Opakovaná modrá smrt po náběhu ntb

[Roli]

Aida nevidí verzi ovladačů, to by si spíše našel ve Správci zařízení.

Jinak PC pozoruj a kdyby se něco dělo dej vědět, otestujeme hardware.

[duff74]

Tak PC je beze změn, po zapnutí 2x BSOD.

[Roli]

Stáhni MEMTEST

soubor rozbal a obraz (ISO) vypal jako z image CD, nikoliv jako data.

V Bios Setup do kterého se dostaneš při restartu mačkáním klávesy :

* DEL
* F2
* F1
* F10

záleží na PC, ale vždy je to na monitoru napsáno,

otevři nabídku ADVANCED BIOS FEATURES a vyhledej Boot Devices 0 až 4 nebo Boot Sequence.

Na první místo nastav CD-ROM,

na druhé pevný disk HDD, u obou položek bývá napsán i výrobce.

Stisknutím Save většinou je to F10 a potvrzením Entrem uložíš nastavení,

pak ještě stisknutím Save and Exit se dostaneš z Biosu.

Vlož CD z Memetestem do mechaniky a po restartu z něj PC nabootuje.

Test nech projet minimálně jednou, ideálně však několikrát třeba přes noc a s každým RAM modulem zvlášť.

Pak dej vědět jak to dopadlo.

[duff74]

Ahoj, tak jsem otestoval paměť přes MEMTEST, nechal jsem to jet cca 6 hodin. Výsledek Error - 0, viz screen. Včera 2 x BSOD mimořádně po asi 5 h provozu.

IMG_20120110_185940.jpg (92.43 KiB) Zobrazeno 1793 x

[Roli]

Dobře tak jdeme na HDD.

Stáhni HD Tune a otestuj HDD.

Benchmark - Test disku Klikni na tlačítko Start a vyčkej dokud se nezaplní celý graf. Poté se dozvíš přenosovou rychlost a přístupový čas pevného disku.

Info Přesná kapacita, souborový systém, podporované funkce, verze firmware, sériové číslo a typ zapojení disků.

Health - Kondice Seznam důležitých parametrů a jejich hodnoty. Ideální je mít všude OK.

Když je nějaká položka žlutá pravděpodobně brzy změní status na failed. Když je červená má status failed, to by znamenalo výměnu disku.

Error Scan - Hledání chyb Klikni na tlačítko Start a program prozkoumá disk zda na něm nejsou vadné bloky.

Pokud na konci testu jsou všechny zelené, je vše v pořádku. Když je byť jeden z nich červený, doporučuji zazálohovat data a počítat s výměnou disku.

Teplota Teploměr nahoře a číslo vedle něj znázorňují teplotu disku. Normální hodnota je pod 50°C. Teplota ale nesmí přesáhnout 60°C, program upozorní když dosáhne hranice 55°C.


Pak dej vědět jak to dopadlo.

[duff74]

HD Tune

Benchmark:
Minimum - 19,0 MB/s - modré
Maximum - 41,0 MB/s - modré
Average - 32,1 MB/s - modré

acces time 16,1 ms - ( je to žlutě, tak nevím jestli je to problém)
Burst rate - 103,5 MB/s - bílé
CPU Usage - 5 % - bílé





Healt: vše OK

Error scan: vše zelené

teplota HDD: 42 C

Jinak dnes zatím OK, bez pádu.

[JaRon]

len doplnim:
v casti benchmark napis vsetkych 6 cisel - inac to tazko moze kolega posudit ,,,

[Roli]

HDD je trošku pomalejší, ale jinak v pořádku a to že je Access Time žlutě je normální.

Chvilku tedy notebook pozoruj a uvidíme.

Jako poslední věc co mě napadá že by to mohla dělat když je HW v pořádku - antivir AVG.

[duff74]

Ahoj, antivir AVG jsem tam měl od poslední přeinstalace cca 1,5 roku, kdy PC podobně blbnul. Spadlo to i po ní ale jen párkrát a potom už OK. Až do začátku prosince, kdy začal padat do BSOD. Ale teď si uvědomuju, že PC spadl do BSOD hned potom, co přišla aktualizace Adobe reader v. 9.xx začátkem prosince. Když už jsem nevěděl kudy kam, tak jsem tu devítku odinstaloval a zkusil v 10.xx a potom i v. 8.xx, ale problém přetrvával.
Co jsem si ale všimnul po dobu co to tady spolu řešíme je, že mi asi 1,5 roku nechodili aktualizace, takové ty štíty při vypnutí PC. Myslel jsem, že Microsoft už je pro XP nevydává. Ale asi před 5 dny při vypnutí přišlo 23 aktualizací a včera 10. V ovládacích panelech mám nastaveno aut. aktualizace.
AVG už nemám, 6.1. 2012 jsem ho vyměnil za Avast Free, ale spadlo to párkrát taky i když méně. Podle prohlížeče událostí v systému PC byl poslední systém error 9.1.2012 v 19.44. Potom se objevuje jen chyba DCOM (10005), ale PC nepadá. Ona by asi ani přeinstalace XP neškodila, co? Budu to sledovat a pokud by se to vrátilo tak se ozvu. Každopádně moc děkuju za čas a ochotu.

[JaRon]

zaverecne vyhodnotenie pripadu necham na kolegu, ja len kratko:
zbavenie sa AVG hodnotim vysoko pozitivne doporucujem cistku s CCleanerom

[duff74]

CCleaner mám už asi 3 roky a čistím zhruba každý třetí, čtvrtý den. Dokonce mě napadlo, jestli neplatí, že všeho moc škodí a nemohl vymazat něco co je potřeba. Ještě mě napadlo projet celý PC přes MBAM a to včetně externího HDD, což jsem dosud neudělal. Ještě jsem zjistil, že mám ve virovém trezoru MBAM nějakou havěť (8ks) od minula, tak jestli bude Roli chtít tak mu to tady zkopíruju.

[duff74]

Tak dnes v 19.00 h opět BSOD. Zvláštní je, že PC nepadá ze začátku po zapnutí jako předtím, ale dneska až po 5 h. provozu. Nemůžu v tom najít nějakou souvislost. Dosud jsem si myslel, že pokud to opakovaně nespadne do hodiny po zapnutí tak mám vyhráno, ale to evidentně už není pravda. Dnes jsem uděla úplná scan MBAM včetně HDD a výsledek přikládám:

Scan MBAM 31.12.2011

Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware) 1.60.0.1800
www.malwarebytes.org

Verze databáze: v2011.12.31.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
david :: NTBASUS [administrátor]

Ochrana: Povolena

31.12.2011 14:21:58
mbam-log-2011-12-31 (14-21-58).txt

Typ: Rychlá kontrola
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 172006
Uplynulý čas: 5 minut, 24 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 6
HKCU\SOFTWARE\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> Umístnění do karantény a smazání se zdařilo.
HKCU\SOFTWARE\XMZH42I4GI (Trojan.FakeAlert.SA) -> Umístnění do karantény a smazání se zdařilo.
HKCU\SOFTWARE\ZU6RKI1ONY (Trojan.FakeAlert.SA) -> Umístnění do karantény a smazání se zdařilo.
HKCU\Software\{9C360EFF-A52D-49c9-8531-456C1A406D3C} (Trojan.Downloader) -> Umístnění do karantény a smazání se zdařilo.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Umístnění do karantény a smazání se zdařilo.
HKLM\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Umístnění do karantény a smazání se zdařilo.

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 2
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Umístnění do karantény a smazání se zdařilo.
C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job (Trojan.FraudPack) -> Umístnění do karantény a smazání se zdařilo.

(konec)
Scan MBAM 12.1.2012

Malwarebytes Anti-Malware (Zkušební verze Malwarebytes Anti-Malware) 1.60.0.1800
www.malwarebytes.org

Verze databáze: v2012.01.12.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
david :: NTBASUS [administrátor]

Ochrana: Zakázána

12.1.2012 10:20:04
mbam-log-2012-01-12 (10-20-04).txt

Typ: Úplná kontrola
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM | P2P
Nastavení kontroly zakázáno:
Kontrolované objekty: 305896
Uplynulý čas: 2 hodin, 58 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 2
C:\System Volume Information\_restore{881FD3C6-8538-40B9-BD4A-885CE1376D18}\RP64\A0031428.exe (Affiliate.Downloader) -> Umístnění do karantény a smazání se zdařilo.
C:\System Volume Information\_restore{881FD3C6-8538-40B9-BD4A-885CE1376D18}\RP64\A0031433.exe (Affiliate.Downloader) -> Umístnění do karantény a smazání se zdařilo.

(konec)

Viz chybové hlášení:

IMG_20120112_190011.jpg (121.16 KiB) Zobrazeno 1753 x

[Roli]

Šmejdy v System Volume Information odstraníš podle TOHOTO návodu.

Na ty ostatní pustíme větší kalibr.


Stáhni a ulož na plochu ComboFix,

spusť aplikaci jako Administrátor a povol instalaci Konzole pro zotavení - Recovery Console.

Poté se zobrazí okno s licenčními podmínkami které potvrdíš kliknutím na ANO,

pak ještě jednou klik na ANO a už to jede.

Celá akce trvá okolo 10 minut ale může i déle, během skenu se nepokoušej spouštět nic jiného.

Při skenovaní může být PC i restartováno nelekat se.

Upozornění: po dobu skenu vypni rezidentní štít Antiviru a AntiSpy programu,

protože Combofix se pokouší napadené soubory smazat a tyto programy mu můžou bránit.

Po dokončení skenu nebo následném restartu aplikace vytvoří log, uložený na C:/Combofix.txt

(při opakovaném použití jsou logy číslovány Combofix2.txt atd.), jeho obsah zkopíruj sem.


V případě nejasností je ZDE obrázkový návod.

[duff74]

Ahoj, tady je log z ComboFixu:


ComboFix 12-01-13.03 - david 13.01.2012 20:43:16.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.959.491 [GMT 1:00]
Spuštěný z: c:\documents and settings\david\Plocha\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: AVG Firewall *Disabled* {8decf618-9569-4340-b34a-d78d28969b66}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\Thumbs.db
c:\windows\system32\TZLog.log
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-12-13 do 2012-01-13 )))))))))))))))))))))))))))))))
.
.
2012-01-11 08:36 . 2012-01-11 08:36 -------- d-----w- c:\program files\HD Tune
2012-01-08 10:00 . 2012-01-08 10:00 -------- d-----w- c:\documents and settings\All Users\Data aplikací\nView_Profiles
2012-01-06 20:15 . 2011-11-28 17:53 314456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-01-06 20:15 . 2011-11-28 17:51 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-01-06 20:15 . 2011-11-28 17:52 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2012-01-06 20:15 . 2011-11-28 17:53 435032 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-01-06 20:15 . 2011-11-28 17:52 52952 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-01-06 20:15 . 2011-11-28 17:52 111320 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2012-01-06 20:15 . 2011-11-28 17:51 105176 ----a-w- c:\windows\system32\drivers\aswmon.sys
2012-01-06 20:15 . 2011-11-28 17:48 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2012-01-06 20:14 . 2011-11-28 18:01 41184 ----a-w- c:\windows\avastSS.scr
2012-01-06 20:14 . 2011-11-28 18:01 199816 ----a-w- c:\windows\system32\aswBoot.exe
2012-01-06 20:14 . 2012-01-06 20:14 -------- d-----w- c:\program files\AVAST Software
2012-01-06 20:14 . 2012-01-06 20:14 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVAST Software
2012-01-06 18:32 . 2012-01-06 18:32 -------- d-----w- c:\program files\FinalWire
2012-01-04 20:20 . 2012-01-04 20:21 -------- d-----w- c:\windows\Symbols
2012-01-04 19:49 . 2012-01-05 18:52 -------- d-----w- c:\program files\Debugging Tools for Windows (x86)
2012-01-04 19:16 . 2012-01-04 19:16 -------- d-----w- c:\program files\Microsoft SDKs
2012-01-04 11:01 . 2012-01-05 19:29 -------- d-----w- c:\program files\WhoCrashed
2012-01-03 20:10 . 2012-01-03 20:10 -------- d-----w- c:\program files\Common Files\Java
2012-01-03 20:08 . 2012-01-03 20:08 637848 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-01-03 19:46 . 2012-01-03 19:46 -------- d-----w- c:\program files\FileHippo.com
2012-01-03 16:46 . 2012-01-03 16:46 -------- d-----w- C:\rsit
2012-01-01 12:17 . 2012-01-01 12:17 -------- d-----w- c:\documents and settings\david\Local Settings\Data aplikací\Unity
2011-12-31 13:13 . 2011-12-31 13:13 -------- d-----w- c:\documents and settings\david\Data aplikací\Malwarebytes
2011-12-31 13:13 . 2011-12-31 13:13 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-12-31 13:13 . 2011-12-31 13:13 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-12-31 13:13 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-30 17:50 . 2011-12-30 19:57 -------- d-----w- c:\documents and settings\david\Local Settings\Data aplikací\eSupport.com
2011-12-30 17:44 . 2011-12-30 17:44 -------- d-----w- c:\program files\Lavalys
2011-12-28 19:03 . 2011-12-28 19:08 -------- d-----w- c:\documents and settings\david\Data aplikací\HPAppData
2011-12-28 19:00 . 2011-12-28 19:00 -------- d-----w- C:\NVIDIA
2011-12-28 18:48 . 2011-12-28 18:48 -------- d-----w- c:\documents and settings\All Users\Data aplikací\PC Drivers HeadQuarters
2011-12-28 18:23 . 2011-12-28 18:23 -------- dc-h--w- c:\documents and settings\All Users\Data aplikací\{D5ABFFAD-D592-4F98-B02B-587125B4801F}
2011-12-28 17:38 . 2011-12-28 17:38 -------- d-----w- c:\documents and settings\All Users\Uniblue
2011-12-28 16:51 . 2011-12-28 16:51 -------- d-----w- c:\documents and settings\david\Data aplikací\AVG Secure Search
2011-12-28 16:48 . 2011-12-28 16:48 -------- d-----w- c:\documents and settings\david\Data aplikací\AVG2012
2011-12-28 16:46 . 2012-01-06 20:26 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVG2012
2011-12-21 19:44 . 2011-12-21 19:44 -------- d-----w- c:\documents and settings\NetworkService\Data aplikací\McAfee
2011-12-21 11:51 . 2011-12-21 11:51 -------- d-----w- c:\documents and settings\All Users\Data aplikací\McAfee
2011-12-21 10:35 . 2012-01-04 10:47 -------- d-----w- c:\program files\trend micro
2011-12-21 00:02 . 2011-12-21 00:02 4448256 ----a-w- c:\windows\system32\GPhotos.scr
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-03 20:08 . 2011-10-14 13:00 567184 ----a-w- c:\windows\system32\deployJava1.dll
2012-01-03 20:08 . 2011-10-14 13:00 141312 ----a-w- c:\windows\system32\javacpl.cpl
2011-11-25 21:57 . 2006-03-02 12:00 293376 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2006-03-02 12:00 1859584 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2006-03-02 12:00 60416 ----a-w- c:\windows\system32\packager.exe
2011-11-04 19:13 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2006-03-02 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2006-03-02 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-11-03 15:29 . 2006-03-02 12:00 386560 ----a-w- c:\windows\system32\qdvd.dll
2011-11-03 15:29 . 2006-03-02 12:00 1294848 ----a-w- c:\windows\system32\quartz.dll
2011-11-01 16:07 . 2006-03-02 12:00 1288192 ----a-w- c:\windows\system32\ole32.dll
2011-10-28 05:32 . 2006-03-02 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-26 10:50 . 2006-03-02 12:00 2194944 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 10:50 . 2004-08-17 15:45 2071552 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-10-18 11:13 . 2006-03-02 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-11-28 18:01 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7561216]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-11-28 3744552]
"nwiz"="nwiz.exe" [2006-04-27 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-27 86016]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-12-24 460872]
.
[HKLM\~\startupfolder\C:^Documents and Settings^david^Nabídka Start^Programy^Po spuštění^Bluetooth Manager.lnk]
path=c:\documents and settings\david\Nabídka Start\Programy\Po spuštění\Bluetooth Manager.lnk
backup=c:\windows\pss\Bluetooth Manager.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 -c----r- c:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
2006-06-02 10:58 176128 -c--a-r- c:\program files\Apoint2K\Apoint.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Camera ScreenSaver]
2010-12-05 10:49 47672 ----a-w- c:\windows\AsScrProlog.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 07:52 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2006-04-27 09:48 7561216 ----a-w- c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-04-27 09:48 86016 ----a-w- c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-04-27 09:48 1519616 ----a-w- c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 19:24 32768 -c--a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-08-14 06:00 16050176 -c----r- c:\windows\RTHDCPL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-06-15 13:02 15141768 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 10:04 2879488 -c----r- c:\windows\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2006-08-07 05:11 573440 -c--a-w- c:\program files\Motorola\SMSERIAL\sm56hlpr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"c:\\Program Files\\AVG\\AVG10\\avgmfapx.exe"=
"c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\{59C83C08-63F4-4AEC-81D6-392C5E23B843}\\setup\\hpznui01.exe"=
"c:\\Program Files\\Aspyr Media, Inc\\THAW\\Game\\THAW.exe"=
"c:\\Program Files\\Windows jZip Toolbar\\Datamngr\\ToolBar\\dtUser.exe"=
"c:\\Program Files\\Aspyr Media, Inc\\THAW\\Game\\THAW-THEMOD.exe"=
"c:\\Documents and Settings\\david\\Local Settings\\Data aplikací\\Akamai\\netsession_win.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\HP\\HP Software Update\\hpwucli.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\AVG\\AVG10\\avgdiagex.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"58294:TCP"= 58294:TCP:Pando Media Booster
"58294:UDP"= 58294:UDP:Pando Media Booster
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [31.7.2011 16:42 717296]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [6.1.2012 21:15 435032]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [6.1.2012 21:15 314456]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [2.3.2006 13:00 14336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [6.1.2012 21:15 20568]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [31.12.2011 14:13 652872]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [31.12.2011 14:13 20464]
R3 SynMini;ASUS WebCam, 1.3M, USB2.0, FF;c:\windows\system32\drivers\SynMini.sys [5.12.2010 10:30 841110]
R3 SynScan;ASUS WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [5.12.2010 10:30 8278]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 12:16 130384]
S3 massfilter_hs;ZTE HandSet Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter_hs.sys [22.9.2011 14:47 15896]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 12:16 753504]
S4 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [22.12.2010 10:07 136176]
S4 gupdatem;Služba Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [22.12.2010 10:07 136176]
S4 TicnoSearch;TicnoSearch;c:\documents and settings\david\Plocha\Ticno\Multibar\SearchService.exe --> c:\documents and settings\david\Plocha\Ticno\Multibar\SearchService.exe [?]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
Akamai REG_MULTI_SZ Akamai
HPService REG_MULTI_SZ HPSLPSVC
.
Obsah adresáře 'Naplánované úlohy'
.
2012-01-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-22 09:07]
.
2012-01-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-22 09:07]
.
2012-01-13 c:\windows\Tasks\User_Feed_Synchronization-{09596058-AFE4-4E96-BCBC-25398BD92733}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Doplňkový sken -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
TCP: DhcpNameServer = 10.27.5.5
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
Toolbar-10 - (no file)
WebBrowser-{414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Ahead\lib\NMBgMonitor.exe
MSConfigStartUp-NeroFilterCheck - c:\windows\system32\NeroCheck.exe
AddRemove-THAW-THEMOD - c:\program files\Aspyr Media
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-13 20:59
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
.
c:\windows\TEMP\_avast_\unp100798815.tmp 828104 bytes executable
.
sken byl úspešně dokončen
skryté soubory: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="c:\program files\common files\akamai/netsession_win_b427739.dll"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(3400)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Celkový čas: 2012-01-13 21:06:01 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-01-13 20:05
.
Před spuštěním: Volných bajtů: 46 946 484 224
Po spuštění: Volných bajtů: 47 039 344 640
.
WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - A5AC389825C41BC627C57D886FE0EC56

[Roli]

Pokud jsi tak ještě neučinil, přesuň Combofix na plochu

otevři si Poznámkový blok

do něj zkopíruj skript z následujícího okna:

Kód: Vybrat vše

Folder::
c:\documents and settings\david\Data aplikací\AVG Secure Search
c:\documents and settings\david\Data aplikací\AVG2012
c:\documents and settings\All Users\Data aplikací\AVG2012
c:\documents and settings\NetworkService\Data aplikací\McAfee
c:\documents and settings\All Users\Data aplikací\McAfee

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\AVG\\AVG10\\avgmfapx.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\AVG\\AVG10\\avgdiagex.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"58294:TCP"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"58294:UDP"=-

ulož Tebou vytvořený TXT soubor jako CFScript.txt na plochu,

po uložení uchop vytvořený skript levým myšítkem a přesuň ho nad ikonu Combofixu, kde ho upustíš:



Po aplikaci na Tebe vypadne další log, zkopíruj ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou,

v tom případě znovu restartuj a přitom mačkej F8 poté zvol Poslední známou funkční konfiguraci