3)
Ze zoufalství jsem dvakrát zkusil spustit "kompletní kontrolu" MbAM. Na oba pokusy to vyhodilo nějaké problémové soubory.
--------------------------------------------
Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware.) 1.70.0.1100
http://www.malwarebytes.org
Verze: v2013.03.04.10
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Zed :: ZDĚNDA [administrátor]
Ochrana: Povolena
20.3.2013 0:12:13
mbam-log-2013-03-20 (00-12-13).txt
Typ: Kompletní kontrola (C:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 234133
Uplynulý čas: 1 hodin, 20 minut, 15 sekund
Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené soubory: 2
C:\= Instalačky a ovladače =\lakyho INSTALACKY\Ahead Nero Burning\Ahead.Nero.v7.0.Ultra.Edition.Incl.Keymaker-EMBRACE\keygen.exe (RiskWare.Tool.CK) -> Přesun do karantény a smazání se zdařilo.
C:\= Instalačky a ovladače =\lakyho INSTALACKY\mereni pripojeni\nsli.exe (Malware.Packer.Gen) -> Přesun do karantény a smazání se zdařilo.
(konec)
-------------------------------------------------------
Malwarebytes Anti-Malware 1.70.0.1100
http://www.malwarebytes.org
Verze: v2013.03.19.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Zed :: ZDĚNDA [administrátor]
20.3.2013 0:42:31
mbam-log-2013-03-20 (00-42-31).txt
Typ: Kompletní kontrola (A:\|C:\|D:\|F:\|G:\|H:\|)
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM | P2P
Nastavení kontroly zakázáno:
Kontrolované objekty: 246267
Uplynulý čas: 2 hodin, 26 minut, 48 sekund
Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)
Nalezené soubory: 2
C:\System Volume Information\_restore{FC2DAF72-B184-4ABC-9C64-77A576F2DE02}\RP310\A0061991.exe (Malware.Packer.Gen) -> Přesun do karantény a smazání se zdařilo.
C:\System Volume Information\_restore{FC2DAF72-B184-4ABC-9C64-77A576F2DE02}\RP310\A0061992.exe (RiskWare.Tool.CK) -> Přesun do karantény a smazání se zdařilo.
(konec
---------------------------------------------------
Prosím o kontrolu - service.exe zatěžuje CPU Vyřešeno
- memphisto
- Guru Level 13
- Příspěvky: 21113
- Registrován: září 06
- Bydliště: Zlín - České Budějovice
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu - service.exe zatěžuje CPU
To první jsou cracky a keygeny na SW = WAREZ!
Ty druhé jsou zbytky v bodech obnovy. Těch se zbavíš tak, že vypneš body obnovy a zase zapneš. Smažou se a zůstane jen pár posledních.
Ty druhé jsou zbytky v bodech obnovy. Těch se zbavíš tak, že vypneš body obnovy a zase zapneš. Smažou se a zůstane jen pár posledních.
PRAVIDLA PC-HELP.CZ, PRAVIDLA sekce HijackThis, HijackThis návod, Memtest, CCleaner
Logy z programu HijackThis neposílejte prosím přes SZ, ale vkládejte je do patřičné sekce. Děkuji
Logy z programu HijackThis neposílejte prosím přes SZ, ale vkládejte je do patřičné sekce. Děkuji
Re: Prosím o kontrolu - service.exe zatěžuje CPU
Každopádně od té doby, co jsem spustil tu kompletní kontrolu MbAM, se zdá být chod PC lepší. Předtím, když ten soubor services.exe zabíral tolik CPU, to byla katastrofa. Nejsem si ale vědom, že bych něco takového do počítače v poslední době ukládal.
Mohly ty soubory na to mít vliv, nebo je to náhoda?
Předpokládám, že když vypnu body obnovy, nepůjdou vrátit změny, které provedl ComboFix - tedy
1. smazání účetního programu a
2. vytvoření "konzoly pro zotavení", která má zřejmě na svědomí, že při startu PC se ještě před start Windows začala zobrazovat na monitoru na cca 1 vteřinu nějaká nová nabídka na spuštění operačního systému.
Mohly ty soubory na to mít vliv, nebo je to náhoda?
Předpokládám, že když vypnu body obnovy, nepůjdou vrátit změny, které provedl ComboFix - tedy
1. smazání účetního programu a
2. vytvoření "konzoly pro zotavení", která má zřejmě na svědomí, že při startu PC se ještě před start Windows začala zobrazovat na monitoru na cca 1 vteřinu nějaká nová nabídka na spuštění operačního systému.
- jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43298
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu - service.exe zatěžuje CPU
Zkusíme vrátit ten program:
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.
Stáhni si RogueKiller
32bit.:
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
64bit.:
http://www.sur-la-toile.com/RogueKiller ... lerX64.exe
na svojí plochu.
- Zavři všechny ostatní programy a prohlížeče.
- Pro OS Vista a win7 spusť program RogueKiller.exe jako správce , u XP poklepáním.
- počkej až skončí Prescan.
- Zkontroluj , zda máš zaškrtnuto:
Kontrola MBR
Kontrola Faked
Antirootkit
-Potom klikni na „Prohledat“.
- Program skenuje PC. Po proskenování klikni na „Zpráva“celý obsah logu sem zkopíruj.
Pokud je program blokován , zkus ho spustit několikrát. Pokud dále program nepůjde spustit a pracovat, přejmenuj ho na winlogon.exe.
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Kód: Vybrat vše
DeQuarantine::
C:\Qoobox\Quarantine\C\UCTO2010
Quit::
Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Upozornění : Může se stát, že po aplikaci Combofixu a restartu počítače, Windows nenaběhnou , nebo nenajede plocha , budou problémy s připojením, pak znovu restartuj počítač, pokud to nepomůže , po restartu mačkej klávesu F8 a pak zvol poslední známou funkční konfiguraci. , či použij bod obnovy.
Stáhni si RogueKiller
32bit.:
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
64bit.:
http://www.sur-la-toile.com/RogueKiller ... lerX64.exe
na svojí plochu.
- Zavři všechny ostatní programy a prohlížeče.
- Pro OS Vista a win7 spusť program RogueKiller.exe jako správce , u XP poklepáním.
- počkej až skončí Prescan.
- Zkontroluj , zda máš zaškrtnuto:
Kontrola MBR
Kontrola Faked
Antirootkit
-Potom klikni na „Prohledat“.
- Program skenuje PC. Po proskenování klikni na „Zpráva“celý obsah logu sem zkopíruj.
Pokud je program blokován , zkus ho spustit několikrát. Pokud dále program nepůjde spustit a pracovat, přejmenuj ho na winlogon.exe.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Prosím o kontrolu - service.exe zatěžuje CPU
Já jsem ten program "UCTO2010" vrátil už předtím pomocí bodu obnovy a pro jistotu jsem ho přesunul do jiného PC a z tohoto NTB jsem ho úplně odstranil.
ComboFix jsem spustil znova (viz. log), poté jsem spustil HjT (viz. log), poté RogueKiller (viz. log).
ComboFix 13-03-20.02 - Zed 21.03.2013 2:16.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1262.896 [GMT 1:00]
Spuštěný z: c:\documents and settings\Zed\Dokumenty\Stažené soubory\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-02-21 do 2013-03-21 )))))))))))))))))))))))))))))))
.
.
2013-03-20 10:05 . 2013-03-06 23:33 164736 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2013-03-20 10:05 . 2013-03-06 23:33 49248 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2013-03-20 10:05 . 2013-03-06 23:33 66336 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2013-03-19 21:42 . 2013-03-19 21:42 -------- d-----w- c:\documents and settings\Zed\Data aplikací\RealNetworks
2013-03-19 19:29 . 2013-02-12 00:32 12928 -c----w- c:\windows\system32\dllcache\usb8023x.sys
2013-03-19 19:29 . 2013-02-12 00:32 12928 -c----w- c:\windows\system32\dllcache\usb8023.sys
2013-03-05 14:04 . 2013-03-05 14:04 -------- d-----w- c:\program files\IrfanView
2013-03-04 21:38 . 2013-03-04 21:38 -------- d-----w- c:\documents and settings\Zed\Data aplikací\Malwarebytes
2013-03-04 21:38 . 2013-03-04 21:38 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2013-03-04 21:37 . 2012-12-14 15:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-03-04 21:37 . 2013-03-04 21:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-03-03 21:47 . 2013-03-03 21:47 388096 ----a-r- c:\documents and settings\Zed\Data aplikací\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2013-03-03 21:47 . 2013-03-03 21:47 -------- d-----w- c:\program files\Trend Micro
2013-03-01 21:32 . 2013-03-01 21:32 -------- d-----w- c:\program files\AntiTwin
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-12 23:47 . 2012-04-11 10:29 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-03-12 23:47 . 2012-03-09 14:35 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-06 23:33 . 2012-12-29 22:53 368176 ----a-w- c:\windows\system32\drivers\aswSP.sys
2013-03-06 23:33 . 2012-12-29 22:53 49760 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2013-03-06 23:33 . 2012-12-29 22:53 62376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2013-03-06 23:33 . 2012-12-29 22:27 765736 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2013-03-06 23:33 . 2012-12-29 22:53 29816 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2013-03-06 23:32 . 2012-12-29 22:26 41664 ----a-w- c:\windows\avastSS.scr
2013-03-06 23:32 . 2012-12-29 22:26 228600 ----a-w- c:\windows\system32\aswBoot.exe
2013-02-12 00:32 . 2009-03-07 10:16 12928 ------w- c:\windows\system32\drivers\usb8023x.sys
2013-02-12 00:32 . 2001-10-25 14:00 12928 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-02-11 04:28 . 2013-02-11 04:28 79 ----a-w- c:\windows\system32\ssinstall-uninstall.bat
2013-02-11 04:28 . 2013-02-11 04:28 2317848 ----a-w- c:\windows\system32\ssins.exe
2013-02-10 08:19 . 2013-02-10 08:19 16384 ----a-w- c:\program files\wmdmhelper.dll
2013-02-10 08:19 . 2013-02-10 08:19 641536 ----a-w- c:\program files\rjbres.dll
2013-02-10 08:19 . 2013-02-10 08:19 370176 ----a-w- c:\program files\rjdlg.dll
2013-02-10 08:19 . 2013-02-10 08:19 31232 ----a-w- c:\program files\rjprog.dll
2013-02-10 08:19 . 2013-02-10 08:19 139264 ----a-w- c:\program files\dunzip32.dll
2013-02-10 08:19 . 2013-02-10 08:19 45568 ----a-w- c:\program files\ierjplug.dll
2013-02-10 08:19 . 2013-02-10 08:19 8704 ----a-w- c:\program files\fixrjb.exe
2013-02-10 08:19 . 2013-02-10 08:19 1115376 ----a-w- c:\program files\cddbmusicid.dll
2013-02-10 08:19 . 2013-02-10 08:19 943344 ----a-w- c:\program files\cddblink.dll
2013-02-10 08:19 . 2013-02-10 08:19 44544 ----a-w- c:\program files\mmcdda32.dll
2013-02-10 08:19 . 2013-02-10 08:19 22528 ----a-w- c:\program files\tnetdtct.dll
2013-02-10 08:19 . 2013-02-10 08:19 2041072 ----a-w- c:\program files\cddbcontrol.dll
2013-02-10 08:19 . 2013-02-10 08:19 73216 ----a-w- c:\program files\tsasdk.dll
2013-02-10 08:19 . 2013-02-10 08:19 48640 ----a-w- c:\program files\tpasdk.dll
2013-02-10 08:18 . 2013-02-10 08:18 56320 ----a-w- c:\program files\rpwa3260.dll
2013-02-10 08:18 . 2013-02-10 08:18 16296 ----a-w- c:\program files\realtfon.fon
2013-02-10 08:18 . 2013-02-10 08:18 9159680 ----a-w- c:\program files\mediainfo.dll
2013-02-10 08:18 . 2013-02-10 08:18 389272 ----a-w- c:\program files\realcleaner.exe
2013-02-10 08:17 . 2013-02-10 08:17 383640 ----a-w- c:\program files\realconverter.exe
2013-02-10 08:17 . 2013-02-10 08:17 354968 ----a-w- c:\program files\convert.exe
2013-02-10 08:17 . 2013-02-10 08:17 390384 ----a-w- c:\program files\mc_enc_mp4v.dll
2013-02-10 08:17 . 2013-02-10 08:17 389272 ----a-w- c:\program files\realtrimmer.exe
2013-02-10 08:17 . 2013-02-10 08:17 136336 ----a-w- c:\program files\realshare.exe
2013-02-10 08:17 . 2013-02-10 08:17 115200 ----a-w- c:\program files\rpshellextension.dll
2013-02-10 08:17 . 2013-02-10 08:17 719360 ----a-w- c:\program files\dbghelp.dll
2013-02-10 08:17 . 2013-02-10 08:17 69632 ----a-w- c:\program files\rjwmapln.dll
2013-02-10 08:17 . 2013-02-10 08:17 47616 ----a-w- c:\program files\rpau3260.dll
2013-02-10 08:16 . 2013-02-10 08:16 30368 ----a-w- c:\program files\rndevicedbbuilder.exe
2013-02-10 08:16 . 2013-02-10 08:16 87552 ----a-w- c:\program files\hxaudiodevicehook.dll
2013-02-10 08:16 . 2013-02-10 08:16 112824 ----a-w- c:\program files\rdsf3260.dll
2013-02-10 08:16 . 2013-02-10 08:16 86016 ----a-w- c:\program files\rpplugprot.dll
2013-02-10 08:16 . 2013-02-10 08:16 70840 ----a-w- c:\program files\rpshell.dll
2013-02-10 08:16 . 2013-02-10 08:16 9216 ----a-w- c:\program files\realjbox.exe
2013-02-10 08:16 . 2013-02-10 08:16 17080 ----a-w- c:\program files\rphelperapp.exe
2013-02-10 08:16 . 2013-02-10 08:16 500888 ----a-w- c:\program files\realplay.exe
2013-02-10 08:16 . 2008-12-26 15:19 499712 ----a-w- c:\windows\system32\msvcp71.dll
2013-02-10 08:16 . 2008-12-26 15:19 348160 ----a-w- c:\windows\system32\msvcr71.dll
2013-02-06 10:55 . 2002-09-20 18:05 668160 ----a-w- c:\windows\system32\wininet.dll
2013-02-06 10:55 . 2001-10-25 14:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2013-02-06 10:55 . 2009-03-07 10:16 81920 ------w- c:\windows\system32\ieencode.dll
2013-02-06 10:50 . 2009-03-07 10:16 370176 ------w- c:\windows\system32\html.iec
2013-01-26 03:55 . 2002-09-20 18:04 552448 ----a-w- c:\windows\system32\oleaut32.dll
2013-01-07 07:26 . 2002-09-20 17:12 2071936 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-01-07 07:26 . 2002-09-20 17:12 2195200 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-01-04 10:10 . 2002-09-20 17:41 1867264 ----a-w- c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2008-12-30 23:04 1294848 ----a-w- c:\windows\system32\quartz.dll
2013-01-02 06:49 . 2008-12-30 23:04 148992 ----a-w- c:\windows\system32\mpg2splt.ax
2013-03-12 23:01 . 2013-03-12 23:00 263064 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-03-06 23:32 121968 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-03-06 4767304]
"AcerNotebookManager"="c:\program files\Acer\Notebook Manager\almxptray.exe" [2003-05-16 509952]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2009-07-27 02:10 1983816 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2009-03-18 01:40 767312 ----a-w- c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R0 aswRvrt;aswRvrt;c:\windows\system32\drivers\aswRvrt.sys [20.3.2013 11:05 49248]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [29.12.2012 23:27 765736]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29.12.2012 23:53 368176]
R2 acernbm;acernbm;c:\windows\system32\drivers\acernbm.sys [26.12.2008 14:27 6570]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.12.2012 23:53 29816]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [20.3.2013 11:05 66336]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [22.4.2011 13:21 92592]
R3 aswVmm;aswVmm;c:\windows\system32\drivers\aswVmm.sys [20.3.2013 11:05 164736]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [4.3.2013 22:37 21104]
R3 st3bus28;st3bus28;c:\windows\system32\drivers\st3bus28.sys [28.12.2002 12:16 8416]
R3 st3mp28;st3mp28;c:\windows\system32\drivers\st3mp28.sys [28.12.2002 12:16 95328]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [4.3.2013 22:37 682344]
S2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\program files\RealNetworks\RealDownloader\rndlresolversvc.exe [29.11.2012 20:31 38608]
S3 vwmfbus;Vertex Wireless Composite Device driver (WDM);c:\windows\system32\drivers\vwmfbus.sys [1.1.1988 1:07 98560]
S3 vwmfdiag;Vertex Wireless Diagnostic Monitor Port Driver (WDM);c:\windows\system32\drivers\vwmfdiag.sys [1.1.1988 1:07 100224]
S3 vwmfmdfl;~Vertex Wireless CDC Modem Filter~;c:\windows\system32\drivers\vwmfmdfl.sys [1.1.1988 1:07 14848]
S3 vwmfmdm;Vertex Wireless CDC Modem Driver;c:\windows\system32\drivers\vwmfmdm.sys [1.1.1988 1:07 123776]
S3 vwmfserd;Vertex Wireless Device Management Port Driver (WDM);c:\windows\system32\drivers\vwmfserd.sys [1.1.1988 1:07 100224]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - ASWMONFLT
*NewlyCreated* - ASWRVRT
*NewlyCreated* - ASWVMM
.
Obsah adresáře 'Naplánované úlohy'
.
2013-03-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 23:47]
.
2013-03-20 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-12-29 23:32]
.
2013-03-20 c:\windows\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1220945662-1580436667-854245398-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
2013-03-10 c:\windows\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1220945662-1580436667-854245398-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Zed\Data aplikací\Mozilla\Firefox\Profiles\8wgcaole.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - ExtSQL: 2013-02-10 09:18; {34712C68-7391-4c47-94F3-8F88D49AD632}; c:\documents and settings\All Users\Data aplikacĂÂ\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext
FF - ExtSQL: !HIDDEN! 2011-03-14 01:10; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-03-21 02:27
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
.
C:\avast! sandbox
.
sken byl úspešně dokončen
skryté soubory: 1
.
**************************************************************************
.
Celkový čas: 2013-03-21 02:31:12
ComboFix-quarantined-files.txt 2013-03-21 01:31
.
Před spuštěním: Volných bajtů: 10 209 796 096
Po spuštění: Volných bajtů: 10 200 743 936
.
- - End Of File - - 9C0EA16F5090EBDA69D2FB563F8E72D6
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 3:20:13, on 21.3.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\explorer.exe
C:\Program Files\RealNetworks\RealDownloader\recordingmanager.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealNetworks Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Data aplikací\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: RealNetworks Downloader Resolver Service - Unknown owner - C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
--
End of file - 4418 bytes
RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/fi ... guekiller/
Webové stránky : http://tigzy.geekstogo.com/roguekiller.php
: http://tigzyrk.blogspot.com/
Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : Zed [Práva správce]
Mód : Kontrola -- Datum : 03/21/2013 03:28:38
| ARK || FAK || MBR |
¤¤¤ Škodlivé procesy: : 0 ¤¤¤
¤¤¤ ¤¤¤ Záznamy Registrů: : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> NALEZENO
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NALEZENO
¤¤¤ Zvláštní soubory / Složky: ¤¤¤
¤¤¤ Ovladač : [NAHRÁNO] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x89E106D8)
¤¤¤ Soubor HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ Kontrola MBR: ¤¤¤
+++++ PhysicalDrive0: IC25N020ATMR04-0 +++++
--- User ---
[MBR] 19b6e48208ab2a9c4d4604915a640e0e
[BSP] d29858277df39b66c32464d2ec896679 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 19069 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Dokončeno : << RKreport[1]_S_03212013_02d0328.txt >>
RKreport[1]_S_03212013_02d0328.txt
ComboFix jsem spustil znova (viz. log), poté jsem spustil HjT (viz. log), poté RogueKiller (viz. log).
ComboFix 13-03-20.02 - Zed 21.03.2013 2:16.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1262.896 [GMT 1:00]
Spuštěný z: c:\documents and settings\Zed\Dokumenty\Stažené soubory\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-02-21 do 2013-03-21 )))))))))))))))))))))))))))))))
.
.
2013-03-20 10:05 . 2013-03-06 23:33 164736 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2013-03-20 10:05 . 2013-03-06 23:33 49248 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2013-03-20 10:05 . 2013-03-06 23:33 66336 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2013-03-19 21:42 . 2013-03-19 21:42 -------- d-----w- c:\documents and settings\Zed\Data aplikací\RealNetworks
2013-03-19 19:29 . 2013-02-12 00:32 12928 -c----w- c:\windows\system32\dllcache\usb8023x.sys
2013-03-19 19:29 . 2013-02-12 00:32 12928 -c----w- c:\windows\system32\dllcache\usb8023.sys
2013-03-05 14:04 . 2013-03-05 14:04 -------- d-----w- c:\program files\IrfanView
2013-03-04 21:38 . 2013-03-04 21:38 -------- d-----w- c:\documents and settings\Zed\Data aplikací\Malwarebytes
2013-03-04 21:38 . 2013-03-04 21:38 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2013-03-04 21:37 . 2012-12-14 15:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-03-04 21:37 . 2013-03-04 21:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-03-03 21:47 . 2013-03-03 21:47 388096 ----a-r- c:\documents and settings\Zed\Data aplikací\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2013-03-03 21:47 . 2013-03-03 21:47 -------- d-----w- c:\program files\Trend Micro
2013-03-01 21:32 . 2013-03-01 21:32 -------- d-----w- c:\program files\AntiTwin
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-12 23:47 . 2012-04-11 10:29 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-03-12 23:47 . 2012-03-09 14:35 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-06 23:33 . 2012-12-29 22:53 368176 ----a-w- c:\windows\system32\drivers\aswSP.sys
2013-03-06 23:33 . 2012-12-29 22:53 49760 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2013-03-06 23:33 . 2012-12-29 22:53 62376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2013-03-06 23:33 . 2012-12-29 22:27 765736 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2013-03-06 23:33 . 2012-12-29 22:53 29816 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2013-03-06 23:32 . 2012-12-29 22:26 41664 ----a-w- c:\windows\avastSS.scr
2013-03-06 23:32 . 2012-12-29 22:26 228600 ----a-w- c:\windows\system32\aswBoot.exe
2013-02-12 00:32 . 2009-03-07 10:16 12928 ------w- c:\windows\system32\drivers\usb8023x.sys
2013-02-12 00:32 . 2001-10-25 14:00 12928 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-02-11 04:28 . 2013-02-11 04:28 79 ----a-w- c:\windows\system32\ssinstall-uninstall.bat
2013-02-11 04:28 . 2013-02-11 04:28 2317848 ----a-w- c:\windows\system32\ssins.exe
2013-02-10 08:19 . 2013-02-10 08:19 16384 ----a-w- c:\program files\wmdmhelper.dll
2013-02-10 08:19 . 2013-02-10 08:19 641536 ----a-w- c:\program files\rjbres.dll
2013-02-10 08:19 . 2013-02-10 08:19 370176 ----a-w- c:\program files\rjdlg.dll
2013-02-10 08:19 . 2013-02-10 08:19 31232 ----a-w- c:\program files\rjprog.dll
2013-02-10 08:19 . 2013-02-10 08:19 139264 ----a-w- c:\program files\dunzip32.dll
2013-02-10 08:19 . 2013-02-10 08:19 45568 ----a-w- c:\program files\ierjplug.dll
2013-02-10 08:19 . 2013-02-10 08:19 8704 ----a-w- c:\program files\fixrjb.exe
2013-02-10 08:19 . 2013-02-10 08:19 1115376 ----a-w- c:\program files\cddbmusicid.dll
2013-02-10 08:19 . 2013-02-10 08:19 943344 ----a-w- c:\program files\cddblink.dll
2013-02-10 08:19 . 2013-02-10 08:19 44544 ----a-w- c:\program files\mmcdda32.dll
2013-02-10 08:19 . 2013-02-10 08:19 22528 ----a-w- c:\program files\tnetdtct.dll
2013-02-10 08:19 . 2013-02-10 08:19 2041072 ----a-w- c:\program files\cddbcontrol.dll
2013-02-10 08:19 . 2013-02-10 08:19 73216 ----a-w- c:\program files\tsasdk.dll
2013-02-10 08:19 . 2013-02-10 08:19 48640 ----a-w- c:\program files\tpasdk.dll
2013-02-10 08:18 . 2013-02-10 08:18 56320 ----a-w- c:\program files\rpwa3260.dll
2013-02-10 08:18 . 2013-02-10 08:18 16296 ----a-w- c:\program files\realtfon.fon
2013-02-10 08:18 . 2013-02-10 08:18 9159680 ----a-w- c:\program files\mediainfo.dll
2013-02-10 08:18 . 2013-02-10 08:18 389272 ----a-w- c:\program files\realcleaner.exe
2013-02-10 08:17 . 2013-02-10 08:17 383640 ----a-w- c:\program files\realconverter.exe
2013-02-10 08:17 . 2013-02-10 08:17 354968 ----a-w- c:\program files\convert.exe
2013-02-10 08:17 . 2013-02-10 08:17 390384 ----a-w- c:\program files\mc_enc_mp4v.dll
2013-02-10 08:17 . 2013-02-10 08:17 389272 ----a-w- c:\program files\realtrimmer.exe
2013-02-10 08:17 . 2013-02-10 08:17 136336 ----a-w- c:\program files\realshare.exe
2013-02-10 08:17 . 2013-02-10 08:17 115200 ----a-w- c:\program files\rpshellextension.dll
2013-02-10 08:17 . 2013-02-10 08:17 719360 ----a-w- c:\program files\dbghelp.dll
2013-02-10 08:17 . 2013-02-10 08:17 69632 ----a-w- c:\program files\rjwmapln.dll
2013-02-10 08:17 . 2013-02-10 08:17 47616 ----a-w- c:\program files\rpau3260.dll
2013-02-10 08:16 . 2013-02-10 08:16 30368 ----a-w- c:\program files\rndevicedbbuilder.exe
2013-02-10 08:16 . 2013-02-10 08:16 87552 ----a-w- c:\program files\hxaudiodevicehook.dll
2013-02-10 08:16 . 2013-02-10 08:16 112824 ----a-w- c:\program files\rdsf3260.dll
2013-02-10 08:16 . 2013-02-10 08:16 86016 ----a-w- c:\program files\rpplugprot.dll
2013-02-10 08:16 . 2013-02-10 08:16 70840 ----a-w- c:\program files\rpshell.dll
2013-02-10 08:16 . 2013-02-10 08:16 9216 ----a-w- c:\program files\realjbox.exe
2013-02-10 08:16 . 2013-02-10 08:16 17080 ----a-w- c:\program files\rphelperapp.exe
2013-02-10 08:16 . 2013-02-10 08:16 500888 ----a-w- c:\program files\realplay.exe
2013-02-10 08:16 . 2008-12-26 15:19 499712 ----a-w- c:\windows\system32\msvcp71.dll
2013-02-10 08:16 . 2008-12-26 15:19 348160 ----a-w- c:\windows\system32\msvcr71.dll
2013-02-06 10:55 . 2002-09-20 18:05 668160 ----a-w- c:\windows\system32\wininet.dll
2013-02-06 10:55 . 2001-10-25 14:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2013-02-06 10:55 . 2009-03-07 10:16 81920 ------w- c:\windows\system32\ieencode.dll
2013-02-06 10:50 . 2009-03-07 10:16 370176 ------w- c:\windows\system32\html.iec
2013-01-26 03:55 . 2002-09-20 18:04 552448 ----a-w- c:\windows\system32\oleaut32.dll
2013-01-07 07:26 . 2002-09-20 17:12 2071936 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-01-07 07:26 . 2002-09-20 17:12 2195200 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-01-04 10:10 . 2002-09-20 17:41 1867264 ----a-w- c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2008-12-30 23:04 1294848 ----a-w- c:\windows\system32\quartz.dll
2013-01-02 06:49 . 2008-12-30 23:04 148992 ----a-w- c:\windows\system32\mpg2splt.ax
2013-03-12 23:01 . 2013-03-12 23:00 263064 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-03-06 23:32 121968 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-03-06 4767304]
"AcerNotebookManager"="c:\program files\Acer\Notebook Manager\almxptray.exe" [2003-05-16 509952]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2009-07-27 02:10 1983816 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2009-03-18 01:40 767312 ----a-w- c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R0 aswRvrt;aswRvrt;c:\windows\system32\drivers\aswRvrt.sys [20.3.2013 11:05 49248]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [29.12.2012 23:27 765736]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29.12.2012 23:53 368176]
R2 acernbm;acernbm;c:\windows\system32\drivers\acernbm.sys [26.12.2008 14:27 6570]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.12.2012 23:53 29816]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [20.3.2013 11:05 66336]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [22.4.2011 13:21 92592]
R3 aswVmm;aswVmm;c:\windows\system32\drivers\aswVmm.sys [20.3.2013 11:05 164736]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [4.3.2013 22:37 21104]
R3 st3bus28;st3bus28;c:\windows\system32\drivers\st3bus28.sys [28.12.2002 12:16 8416]
R3 st3mp28;st3mp28;c:\windows\system32\drivers\st3mp28.sys [28.12.2002 12:16 95328]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [4.3.2013 22:37 682344]
S2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\program files\RealNetworks\RealDownloader\rndlresolversvc.exe [29.11.2012 20:31 38608]
S3 vwmfbus;Vertex Wireless Composite Device driver (WDM);c:\windows\system32\drivers\vwmfbus.sys [1.1.1988 1:07 98560]
S3 vwmfdiag;Vertex Wireless Diagnostic Monitor Port Driver (WDM);c:\windows\system32\drivers\vwmfdiag.sys [1.1.1988 1:07 100224]
S3 vwmfmdfl;~Vertex Wireless CDC Modem Filter~;c:\windows\system32\drivers\vwmfmdfl.sys [1.1.1988 1:07 14848]
S3 vwmfmdm;Vertex Wireless CDC Modem Driver;c:\windows\system32\drivers\vwmfmdm.sys [1.1.1988 1:07 123776]
S3 vwmfserd;Vertex Wireless Device Management Port Driver (WDM);c:\windows\system32\drivers\vwmfserd.sys [1.1.1988 1:07 100224]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - ASWMONFLT
*NewlyCreated* - ASWRVRT
*NewlyCreated* - ASWVMM
.
Obsah adresáře 'Naplánované úlohy'
.
2013-03-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 23:47]
.
2013-03-20 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-12-29 23:32]
.
2013-03-20 c:\windows\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1220945662-1580436667-854245398-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
2013-03-10 c:\windows\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1220945662-1580436667-854245398-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Zed\Data aplikací\Mozilla\Firefox\Profiles\8wgcaole.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - ExtSQL: 2013-02-10 09:18; {34712C68-7391-4c47-94F3-8F88D49AD632}; c:\documents and settings\All Users\Data aplikacĂÂ\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext
FF - ExtSQL: !HIDDEN! 2011-03-14 01:10; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-03-21 02:27
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
.
C:\avast! sandbox
.
sken byl úspešně dokončen
skryté soubory: 1
.
**************************************************************************
.
Celkový čas: 2013-03-21 02:31:12
ComboFix-quarantined-files.txt 2013-03-21 01:31
.
Před spuštěním: Volných bajtů: 10 209 796 096
Po spuštění: Volných bajtů: 10 200 743 936
.
- - End Of File - - 9C0EA16F5090EBDA69D2FB563F8E72D6
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 3:20:13, on 21.3.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\explorer.exe
C:\Program Files\RealNetworks\RealDownloader\recordingmanager.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealNetworks Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Data aplikací\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: RealNetworks Downloader Resolver Service - Unknown owner - C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
--
End of file - 4418 bytes
RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/fi ... guekiller/
Webové stránky : http://tigzy.geekstogo.com/roguekiller.php
: http://tigzyrk.blogspot.com/
Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : Zed [Práva správce]
Mód : Kontrola -- Datum : 03/21/2013 03:28:38
| ARK || FAK || MBR |
¤¤¤ Škodlivé procesy: : 0 ¤¤¤
¤¤¤ ¤¤¤ Záznamy Registrů: : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> NALEZENO
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NALEZENO
¤¤¤ Zvláštní soubory / Složky: ¤¤¤
¤¤¤ Ovladač : [NAHRÁNO] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x89E106D8)
¤¤¤ Soubor HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ Kontrola MBR: ¤¤¤
+++++ PhysicalDrive0: IC25N020ATMR04-0 +++++
--- User ---
[MBR] 19b6e48208ab2a9c4d4604915a640e0e
[BSP] d29858277df39b66c32464d2ec896679 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 19069 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Dokončeno : << RKreport[1]_S_03212013_02d0328.txt >>
RKreport[1]_S_03212013_02d0328.txt
- jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43298
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu - service.exe zatěžuje CPU
Zavři všechny programy a prohlížeče.
Prosím, odpoj všechny USB nebo externí disky z počítače před spuštěním tohoto programu.
Spusť RogueKiller ( Pro Windows Vista nebo Windows 7, klepni pravým a vyber "Spustit jako správce", ve Windows XP poklepej ke spuštění).
- Počkej, až Prescan dokončí práci...
- Počkej, dokud status okno zobrazuje "Scan "
- Klikni na "Delete"
- Počkej, dokud Status box zobrazuje "Smazání- Finished "
- Klikni na "Zprávy " a zkopíruj a vlož obsah té zprávy prosím sem. Log je možno nalézt v RKreport [1]. txt na ploše.
- Zavři RogueKiller
To jsem nevěděl , chtěl jsem to vrátit zpět (ucto)
ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall
Vyčisti systém CCleanerem
Stáhni si OTC
na plochu. Poklepej na něj. Potom klikni na Clean up!.
Restartuj PC , pokud Ti bude doporučeno.
Odinstaluj:
Toolbar: SnagIt -
Fixni:
V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému
Toto otestuj na Virustotal
c:\windows\system32\ssinstall-uninstall.bat
c:\windows\system32\ssins.exe
Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/43 , nebo 1/43. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.
Nebo na:
http://www.virscan.org/
Jak to vypadá nyní?
Prosím, odpoj všechny USB nebo externí disky z počítače před spuštěním tohoto programu.
Spusť RogueKiller ( Pro Windows Vista nebo Windows 7, klepni pravým a vyber "Spustit jako správce", ve Windows XP poklepej ke spuštění).
- Počkej, až Prescan dokončí práci...
- Počkej, dokud status okno zobrazuje "Scan "
- Klikni na "Delete"
- Počkej, dokud Status box zobrazuje "Smazání- Finished "
- Klikni na "Zprávy " a zkopíruj a vlož obsah té zprávy prosím sem. Log je možno nalézt v RKreport [1]. txt na ploše.
- Zavři RogueKiller
To jsem nevěděl , chtěl jsem to vrátit zpět (ucto)
ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall
Vyčisti systém CCleanerem
Stáhni si OTC
na plochu. Poklepej na něj. Potom klikni na Clean up!.
Restartuj PC , pokud Ti bude doporučeno.
Odinstaluj:
Toolbar: SnagIt -
Fixni:
Kód: Vybrat vše
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému
Toto otestuj na Virustotal
c:\windows\system32\ssinstall-uninstall.bat
c:\windows\system32\ssins.exe
Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/43 , nebo 1/43. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.
Nebo na:
http://www.virscan.org/
Jak to vypadá nyní?
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Prosím o kontrolu - service.exe zatěžuje CPU
1) Já jsem to UCTO2010 raději vrátil před tím, než jsem vypnul a zapnul body obnovy dle předchozí rady (z 20 Bře 2013 09:39). Měl jsem totiž strach, abych o to nepřišel.
2) RogueKiller
RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/fi ... guekiller/
Webové stránky : http://tigzy.geekstogo.com/roguekiller.php
: http://tigzyrk.blogspot.com/
Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : Zed [Práva správce]
Mód : Kontrola -- Datum : 03/22/2013 00:18:38
| ARK || FAK || MBR |
¤¤¤ Škodlivé procesy: : 0 ¤¤¤
¤¤¤ ¤¤¤ Záznamy Registrů: : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> NALEZENO
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NALEZENO
¤¤¤ Zvláštní soubory / Složky: ¤¤¤
¤¤¤ Ovladač : [NAHRÁNO] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x89F0DF08)
¤¤¤ Soubor HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ Kontrola MBR: ¤¤¤
+++++ PhysicalDrive0: IC25N020ATMR04-0 +++++
--- User ---
[MBR] 19b6e48208ab2a9c4d4604915a640e0e
[BSP] d29858277df39b66c32464d2ec896679 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 19069 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Dokončeno : << RKreport[1]_S_03222013_02d0018.txt >>
RKreport[1]_S_03222013_02d0018.txt
========================================================
========================================================
RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/fi ... guekiller/
Webové stránky : http://tigzy.geekstogo.com/roguekiller.php
: http://tigzyrk.blogspot.com/
Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : Zed [Práva správce]
Mód : Odebrat -- Datum : 03/22/2013 00:20:21
| ARK || FAK || MBR |
¤¤¤ Škodlivé procesy: : 0 ¤¤¤
¤¤¤ ¤¤¤ Záznamy Registrů: : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> VYMAZÁNO
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NAHRAZENO (0)
¤¤¤ Zvláštní soubory / Složky: ¤¤¤
¤¤¤ Ovladač : [NAHRÁNO] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x89F0DF08)
¤¤¤ Soubor HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ Kontrola MBR: ¤¤¤
+++++ PhysicalDrive0: IC25N020ATMR04-0 +++++
--- User ---
[MBR] 19b6e48208ab2a9c4d4604915a640e0e
[BSP] d29858277df39b66c32464d2ec896679 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 19069 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Dokončeno : << RKreport[2]_D_03222013_02d0020.txt >>
RKreport[1]_S_03222013_02d0018.txt ; RKreport[2]_D_03222013_02d0020.txt
3) Virustotal
https://www.virustotal.com/cs/file/4ba1 ... 363917767/
-------------------------------------------
https://www.virustotal.com/cs/file/eabe ... 363918055/
4) http://www.virscan.org
-Zkoušel jsem to otestovat i tady, nenalezen žádný malware.
5) Chod NTB se zdá být klidnější, CPU sem tam vyskočí na 100%, ale jen na chvilku. Soubor services.exe, který předtím zatěžoval CPU, se uklidnil.
Co vidím jako změnu oproti době před vznikem problému:
-větrák pracuje na větší obrátky než předtím, což bude asi tím, že poslední dobou jel skoro pořád úplně naplno, tak bude chtít asi vyčistit vnitřek NTB. Zkusím to nějak rozdělat, jestli se to zlepší.
-schovává se (nezobrazuje se) ikona "Správce úloh" v oznamovací oblasti (malá ikonka, na které běhá zeleně ukazatel využití CPU). V Možnostech Správce úloh systému mám nastaveno "Minimalizovat při použití", v nabídce Start-Nastavení-Nabídka start mám nastaveno "Skrýt pokud není aktivní" nebo i "Zobrazit vždy", přesto se ikona objevuje jak sama chce. Zkoušel jsem to hledat i na internetu a dělá to i ostatním, ale příčinu u XP nikdo neodhalil. Ale to je maličkost.
Zkusím vyčistit vnitřek NTB od prachu a zkusit, jak se to bude celkově chovat při práci, jestli už bude klid.
Pak musím zvolit nějakou vhodnou strategii, aby se tyhle šílenosti neopakovaly, ale netuším jakou vhodnou metodu zvolit?
2) RogueKiller
RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/fi ... guekiller/
Webové stránky : http://tigzy.geekstogo.com/roguekiller.php
: http://tigzyrk.blogspot.com/
Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : Zed [Práva správce]
Mód : Kontrola -- Datum : 03/22/2013 00:18:38
| ARK || FAK || MBR |
¤¤¤ Škodlivé procesy: : 0 ¤¤¤
¤¤¤ ¤¤¤ Záznamy Registrů: : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> NALEZENO
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NALEZENO
¤¤¤ Zvláštní soubory / Složky: ¤¤¤
¤¤¤ Ovladač : [NAHRÁNO] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x89F0DF08)
¤¤¤ Soubor HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ Kontrola MBR: ¤¤¤
+++++ PhysicalDrive0: IC25N020ATMR04-0 +++++
--- User ---
[MBR] 19b6e48208ab2a9c4d4604915a640e0e
[BSP] d29858277df39b66c32464d2ec896679 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 19069 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Dokončeno : << RKreport[1]_S_03222013_02d0018.txt >>
RKreport[1]_S_03222013_02d0018.txt
========================================================
========================================================
RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Podpora : http://www.geekstogo.com/forum/files/fi ... guekiller/
Webové stránky : http://tigzy.geekstogo.com/roguekiller.php
: http://tigzyrk.blogspot.com/
Operační systém : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Spuštěno v : Normální režim
Uživatel : Zed [Práva správce]
Mód : Odebrat -- Datum : 03/22/2013 00:20:21
| ARK || FAK || MBR |
¤¤¤ Škodlivé procesy: : 0 ¤¤¤
¤¤¤ ¤¤¤ Záznamy Registrů: : 2 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> VYMAZÁNO
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NAHRAZENO (0)
¤¤¤ Zvláštní soubory / Složky: ¤¤¤
¤¤¤ Ovladač : [NAHRÁNO] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x89F0DF08)
¤¤¤ Soubor HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ Kontrola MBR: ¤¤¤
+++++ PhysicalDrive0: IC25N020ATMR04-0 +++++
--- User ---
[MBR] 19b6e48208ab2a9c4d4604915a640e0e
[BSP] d29858277df39b66c32464d2ec896679 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 19069 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Dokončeno : << RKreport[2]_D_03222013_02d0020.txt >>
RKreport[1]_S_03222013_02d0018.txt ; RKreport[2]_D_03222013_02d0020.txt
3) Virustotal
https://www.virustotal.com/cs/file/4ba1 ... 363917767/
-------------------------------------------
https://www.virustotal.com/cs/file/eabe ... 363918055/
4) http://www.virscan.org
-Zkoušel jsem to otestovat i tady, nenalezen žádný malware.
5) Chod NTB se zdá být klidnější, CPU sem tam vyskočí na 100%, ale jen na chvilku. Soubor services.exe, který předtím zatěžoval CPU, se uklidnil.
Co vidím jako změnu oproti době před vznikem problému:
-větrák pracuje na větší obrátky než předtím, což bude asi tím, že poslední dobou jel skoro pořád úplně naplno, tak bude chtít asi vyčistit vnitřek NTB. Zkusím to nějak rozdělat, jestli se to zlepší.
-schovává se (nezobrazuje se) ikona "Správce úloh" v oznamovací oblasti (malá ikonka, na které běhá zeleně ukazatel využití CPU). V Možnostech Správce úloh systému mám nastaveno "Minimalizovat při použití", v nabídce Start-Nastavení-Nabídka start mám nastaveno "Skrýt pokud není aktivní" nebo i "Zobrazit vždy", přesto se ikona objevuje jak sama chce. Zkoušel jsem to hledat i na internetu a dělá to i ostatním, ale příčinu u XP nikdo neodhalil. Ale to je maličkost.
Zkusím vyčistit vnitřek NTB od prachu a zkusit, jak se to bude celkově chovat při práci, jestli už bude klid.
Pak musím zvolit nějakou vhodnou strategii, aby se tyhle šílenosti neopakovaly, ale netuším jakou vhodnou metodu zvolit?
- jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43298
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu - service.exe zatěžuje CPU
Doinstalovat nějaký free firewall.
Start-spustit-napiš: notepad ,do něho vlož tento celý text:
uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.
Pak ještě s tímhle:
Start-spustit-napiš: notepad ,do něho vlož tento celý text:
Kód: Vybrat vše
dir \atapi.sys /a h /s > File.txt
uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.
Pak ještě s tímhle:
Kód: Vybrat vše
dir \service.exe /a h /s > File.txt
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Prosím o kontrolu - service.exe zatěžuje CPU
1)
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 94DB-AA57.
Výpis adresáře C:\WINDOWS\$NtServicePackUninstall$
03.08.2004 22:59 95 360 atapi.sys
1 souborů, 95 360 bajtů
Výpis adresáře C:\WINDOWS\erdnt\cache
13.04.2008 19:40 96 512 atapi.sys
1 souborů, 96 512 bajtů
Výpis adresáře C:\WINDOWS\ServicePackFiles\i386
13.04.2008 19:40 96 512 atapi.sys
1 souborů, 96 512 bajtů
Výpis adresáře C:\WINDOWS\system32\drivers
13.04.2008 19:40 96 512 atapi.sys
1 souborů, 96 512 bajtů
Výpis adresáře C:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386
29.08.2002 02:27 86 912 atapi.sys
1 souborů, 86 912 bajtů
==============================================================
2)
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 94DB-AA57.
=============================================================
U toho druhého se objevily jen dva řádky. To je nějak podezřele málo...
Ještě bych se rád zeptal ohledně toho firewallu nebo nějaké kompletní ochrany PC. Tady na fóru je o tom hezký článek, bohužel už pár let starý. V diskusi jsem nenašel jediný názor, na kterém by se všichni shodli, vždy se najde někdo, kdo má 10 důvodů, proč zrovna to nebo to nebrat. Nebyl by nějaký dobrý tip z ověřeného zdroje pro ne příliš výkonný NTB, abych se nemusel bát připojit na internet popř. stáhnout sem tam nějaké video? Nejlépe "vše v jednom" a pokud možno free
. Používám Avast Free a občas Eset online scanner, ale evidentně to nestačí.
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 94DB-AA57.
Výpis adresáře C:\WINDOWS\$NtServicePackUninstall$
03.08.2004 22:59 95 360 atapi.sys
1 souborů, 95 360 bajtů
Výpis adresáře C:\WINDOWS\erdnt\cache
13.04.2008 19:40 96 512 atapi.sys
1 souborů, 96 512 bajtů
Výpis adresáře C:\WINDOWS\ServicePackFiles\i386
13.04.2008 19:40 96 512 atapi.sys
1 souborů, 96 512 bajtů
Výpis adresáře C:\WINDOWS\system32\drivers
13.04.2008 19:40 96 512 atapi.sys
1 souborů, 96 512 bajtů
Výpis adresáře C:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386
29.08.2002 02:27 86 912 atapi.sys
1 souborů, 86 912 bajtů
==============================================================
2)
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 94DB-AA57.
=============================================================
U toho druhého se objevily jen dva řádky. To je nějak podezřele málo...

Ještě bych se rád zeptal ohledně toho firewallu nebo nějaké kompletní ochrany PC. Tady na fóru je o tom hezký článek, bohužel už pár let starý. V diskusi jsem nenašel jediný názor, na kterém by se všichni shodli, vždy se najde někdo, kdo má 10 důvodů, proč zrovna to nebo to nebrat. Nebyl by nějaký dobrý tip z ověřeného zdroje pro ne příliš výkonný NTB, abych se nemusel bát připojit na internet popř. stáhnout sem tam nějaké video? Nejlépe "vše v jednom" a pokud možno free

- jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43298
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu - service.exe zatěžuje CPU
Ještě s tímto:
s těmi firewally , doporučil bych Ti jich několik prozkoušet , ne každému se hodí , kvůli konfiguraci a nastavování.
Firewally zdarma:
Comodo - kvalitní, pokročilý, s mnoha funkcemi, originálně v angličtině
Kerio - přehledný, větší možnosti nastavení, náročnější na systémové prostředky, v češtině
ZoneAlarm - jednoduchý, kompatibilní, nenáročný na systémové prostředky, málo možností nastavení, v angličtině
Pro lepší zabezpečení bych ti doporučil doinstalovat firewall, můžeš si vybrat některý zde uvedený nebo některý jiný z odkazu: Přehled osobních firewallů
Firewally zdarma:
Kerio - přehledný, větší možnosti nastavení, náročnější na systémové prostředky, v češtině
ZoneAlarm - jednoduchý, kompatibilní, nenáročný na systémové prostředky, málo možností nastavení, v angličtině + návod
Comodo - kvalitní, pokročilý, s mnoha funkcemi, originálně v angličtině (nepoužít jeho malware scaner, nebo přes něj odstranit co najde)
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Windows Firewall Notifier
http://wokhan.online.fr/progs.php?sec=WFN
fungující na win7.
Pro vytvoření svých pravidel je zapotřebí otevřít integrovaný firewall ve win7 a upřesnit nastavení příchozí a odchozí pravidla a pracně vyházet jedno podruhé a to z důvodu jelikož si hromadu pravidel systém již vytvořil sám a to s povolením přístupu.
Pak už je jenom na nás při vyskočení okna Notifieru zda povolíme či blokujeme a jedeme od začátku kolotoč klikání a vytváření pravidel a hlavně vidíme co povolujeme chce to jenom trochu znalosti systému ,abychom si nezakázali potřebnou věc pokud se nám to i tak povede lze pravidlo změnit či odstranit opět v upřesnění nastavení či v okně notifieru. Snad to někomu pomůže kdo by chtěl opravdu jistotu ,že mu některý program bude případně odhalen.
******************************************************************************************
DefenseWall Personal Firewall
http://www.softsphere.com/downloads/
Kód: Vybrat vše
dir \services.exe /a h /s > File.txt
s těmi firewally , doporučil bych Ti jich několik prozkoušet , ne každému se hodí , kvůli konfiguraci a nastavování.
Firewally zdarma:
Comodo - kvalitní, pokročilý, s mnoha funkcemi, originálně v angličtině
Kerio - přehledný, větší možnosti nastavení, náročnější na systémové prostředky, v češtině
ZoneAlarm - jednoduchý, kompatibilní, nenáročný na systémové prostředky, málo možností nastavení, v angličtině
Pro lepší zabezpečení bych ti doporučil doinstalovat firewall, můžeš si vybrat některý zde uvedený nebo některý jiný z odkazu: Přehled osobních firewallů
Firewally zdarma:
Kerio - přehledný, větší možnosti nastavení, náročnější na systémové prostředky, v češtině
ZoneAlarm - jednoduchý, kompatibilní, nenáročný na systémové prostředky, málo možností nastavení, v angličtině + návod
Comodo - kvalitní, pokročilý, s mnoha funkcemi, originálně v angličtině (nepoužít jeho malware scaner, nebo přes něj odstranit co najde)
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Windows Firewall Notifier
http://wokhan.online.fr/progs.php?sec=WFN
fungující na win7.
Pro vytvoření svých pravidel je zapotřebí otevřít integrovaný firewall ve win7 a upřesnit nastavení příchozí a odchozí pravidla a pracně vyházet jedno podruhé a to z důvodu jelikož si hromadu pravidel systém již vytvořil sám a to s povolením přístupu.
Pak už je jenom na nás při vyskočení okna Notifieru zda povolíme či blokujeme a jedeme od začátku kolotoč klikání a vytváření pravidel a hlavně vidíme co povolujeme chce to jenom trochu znalosti systému ,abychom si nezakázali potřebnou věc pokud se nám to i tak povede lze pravidlo změnit či odstranit opět v upřesnění nastavení či v okně notifieru. Snad to někomu pomůže kdo by chtěl opravdu jistotu ,že mu některý program bude případně odhalen.
******************************************************************************************
DefenseWall Personal Firewall
http://www.softsphere.com/downloads/
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Re: Prosím o kontrolu - service.exe zatěžuje CPU
Já těm firewallům rozumím jako koza klavíru, takže toho moc nevyzkouším, spíš to bude pokus/omyl, ale nějak se s tím musím poprat, snad to NTB a XP přežijí ve zdraví.
==============================================
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 94DB-AA57.
Výpis adresáře C:\WINDOWS\$hf_mig$\KB956572\SP2QFE
09.02.2009 10:54 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\$hf_mig$\KB956572\SP3GDR
09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\$hf_mig$\KB956572\SP3QFE
09.02.2009 12:18 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\$NtServicePackUninstall$
09.02.2009 11:11 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\$NtUninstallKB956572$
14.04.2008 04:22 108 544 services.exe
1 souborů, 108 544 bajtů
Výpis adresáře C:\WINDOWS\$NtUninstallKB956572_0$
17.08.2004 15:49 108 544 services.exe
1 souborů, 108 544 bajtů
Výpis adresáře C:\WINDOWS\erdnt\cache
09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\ServicePackFiles\i386
14.04.2008 04:22 108 544 services.exe
1 souborů, 108 544 bajtů
Výpis adresáře C:\WINDOWS\system32
09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\system32\dllcache
09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů
==============================================
Svazek v jednotce C nemá žádnou jmenovku.
Sériové číslo svazku je 94DB-AA57.
Výpis adresáře C:\WINDOWS\$hf_mig$\KB956572\SP2QFE
09.02.2009 10:54 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\$hf_mig$\KB956572\SP3GDR
09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\$hf_mig$\KB956572\SP3QFE
09.02.2009 12:18 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\$NtServicePackUninstall$
09.02.2009 11:11 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\$NtUninstallKB956572$
14.04.2008 04:22 108 544 services.exe
1 souborů, 108 544 bajtů
Výpis adresáře C:\WINDOWS\$NtUninstallKB956572_0$
17.08.2004 15:49 108 544 services.exe
1 souborů, 108 544 bajtů
Výpis adresáře C:\WINDOWS\erdnt\cache
09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\ServicePackFiles\i386
14.04.2008 04:22 108 544 services.exe
1 souborů, 108 544 bajtů
Výpis adresáře C:\WINDOWS\system32
09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů
Výpis adresáře C:\WINDOWS\system32\dllcache
09.02.2009 12:25 111 104 services.exe
1 souborů, 111 104 bajtů
- jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43298
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: Prosím o kontrolu - service.exe zatěžuje CPU
Je to OK.
Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.
Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 8 hostů