 22:26 228600 ----a-w- c:\windows\system32\aswBoot.exe
2013-02-12 00:32 . 2009-03-07 10:16 12928 ------w- c:\windows\system32\drivers\usb8023x.sys
2013-02-12 00:32 . 2001-10-25 14:00 12928 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-02-11 04:28 . 2013-02-11 04:28 79 ----a-w- c:\windows\system32\ssinstall-uninstall.bat
2013-02-11 04:28 . 2013-02-11 04:28 2317848 ----a-w- c:\windows\system32\ssins.exe
2013-02-10 08:19 . 2013-02-10 08:19 16384 ----a-w- c:\program files\wmdmhelper.dll
2013-02-10 08:19 . 2013-02-10 08:19 641536 ----a-w- c:\program files\rjbres.dll
2013-02-10 08:19 . 2013-02-10 08:19 370176 ----a-w- c:\program files\rjdlg.dll
2013-02-10 08:19 . 2013-02-10 08:19 31232 ----a-w- c:\program files\rjprog.dll
2013-02-10 08:19 . 2013-02-10 08:19 139264 ----a-w- c:\program files\dunzip32.dll
2013-02-10 08:19 . 2013-02-10 08:19 45568 ----a-w- c:\program files\ierjplug.dll
2013-02-10 08:19 . 2013-02-10 08:19 8704 ----a-w- c:\program files\fixrjb.exe
2013-02-10 08:19 . 2013-02-10 08:19 1115376 ----a-w- c:\program files\cddbmusicid.dll
2013-02-10 08:19 . 2013-02-10 08:19 943344 ----a-w- c:\program files\cddblink.dll
2013-02-10 08:19 . 2013-02-10 08:19 44544 ----a-w- c:\program files\mmcdda32.dll
2013-02-10 08:19 . 2013-02-10 08:19 22528 ----a-w- c:\program files\tnetdtct.dll
2013-02-10 08:19 . 2013-02-10 08:19 2041072 ----a-w- c:\program files\cddbcontrol.dll
2013-02-10 08:19 . 2013-02-10 08:19 73216 ----a-w- c:\program files\tsasdk.dll
2013-02-10 08:19 . 2013-02-10 08:19 48640 ----a-w- c:\program files\tpasdk.dll
2013-02-10 08:18 . 2013-02-10 08:18 56320 ----a-w- c:\program files\rpwa3260.dll
2013-02-10 08:18 . 2013-02-10 08:18 16296 ----a-w- c:\program files\realtfon.fon
2013-02-10 08:18 . 2013-02-10 08:18 9159680 ----a-w- c:\program files\mediainfo.dll
2013-02-10 08:18 . 2013-02-10 08:18 389272 ----a-w- c:\program files\realcleaner.exe
2013-02-10 08:17 . 2013-02-10 08:17 383640 ----a-w- c:\program files\realconverter.exe
2013-02-10 08:17 . 2013-02-10 08:17 354968 ----a-w- c:\program files\convert.exe
2013-02-10 08:17 . 2013-02-10 08:17 390384 ----a-w- c:\program files\mc_enc_mp4v.dll
2013-02-10 08:17 . 2013-02-10 08:17 389272 ----a-w- c:\program files\realtrimmer.exe
2013-02-10 08:17 . 2013-02-10 08:17 136336 ----a-w- c:\program files\realshare.exe
2013-02-10 08:17 . 2013-02-10 08:17 115200 ----a-w- c:\program files\rpshellextension.dll
2013-02-10 08:17 . 2013-02-10 08:17 719360 ----a-w- c:\program files\dbghelp.dll
2013-02-10 08:17 . 2013-02-10 08:17 69632 ----a-w- c:\program files\rjwmapln.dll
2013-02-10 08:17 . 2013-02-10 08:17 47616 ----a-w- c:\program files\rpau3260.dll
2013-02-10 08:16 . 2013-02-10 08:16 30368 ----a-w- c:\program files\rndevicedbbuilder.exe
2013-02-10 08:16 . 2013-02-10 08:16 87552 ----a-w- c:\program files\hxaudiodevicehook.dll
2013-02-10 08:16 . 2013-02-10 08:16 112824 ----a-w- c:\program files\rdsf3260.dll
2013-02-10 08:16 . 2013-02-10 08:16 86016 ----a-w- c:\program files\rpplugprot.dll
2013-02-10 08:16 . 2013-02-10 08:16 70840 ----a-w- c:\program files\rpshell.dll
2013-02-10 08:16 . 2013-02-10 08:16 9216 ----a-w- c:\program files\realjbox.exe
2013-02-10 08:16 . 2013-02-10 08:16 17080 ----a-w- c:\program files\rphelperapp.exe
2013-02-10 08:16 . 2013-02-10 08:16 500888 ----a-w- c:\program files\realplay.exe
2013-02-10 08:16 . 2008-12-26 15:19 499712 ----a-w- c:\windows\system32\msvcp71.dll
2013-02-10 08:16 . 2008-12-26 15:19 348160 ----a-w- c:\windows\system32\msvcr71.dll
2013-02-06 10:55 . 2002-09-20 18:05 668160 ----a-w- c:\windows\system32\wininet.dll
2013-02-06 10:55 . 2001-10-25 14:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2013-02-06 10:55 . 2009-03-07 10:16 81920 ------w- c:\windows\system32\ieencode.dll
2013-02-06 10:50 . 2009-03-07 10:16 370176 ------w- c:\windows\system32\html.iec
2013-01-26 03:55 . 2002-09-20 18:04 552448 ----a-w- c:\windows\system32\oleaut32.dll
2013-01-07 07:26 . 2002-09-20 17:12 2071936 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-01-07 07:26 . 2002-09-20 17:12 2195200 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-01-04 10:10 . 2002-09-20 17:41 1867264 ----a-w- c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2008-12-30 23:04 1294848 ----a-w- c:\windows\system32\quartz.dll
2013-01-02 06:49 . 2008-12-30 23:04 148992 ----a-w- c:\windows\system32\mpg2splt.ax
2013-03-12 23:01 . 2013-03-12 23:00 263064 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-03-06 23:32 121968 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-03-06 4767304]
"AcerNotebookManager"="c:\program files\Acer\Notebook Manager\almxptray.exe" [2003-05-16 509952]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2009-07-27 02:10 1983816 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2009-03-18 01:40 767312 ----a-w- c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R0 aswRvrt;aswRvrt;c:\windows\system32\drivers\aswRvrt.sys [20.3.2013 11:05 49248]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [29.12.2012 23:27 765736]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29.12.2012 23:53 368176]
R2 acernbm;acernbm;c:\windows\system32\drivers\acernbm.sys [26.12.2008 14:27 6570]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.12.2012 23:53 29816]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [20.3.2013 11:05 66336]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [22.4.2011 13:21 92592]
R3 aswVmm;aswVmm;c:\windows\system32\drivers\aswVmm.sys [20.3.2013 11:05 164736]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [4.3.2013 22:37 21104]
R3 st3bus28;st3bus28;c:\windows\system32\drivers\st3bus28.sys [28.12.2002 12:16 8416]
R3 st3mp28;st3mp28;c:\windows\system32\drivers\st3mp28.sys [28.12.2002 12:16 95328]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [4.3.2013 22:37 682344]
S2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\program files\RealNetworks\RealDownloader\rndlresolversvc.exe [29.11.2012 20:31 38608]
S3 vwmfbus;Vertex Wireless Composite Device driver (WDM);c:\windows\system32\drivers\vwmfbus.sys [1.1.1988 1:07 98560]
S3 vwmfdiag;Vertex Wireless Diagnostic Monitor Port Driver (WDM);c:\windows\system32\drivers\vwmfdiag.sys [1.1.1988 1:07 100224]
S3 vwmfmdfl;~Vertex Wireless CDC Modem Filter~;c:\windows\system32\drivers\vwmfmdfl.sys [1.1.1988 1:07 14848]
S3 vwmfmdm;Vertex Wireless CDC Modem Driver;c:\windows\system32\drivers\vwmfmdm.sys [1.1.1988 1:07 123776]
S3 vwmfserd;Vertex Wireless Device Management Port Driver (WDM);c:\windows\system32\drivers\vwmfserd.sys [1.1.1988 1:07 100224]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - ASWMONFLT
*NewlyCreated* - ASWRVRT
*NewlyCreated* - ASWVMM
.
Obsah adresáře 'Naplánované úlohy'
.
2013-03-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 23:47]
.
2013-03-20 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-12-29 23:32]
.
2013-03-20 c:\windows\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1220945662-1580436667-854245398-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
2013-03-10 c:\windows\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1220945662-1580436667-854245398-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Zed\Data aplikací\Mozilla\Firefox\Profiles\8wgcaole.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - ExtSQL: 2013-02-10 09:18; {34712C68-7391-4c47-94F3-8F88D49AD632}; c:\documents and settings\All Users\Data aplikací\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext
FF - ExtSQL: !HIDDEN! 2011-03-14 01:10; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-03-21 02:27
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
.
C:\avast! sandbox
.
sken byl úspešně dokončen
skryté soubory: 1
.
**************************************************************************
.
Celkový čas: 2013-03-21 02:31:12
ComboFix-quarantined-files.txt 2013-03-21 01:31
.
Před spuštěním: Volných bajtů: 10 209 796 096
Po spuštění: Volných bajtů: 10 200 743 936
.
- - End Of File - - 9C0EA16F5090EBDA69D2FB563F8E72D6





Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 3:20:13, on 21.3.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\explorer.exe
C:\Program Files\RealNetworks\RealDownloader\recordingmanager.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealNetworks Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Data aplikací\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: RealNetworks Downloader Resolver Service - Unknown owner - C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 4418 bytes






RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/fi ... guekiller/
Webové stránky : http://tigzy.geekstogo.com/roguekiller.php
: http://tigzyrk.blogspot.com/

Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : Zed [Práva správce]
Mód : Kontrola -- Datum : 03/21/2013 03:28:38
| ARK || FAK || MBR |

¤¤¤ Škodlivé procesy: : 0 ¤¤¤

¤¤¤ ¤¤¤ Záznamy Registrů: : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> NALEZENO
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NALEZENO

¤¤¤ Zvláštní soubory / Složky: ¤¤¤

¤¤¤ Ovladač : [NAHRÁNO] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x89E106D8)

¤¤¤ Soubor HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ Kontrola MBR: ¤¤¤

+++++ PhysicalDrive0: IC25N020ATMR04-0 +++++
--- User ---
[MBR] 19b6e48208ab2a9c4d4604915a640e0e
[BSP] d29858277df39b66c32464d2ec896679 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 19069 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Dokončeno : << RKreport[1]_S_03212013_02d0328.txt >>
RKreport[1]_S_03212013_02d0328.txt

[jaro3]

Zavři všechny programy a prohlížeče.
Prosím, odpoj všechny USB nebo externí disky z počítače před spuštěním tohoto programu.
Spusť RogueKiller ( Pro Windows Vista nebo Windows 7, klepni pravým a vyber "Spustit jako správce", ve Windows XP poklepej ke spuštění).
- Počkej, až Prescan dokončí práci...
- Počkej, dokud status okno zobrazuje "Scan "
- Klikni na "Delete"
- Počkej, dokud Status box zobrazuje "Smazání- Finished "
- Klikni na "Zprávy " a zkopíruj a vlož obsah té zprávy prosím sem. Log je možno nalézt v RKreport [1]. txt na ploše.
- Zavři RogueKiller

To jsem nevěděl , chtěl jsem to vrátit zpět (ucto)

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

Vyčisti systém CCleanerem

Stáhni si OTC

na plochu. Poklepej na něj. Potom klikni na Clean up!.
Restartuj PC , pokud Ti bude doporučeno.




Odinstaluj:
Toolbar: SnagIt -

Fixni:

Kód: Vybrat vše

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
c:\windows\system32\ssinstall-uninstall.bat
c:\windows\system32\ssins.exe

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/43 , nebo 1/43. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

Nebo na:
http://www.virscan.org/




Jak to vypadá nyní?

[dunlop]

1) Já jsem to UCTO2010 raději vrátil před tím, než jsem vypnul a zapnul body obnovy dle předchozí rady (z 20 Bře 2013 09:39). Měl jsem totiž strach, abych o to nepřišel.

2) RogueKiller

RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/fi ... guekiller/
Webové stránky : http://tigzy.geekstogo.com/roguekiller.php
: http://tigzyrk.blogspot.com/

Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : Zed [Práva správce]
Mód : Kontrola -- Datum : 03/22/2013 00:18:38
| ARK || FAK || MBR |

¤¤¤ Škodlivé procesy: : 0 ¤¤¤

¤¤¤ ¤¤¤ Záznamy Registrů: : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> NALEZENO
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NALEZENO

¤¤¤ Zvláštní soubory / Složky: ¤¤¤

¤¤¤ Ovladač : [NAHRÁNO] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x89F0DF08)

¤¤¤ Soubor HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ Kontrola MBR: ¤¤¤

+++++ PhysicalDrive0: IC25N020ATMR04-0 +++++
--- User ---
[MBR] 19b6e48208ab2a9c4d4604915a640e0e
[BSP] d29858277df39b66c32464d2ec896679 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 19069 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Dokončeno : << RKreport[1]_S_03222013_02d0018.txt >>
RKreport[1]_S_03222013_02d0018.txt

========================================================
========================================================

RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/fi ... guekiller/
Webové stránky : http://tigzy.geekstogo.com/roguekiller.php
: http://tigzyrk.blogspot.com/

Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : Zed [Práva správce]
Mód : Odebrat -- Datum : 03/22/2013 00:20:21
| ARK || FAK || MBR |

¤¤¤ Škodlivé procesy: : 0 ¤¤¤

¤¤¤ ¤¤¤ Záznamy Registrů: : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> VYMAZÁNO
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NAHRAZENO (0)

¤¤¤ Zvláštní soubory / Složky: ¤¤¤

¤¤¤ Ovladač : [NAHRÁNO] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x89F0DF08)

¤¤¤ Soubor HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ Kontrola MBR: ¤¤¤

+++++ PhysicalDrive0: IC25N020ATMR04-0 +++++
--- User ---
[MBR] 19b6e48208ab2a9c4d4604915a640e0e
[BSP] d29858277df39b66c32464d2ec896679 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 19069 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Dokončeno : << RKreport[2]_D_03222013_02d0020.txt >>
RKreport[1]_S_03222013_02d0018.txt ; RKreport[2]_D_03222013_02d0020.txt


3) Virustotal

https://www.virustotal.com/cs/file/4ba1 ... 363917767/
-------------------------------------------
https://www.virustotal.com/cs/file/eabe ... 363918055/

4) http://www.virscan.org

-Zkoušel jsem to otestovat i tady, nenalezen žádný malware.

5) Chod NTB se zdá být klidnější, CPU sem tam vyskočí na 100%, ale jen na chvilku. Soubor services.exe, který předtím zatěžoval CPU, se uklidnil.

Co vidím jako změnu oproti době před vznikem problému:

-větrák pracuje na větší obrátky než předtím, což bude asi tím, že poslední dobou jel skoro pořád úplně naplno, tak bude chtít asi vyčistit vnitřek NTB. Zkusím to nějak rozdělat, jestli se to zlepší.

-schovává se (nezobrazuje se) ikona "Správce úloh" v oznamovací oblasti (malá ikonka, na které běhá zeleně ukazatel využití CPU). V Možnostech Správce úloh systému mám nastaveno "Minimalizovat při použití", v nabídce Start-Nastavení-Nabídka start mám nastaveno "Skrýt pokud není aktivní" nebo i "Zobrazit vždy", přesto se ikona objevuje jak sama chce. Zkoušel jsem to hledat i na internetu a dělá to i ostatním, ale příčinu u XP nikdo neodhalil. Ale to je maličkost.

Zkusím vyčistit vnitřek NTB od prachu a zkusit, jak se to bude celkově chovat při práci, jestli už bude klid.
Pak musím zvolit nějakou vhodnou strategii, aby se tyhle šílenosti neopakovaly, ale netuším jakou vhodnou metodu zvolit?

[jaro3]

Doinstalovat nějaký free firewall.

Start-spustit-napiš: notepad ,do něho vlož tento celý text:

Kód: Vybrat vše

dir \atapi.sys /a h /s > File.txt

uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.

Pak ještě s tímhle:

Kód: Vybrat vše

dir \service.exe /a h /s > File.txt

[dunlop]

1)

Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 94DB-AA57.

Výpis adresáře C:\WINDOWS\$NtServicePackUninstall$

03.08.2004 22:59 95 360 atapi.sys
1 souborů, 95 360 bajtů

Výpis adresáře C:\WINDOWS\erdnt\cache

13.04.2008 19:40 96 512 atapi.sys
1 souborů, 96 512 bajtů

Výpis adresáře C:\WINDOWS\ServicePackFiles\i386

13.04.2008 19:40 96 512 atapi.sys
1 souborů, 96 512 bajtů

Výpis adresáře C:\WINDOWS\system32\drivers

13.04.2008 19:40 96 512 atapi.sys
1 souborů, 96 512 bajtů

Výpis adresáře C:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386

29.08.2002 02:27 86 912 atapi.sys
1 souborů, 86 912 bajtů
==============================================================

2)

Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 94DB-AA57.
=============================================================

U toho druhého se objevily jen dva řádky. To je nějak podezřele málo...

Ještě bych se rád zeptal ohledně toho firewallu nebo nějaké kompletní ochrany PC. Tady na fóru je o tom hezký článek, bohužel už pár let starý. V diskusi jsem nenašel jediný názor, na kterém by se všichni shodli, vždy se najde někdo, kdo má 10 důvodů, proč zrovna to nebo to nebrat. Nebyl by nějaký dobrý tip z ověřeného zdroje pro ne příliš výkonný NTB, abych se nemusel bát připojit na internet popř. stáhnout sem tam nějaké video? Nejlépe "vše v jednom" a pokud možno free . Používám Avast Free a občas Eset online scanner, ale evidentně to nestačí.

[jaro3]

Ještě s tímto:

Kód: Vybrat vše

dir \services.exe /a h /s > File.txt

s těmi firewally , doporučil bych Ti jich několik prozkoušet , ne každému se hodí , kvůli konfiguraci a nastavování.

Firewally zdarma:
Comodo - kvalitní, pokročilý, s mnoha funkcemi, originálně v angličtině
Kerio - přehledný, větší možnosti nastavení, náročnější na systémové prostředky, v češtině
ZoneAlarm - jednoduchý, kompatibilní, nenáročný na systémové prostředky, málo možností nastavení, v angličtině
Pro lepší zabezpečení bych ti doporučil doinstalovat firewall, můžeš si vybrat některý zde uvedený nebo některý jiný z odkazu: Přehled osobních firewallů
Firewally zdarma:
Kerio - přehledný, větší možnosti nastavení, náročnější na systémové prostředky, v češtině
ZoneAlarm - jednoduchý, kompatibilní, nenáročný na systémové prostředky, málo možností nastavení, v angličtině + návod
Comodo - kvalitní, pokročilý, s mnoha funkcemi, originálně v angličtině (nepoužít jeho malware scaner, nebo přes něj odstranit co najde)

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Windows Firewall Notifier

http://wokhan.online.fr/progs.php?sec=WFN

fungující na win7.
Pro vytvoření svých pravidel je zapotřebí otevřít integrovaný firewall ve win7 a upřesnit nastavení příchozí a odchozí pravidla a pracně vyházet jedno podruhé a to z důvodu jelikož si hromadu pravidel systém již vytvořil sám a to s povolením přístupu.
Pak už je jenom na nás při vyskočení okna Notifieru zda povolíme či blokujeme a jedeme od začátku kolotoč klikání a vytváření pravidel a hlavně vidíme co povolujeme chce to jenom trochu znalosti systému ,abychom si nezakázali potřebnou věc pokud se nám to i tak povede lze pravidlo změnit či odstranit opět v upřesnění nastavení či v okně notifieru. Snad to někomu pomůže kdo by chtěl opravdu jistotu ,že mu některý program bude případně odhalen.
******************************************************************************************


DefenseWall Personal Firewall

http://www.softsphere.com/downloads/

[dunlop]

Já těm firewallům rozumím jako koza klavíru, takže toho moc nevyzkouším, spíš to bude pokus/omyl, ale nějak se s tím musím poprat, snad to NTB a XP přežijí ve zdraví.
==============================================
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 94DB-AA57.

Výpis adresáře C:\WINDOWS\$hf_mig$\KB956572\SP2QFE

09.02.2009 10:54 111 104 services.exe
1 souborů, 111 104 bajtů

Výpis adresáře C:\WINDOWS\$hf_mig$\KB956572\SP3GDR

09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů

Výpis adresáře C:\WINDOWS\$hf_mig$\KB956572\SP3QFE

09.02.2009 12:18 111 104 services.exe
1 souborů, 111 104 bajtů

Výpis adresáře C:\WINDOWS\$NtServicePackUninstall$

09.02.2009 11:11 111 104 services.exe
1 souborů, 111 104 bajtů

Výpis adresáře C:\WINDOWS\$NtUninstallKB956572$

14.04.2008 04:22 108 544 services.exe
1 souborů, 108 544 bajtů

Výpis adresáře C:\WINDOWS\$NtUninstallKB956572_0$

17.08.2004 15:49 108 544 services.exe
1 souborů, 108 544 bajtů

Výpis adresáře C:\WINDOWS\erdnt\cache

09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů

Výpis adresáře C:\WINDOWS\ServicePackFiles\i386

14.04.2008 04:22 108 544 services.exe
1 souborů, 108 544 bajtů

Výpis adresáře C:\WINDOWS\system32

09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů

Výpis adresáře C:\WINDOWS\system32\dllcache

09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů

[jaro3]

Je to OK.

Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.