svchost.exe napadeny virem

[Pener]

Dobrý večer,
dostal se mi zrovna pod ruku počítač, který je poměrně nechutně pomalý a zablešený. Při kontrole Avastem tento nalezl v svchost.exe vir: konkretne WIN 32 trojan-gen. antivir ho smazat nemuze, nema k nemu udajne pristup. Pc neni pripojene k netu, ale pripadne ho muzu napichnout.
Nemate nekdo prosim zkusenost s tim, jak toto odstranit nejak rychle aspon do podoby, aby to malilinko rychleji jelo a dalo se na tom poradne pracovat na kompletnim docisteni?

Dekuju za rady.

[vyosek]

Zdravim a pekny vecer preji

Dejte prosim log z RSIT

[Pener]

Log budu snad tak behem pul hodiny, bohuzel to co normalne trva par minut tady trva hoooodne dlouho.

[Pener]

Logfile of random's system information tool 1.09 (written by random/random)
Run by Administrator at 2012-04-29 22:16:19
Systém Microsoft Windows XP Professional Service Pack 2
System drive C: has 33 GB (88%) free of 38 GB
Total RAM: 510 MB (82% free)

HijackThis download failed

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-12-21 75200]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2006-05-25 155648]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2006-05-25 126976]
"MFPrintServer_Pro_LL"=C:\Program Files\Companion Suite Pro LL\MFPrintServer.exe [2007-05-10 73728]
"MFServices_Pro_LL"=C:\Program Files\Companion Suite Pro LL\MFServices.exe [2007-05-10 352256]
"SSBkgdUpdate"=C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2006-10-25 210472]
"PaperPort PTD"=C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe [2007-05-14 30248]
"IndexSearch"=C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe [2007-05-14 46632]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-12-22 35760]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-12-11 948672]
"avast"=C:\Program Files\AVAST Software\Avast\avastUI.exe [2012-03-07 4241512]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-18 15360]
"PrMan"=C:\PCFPRINT\PRMAN32.EXE [2010-10-05 1524956]

C:\Documents and Settings\Administrator\Nabídka Start\Programy\Po spuštění
OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2006-05-25 348160]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midimapper"=midimap.dll
"msacm.imaadpcm"=imaadp32.acm
"msacm.msadpcm"=msadp32.acm
"msacm.msg711"=msg711.acm
"msacm.msgsm610"=msgsm32.acm
"msacm.trspch"=tssoft32.acm
"vidc.cvid"=iccvid.dll
"vidc.I420"=msh263.drv
"vidc.iv31"=ir32_32.dll
"vidc.iv32"=ir32_32.dll
"vidc.iv41"=ir41_32.ax
"vidc.iyuv"=iyuv_32.dll
"vidc.mrle"=msrle32.dll
"vidc.msvc"=msvidc32.dll
"vidc.uyvy"=msyuv.dll
"vidc.yuy2"=msyuv.dll
"vidc.yvu9"=tsbyuv.dll
"vidc.yvyu"=msyuv.dll
"wavemapper"=msacm32.drv
"msacm.msg723"=msg723.acm
"vidc.M263"=msh263.drv
"vidc.M261"=msh261.drv
"msacm.msaudio1"=msaud32.acm
"msacm.sl_anet"=sl_anet.acm
"msacm.iac2"=C:\WINDOWS\system32\iac25_32.ax
"vidc.iv50"=ir50_32.dll
"msacm.l3acm"=C:\WINDOWS\system32\l3codeca.acm
"wave"=wdmaud.drv
"midi"=wdmaud.drv
"mixer"=wdmaud.drv

======List of files/folders created in the last 1 month======

2012-04-29 22:13:27 ----D---- C:\Program Files\trend micro
2012-04-29 21:57:15 ----A---- C:\WINDOWS\ntbtlog.txt
2012-04-29 21:46:41 ----D---- C:\rsit
2012-04-27 02:20:46 ----N---- C:\WINDOWS\system32\drivers\aswFsBlk.sys
2012-04-27 02:20:45 ----N---- C:\WINDOWS\system32\drivers\aswSP.sys
2012-04-27 02:20:35 ----N---- C:\WINDOWS\system32\drivers\aswRdr.sys
2012-04-27 02:20:30 ----N---- C:\WINDOWS\system32\drivers\aswTdi.sys
2012-04-27 02:19:57 ----N---- C:\WINDOWS\system32\drivers\aswSnx.sys
2012-04-27 02:19:53 ----N---- C:\WINDOWS\system32\drivers\aswmon2.sys
2012-04-27 02:19:53 ----N---- C:\WINDOWS\system32\drivers\aswmon.sys
2012-04-27 02:19:48 ----N---- C:\WINDOWS\system32\drivers\aavmker4.sys
2012-04-27 01:01:49 ----N---- C:\WINDOWS\avastSS.scr
2012-04-27 00:59:24 ----N---- C:\WINDOWS\system32\aswBoot.exe
2012-04-27 00:10:25 ----D---- C:\WINDOWS\system32\NtmsData
2012-04-26 23:04:26 ----D---- C:\Program Files\AVAST Software
2012-04-26 23:04:26 ----D---- C:\Documents and Settings\All Users\Data aplikací\AVAST Software

======List of files/folders modified in the last 1 month======

2012-04-29 22:15:32 ----D---- C:\WINDOWS\system32\CatRoot2
2012-04-29 22:13:27 ----RD---- C:\Program Files
2012-04-29 21:57:15 ----D---- C:\WINDOWS
2012-04-29 19:37:54 ----D---- C:\WINDOWS\Prefetch
2012-04-29 15:40:11 ----D---- C:\WINDOWS\repair
2012-04-28 02:24:11 ----D---- C:\WINDOWS\Temp
2012-04-27 19:38:53 ----D---- C:\Documents and Settings\Administrator\Data aplikací\OpenOffice.org2
2012-04-27 19:07:01 ----A---- C:\WINDOWS\SchedLgU.Txt
2012-04-27 02:20:46 ----D---- C:\WINDOWS\system32\drivers
2012-04-27 02:12:07 ----SHD---- C:\WINDOWS\Installer
2012-04-27 02:08:43 ----D---- C:\WINDOWS\WinSxS
2012-04-27 02:05:26 ----D---- C:\Program Files\Common Files\Microsoft Shared
2012-04-27 01:57:42 ----SHD---- C:\System Volume Information
2012-04-27 00:59:38 ----D---- C:\WINDOWS\system32
2012-04-27 00:29:33 ----D---- C:\WINDOWS\Registration
2012-04-27 00:09:35 ----SD---- C:\Documents and Settings\All Users\Data aplikací\Microsoft
2012-04-26 14:23:50 ----D---- C:\FANDPRN
2012-04-26 14:23:08 ----N---- C:\WINDOWS\PRMANPCF.INI
2012-04-26 05:51:24 ----SHD---- C:\WINDOWS\CSC
2012-04-25 06:10:51 ----D---- C:\WINDOWS\Minidump
2012-04-03 16:42:55 ----D---- C:\HU30

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R3 hidusb;Ovladač třídy standardu HID; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2004-08-18 9600]
R3 mouhid;Ovladač myši standardu HID; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-18 12160]
R3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Ovladač Microsoft univerzálního hostitelského řadiče USB od společnosti Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-18 20480]
S1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2012-03-07 24920]
S1 AswRdr;aswRdr; C:\WINDOWS\system32\drivers\AswRdr.sys [2012-03-07 35672]
S1 aswSnx;aswSnx; C:\WINDOWS\system32\drivers\aswSnx.sys [2012-03-07 612184]
S1 aswSP;aswSP; C:\WINDOWS\system32\drivers\aswSP.sys [2012-03-07 337880]
S1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2012-03-07 53848]
S1 intelppm;Řadič procesoru Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-18 39936]
S1 kbdhid;Ovladač klávesnice standardu HID; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-18 14848]
S1 lfxnt;lfxnt; \??\C:\WINDOWS\system32\drivers\lfxnt.sys []
S2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\drivers\aswFsBlk.sys [2012-03-07 20696]
S2 aswMon2;aswMon2; C:\WINDOWS\system32\drivers\aswMon2.sys [2012-03-07 95704]
S2 MLPTDR_Q;MLPTDR_Q; \??\C:\WINDOWS\system32\MLPTDR_Q.sys []
S3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-04-01 4816]
S3 Dot4;Ovladač MS IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4.sys [2004-08-03 207360]
S3 Dot4Print;Ovladač třídy tiskárny standardu IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928]
S3 E1000;Intel(R) PRO/1000 Adapter Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2004-03-12 131584]
S3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2006-05-25 807804]
S3 LFXACT;Companion Suite Pro LL F@X activities; C:\WINDOWS\System32\Drivers\LFXACT.sys [2007-05-09 20672]
S3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-02-28 545024]
S3 usbccgp;Obecný nadřazený ovladač Microsoft USB; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-18 31616]
S3 usbprint;Třída USB Printer; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;Ovladač skeneru USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 XMLDIUSB;XML USB Device Interface; C:\WINDOWS\System32\Drivers\XMLDIUSB.sys [2007-05-09 31879]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S2 avast! Antivirus;avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [2012-03-07 44768]
S2 Microsoft Memory Driver;Microsoft Memory Driver; E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe [2008-09-20 12288]

-----------------EOF-----------------

[vyosek]

Tam toho je - cela zoo i s babkou pokladni

Stahnete RKill http://download.bleepingcomputer.com/grinler/rkill.com

• Pokud ho havet blokuje, pouzijte jeden z nasledujicich

  Rkill EXE:
  http://download.bleepingcomputer.com/grinler/rkill.exe
  
  Rkill SCR:
  http://download.bleepingcomputer.com/grinler/rkill.scr
  
  Rkill PIF:
  http://download.bleepingcomputer.com/grinler/rkill.pif

• Ulozte nejlepena plochu a ukoncete vsechny aplikace (jinak to udela RKill za Vas)
• Spustte tradicne dvojklikem - program probehne temer okamzite a ukonci i svou cinnost
• RKill ukonci vsechny ne-systemove procesy - tedy i procesy, pod kterymi bezi havet
• Ted nerestartujte PC - prisli byste o ucinek RKillu

PROSIM CTETE DUKLADNE NAVOD - TATO UTILITA MA VELKOU SCHOPNOST MAZAT A JE NUTNE JI APLIKOVAT JEN NA DOPORUCENI, JINAK VAM MUZE JIT SYSTEM DO KYTEK
Stahnete a ulozte na plochu Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Vypnete vsechny rezidentni bezpecnostní programy - firewally, antiviry, antispywary apod.
• Pokud mate Win XP spustte pod uctem Spravce\Administratora
• Pokud mate Win Vista ci Win 7, kliknete na Combofix pravym a dejte Run As Administrator ci Spustit jako spravce
• Ihned po startu se zobrazi stranka s licencnim ujednanim, pokracujte kliknutim na Ano
• Pokud Vam CF nabidne instalaci Konzoly pro zotaveni, tak souhlaste
• Dale postupujte dle pokynu, behem scanu nechte PC naprosto v klidu - nespoustejte zadne aplikace a neklikejte do zobrazujiciho se okna
• Scan by mel trvat cca 10 min, ale pokud bude PC hodne zaneseno, muze se cas prodlouzit
• Po dokonceni skenu a pripadnem restartu CF zobrazi log, pripadne jej najdete zde C:\ComboFix.txt, jeho obsah sem vlozte
• Detailni postup vc. obrazku mate zde http://www.bleepingcomputer.com/combofi ... t-combofix

[Pener]

TAk konečně, omlouvám se za prodlevu

ComboFix 12-04-31.02 - Administrator 01.05.2012 0:03.1.1 - x86
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-04-01 do 2012-05-01 )))))))))))))))))))))))))))))))
.
.
2012-04-29 20:13 . 2012-04-29 20:13 -------- d-----w- c:\program files\trend micro
2012-04-29 19:46 . 2012-04-29 20:19 -------- d-----w- C:\rsit
2012-04-27 00:20 . 2012-03-06 23:01 20696 ------w- c:\windows\system32\drivers\aswFsBlk.sys
2012-04-27 00:20 . 2012-03-06 23:03 337880 ------w- c:\windows\system32\drivers\aswSP.sys
2012-04-27 00:20 . 2012-03-06 23:02 35672 ------w- c:\windows\system32\drivers\aswRdr.sys
2012-04-27 00:20 . 2012-03-06 23:01 53848 ------w- c:\windows\system32\drivers\aswTdi.sys
2012-04-27 00:19 . 2012-03-06 23:03 612184 ------w- c:\windows\system32\drivers\aswSnx.sys
2012-04-27 00:19 . 2012-03-06 23:01 95704 ------w- c:\windows\system32\drivers\aswmon2.sys
2012-04-27 00:19 . 2012-03-06 23:01 89048 ------w- c:\windows\system32\drivers\aswmon.sys
2012-04-27 00:19 . 2012-03-06 22:58 24920 ------w- c:\windows\system32\drivers\aavmker4.sys
2012-04-26 23:01 . 2012-03-06 23:15 41184 ------w- c:\windows\avastSS.scr
2012-04-26 22:59 . 2012-03-06 23:15 201352 ------w- c:\windows\system32\aswBoot.exe
2012-04-26 22:10 . 2012-04-27 17:43 -------- d-----w- c:\windows\system32\NtmsData
2012-04-26 21:04 . 2012-04-26 21:04 -------- d-----w- c:\program files\AVAST Software
2012-04-26 21:04 . 2012-04-26 21:04 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVAST Software
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-03-06 23:15 123536 ------w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PrMan"="c:\pcfprint\PRMAN32.EXE" [2010-10-05 1524956]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-05-25 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-05-25 126976]
"MFPrintServer_Pro_LL"="c:\program files\Companion Suite Pro LL\MFPrintServer.exe" [2007-05-10 73728]
"MFServices_Pro_LL"="c:\program files\Companion Suite Pro LL\MFServices.exe" [2007-05-10 352256]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-05-14 30248]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-05-14 46632]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-03-06 4241512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]
.
c:\documents and settings\Administrator\Nabídka Start\Programy\Po spuštění\
OpenOffice.org 2.0.lnk - c:\program files\OpenOffice.org 2.0\program\quickstart.exe [2006-2-26 393216]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R2 Microsoft Memory Driver;Microsoft Memory Driver;e:\recycler\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe [2008-09-20 12288]
R2 MLPTDR_Q;MLPTDR_Q;c:\windows\system32\MLPTDR_Q.sys [2003-07-23 18848]
R3 LFXACT;Companion Suite Pro LL F@X activities;c:\windows\system32\Drivers\LFXACT.sys [2007-05-09 20672]
R3 XMLDIUSB;XML USB Device Interface;c:\windows\system32\Drivers\XMLDIUSB.sys [2007-05-09 31879]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 lfxnt;lfxnt;c:\windows\system32\drivers\lfxnt.sys [2007-05-09 61756]
S2 aswFsBlk;aswFsBlk; [x]
.
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - WS2IFSL
.
.
------- Doplňkový sken -------
.
TCP: Interfaces\{ECFF58A3-6FE2-47EE-ACAB-0B614D631A0B}: NameServer = 192.186.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-01 07:44
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Celkový čas: 2012-05-01 11:27:51
ComboFix-quarantined-files.txt 2012-05-01 09:26
.
Před spuštěním: Volných bajtů: 34 989 543 424
Po spuštění: Volných bajtů: 35 110 289 408
.
- - End Of File - - A537CB7750AEB92E3FB2CC93BEBDB926

[vyosek]

Stahnete si instalacku Recovery Konzole odsud http://vyosek.ic.cz/pro_usery/rc.exe a ulozte ji primo na disk c:\ tak at neni v zadne slozce - je to nutne, pac na ni odkazuje skript

Pokud nemate, tak presunte Combofix na plochu

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  KillAll::
  
  RecoveryConsole::
  c:\rc.exe
  
  Registry::
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Adobe Reader Speed Launcher"=-
  "Adobe ARM"=-
  
  Collect::
  e:\recycler\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe
  
  Folder::
  e:\recycler
  
  Driver::
  Microsoft Memory Driver
  
  ClearJavaCache::
  
  Reboot::

• Ulozte vytvoreny TXT jako CFScript.txt
• Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
  
• Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

[Pener]

Omlouvám se, že to vždycky tak dlouho trvá, ale než člověk dojde z práce a ono ten CF kolikrát běží i 10 hodin

ComboFix 12-04-31.02 - Administrator 02.05.2012 22:53:09.2.1 - x86
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\cfscript.txt
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
file zipped: e:\recycler\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICROSOFT_MEMORY_DRIVER
-------\Service_Microsoft Memory Driver
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-04-03 do 2012-05-03 )))))))))))))))))))))))))))))))
.
.
2012-05-02 18:08 . 2012-05-02 17:04 4631272 ----a-w- C:\rc.exe
2012-04-29 20:13 . 2012-04-29 20:13 -------- d-----w- c:\program files\trend micro
2012-04-29 19:46 . 2012-04-29 20:19 -------- d-----w- C:\rsit
2012-04-26 22:10 . 2012-04-27 17:43 -------- d-----w- c:\windows\system32\NtmsData
2012-04-26 21:04 . 2012-05-03 02:53 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVAST Software
2012-04-26 21:04 . 2012-04-26 21:04 -------- d-----w- c:\program files\AVAST Software
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((( SnapShot@2012-05-01_05.50.25 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-05-02 18:26 . 2012-05-02 18:26 262144 c:\windows\system32\config\systemprofile\NtUser.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PrMan"="c:\pcfprint\PRMAN32.EXE" [2010-10-05 1524956]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-05-25 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-05-25 126976]
"MFPrintServer_Pro_LL"="c:\program files\Companion Suite Pro LL\MFPrintServer.exe" [2007-05-10 73728]
"MFServices_Pro_LL"="c:\program files\Companion Suite Pro LL\MFServices.exe" [2007-05-10 352256]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-05-14 30248]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-05-14 46632]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]
.
c:\documents and settings\Administrator\Nabídka Start\Programy\Po spuštění\
OpenOffice.org 2.0.lnk - c:\program files\OpenOffice.org 2.0\program\quickstart.exe [2006-2-26 393216]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R2 MLPTDR_Q;MLPTDR_Q;c:\windows\system32\MLPTDR_Q.sys [2003-07-23 18848]
R3 CFcatchme;CFcatchme;c:\docume~1\ADMINI~1\LOCALS~1\Temp\CFcatchme.sys [x]
R3 LFXACT;Companion Suite Pro LL F@X activities;c:\windows\system32\Drivers\LFXACT.sys [2007-05-09 20672]
R3 XMLDIUSB;XML USB Device Interface;c:\windows\system32\Drivers\XMLDIUSB.sys [2007-05-09 31879]
S1 lfxnt;lfxnt;c:\windows\system32\drivers\lfxnt.sys [2007-05-09 61756]
.
.
.
------- Doplňkový sken -------
.
TCP: Interfaces\{ECFF58A3-6FE2-47EE-ACAB-0B614D631A0B}: NameServer = 192.186.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-03 07:50
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\LFX6PUPO.exe
c:\windows\system32\wscntfy.exe
c:\program files\OpenOffice.org 2.0\program\soffice.exe
c:\program files\OpenOffice.org 2.0\program\soffice.BIN
.
**************************************************************************
.
Celkový čas: 2012-05-03 10:19:14 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-05-03 08:17
ComboFix2.txt 2012-05-01 09:28
.
Před spuštěním: Volných bajtů: 35 174 420 480
Po spuštění: Volných bajtů: 35 171 786 752
.
- - End Of File - - 409459D003A9A566EB4FEB63D85FEA24

[vyosek]

Nic se nedeje, jak se chova PC

[Pener]

Zdravim,
ted pri zapnuti pc se to tvarilo celkem svizne pri startu systemu, ale nasledne nastala modra smrt, takze jsem zvolil posledni znamou funkcni konfiguraci. Momentalne se to chova stejne line, jako predtim...mam pustit combofix jeste jednou kvuli logu? Pripadne predtim, nez pustim combofix, spustit rkill?

[vyosek]

Pouzijte WhoCrash dle kolegy

použij WhoCrashed

po spuštění klikni na Analyze,

aplikace po chvilce vytvoří zprávu o příčině pádu, kterou mi sem nakopíruj.

RKill

ComboFix se skriptem

[Pener]

Aktualne to po me chce nainstalovat Wind Debugging tools...hledam to vsude mozne na internetu, ale to, co jsem nasel, evidentne neni ono, nemate to prosim nekde ? Ted se pokousim nainstalovat na to pc sitovku, ale je to tuhy boj

[vyosek]

Zatim jej tedy preskocte a pokracujte RKill+CF se skriptem

[Pener]

Tak konečně zas doma

ComboFix 12-04-31.02 - Administrator 04.05.2012 23:57:44.3.1 - x86
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\cfscript.txt
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
file zipped: e:\recycler\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
e:\recycler
e:\recycler\S-1-5-21-1482476501-1644491937-682003330-1015\Desktop.ini
e:\recycler\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-04-05 do 2012-05-05 )))))))))))))))))))))))))))))))
.
.
2012-05-04 17:10 . 2012-05-05 03:49 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Package Cache
2012-05-04 16:58 . 2012-05-04 17:00 -------- d-----w- c:\program files\WhoCrashed
2012-05-02 18:08 . 2012-05-02 17:04 4631272 ----a-w- C:\rc.exe
2012-04-29 20:13 . 2012-04-29 20:13 -------- d-----w- c:\program files\trend micro
2012-04-29 19:46 . 2012-04-29 20:19 -------- d-----w- C:\rsit
2012-04-26 22:10 . 2012-04-27 17:43 -------- d-----w- c:\windows\system32\NtmsData
2012-04-26 21:04 . 2012-05-03 02:53 -------- d-----w- c:\documents and settings\All Users\Data aplikací\AVAST Software
2012-04-26 21:04 . 2012-04-26 21:04 -------- d-----w- c:\program files\AVAST Software
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((( SnapShot@2012-05-01_05.50.25 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-05-02 18:26 . 2012-05-02 18:26 262144 c:\windows\system32\config\systemprofile\NtUser.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PrMan"="c:\pcfprint\PRMAN32.EXE" [2010-10-05 1524956]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-05-25 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-05-25 126976]
"MFPrintServer_Pro_LL"="c:\program files\Companion Suite Pro LL\MFPrintServer.exe" [2007-05-10 73728]
"MFServices_Pro_LL"="c:\program files\Companion Suite Pro LL\MFServices.exe" [2007-05-10 352256]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-05-14 30248]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-05-14 46632]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]
.
c:\documents and settings\Administrator\Nabídka Start\Programy\Po spuštění\
OpenOffice.org 2.0.lnk - c:\program files\OpenOffice.org 2.0\program\quickstart.exe [2006-2-26 393216]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R2 MLPTDR_Q;MLPTDR_Q;c:\windows\system32\MLPTDR_Q.sys [2003-07-23 18848]
R3 CFcatchme;CFcatchme;c:\docume~1\ADMINI~1\LOCALS~1\Temp\CFcatchme.sys [x]
R3 LFXACT;Companion Suite Pro LL F@X activities;c:\windows\system32\Drivers\LFXACT.sys [2007-05-09 20672]
R3 XMLDIUSB;XML USB Device Interface;c:\windows\system32\Drivers\XMLDIUSB.sys [2007-05-09 31879]
S1 lfxnt;lfxnt;c:\windows\system32\drivers\lfxnt.sys [2007-05-09 61756]
.
.
.
------- Doplňkový sken -------
.
TCP: Interfaces\{ECFF58A3-6FE2-47EE-ACAB-0B614D631A0B}: NameServer = 192.186.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-05 08:50
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\LFX6PUPO.exe
c:\windows\system32\wscntfy.exe
c:\program files\OpenOffice.org 2.0\program\soffice.exe
c:\program files\OpenOffice.org 2.0\program\soffice.BIN
.
**************************************************************************
.
Celkový čas: 2012-05-05 11:17:42 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-05-05 09:15
ComboFix2.txt 2012-05-03 08:20
ComboFix3.txt 2012-05-01 09:28
.
Před spuštěním: Volných bajtů: 35 154 137 088
Po spuštění: Volných bajtů: 35 177 951 232
.
- - End Of File - - CE6A004E08232B329796808B02784E8A


PC je aktuálně rozhodně o hodně rychlejší, nicméně některé úkony, např. při spuštění Tento počítač trvá načítání disků - je tam klasická lampa) ještě delší dobu (cca. 5-10s, což je ale proti předchozím dvou minutám paráda).
Jediné, co je ještě na závadu, je neschopnost systému najít síťovku. Mohlo by to být i tím, že by byla havětí blokována?

[vyosek]

Zdravim a vitejte z5

Odinstalujte Combofix

• Prejmenujte ComboFix na Uninstall
• Spustte jej
• Tohle smaze Combofix a jeho slozky

T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe

• Stahnete a spustte
• Pro potvrzeni volby mackejte A, Enter
• Po pouziti utilitu smazte
• Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

OTC http://oldtimer.geekstogo.com/OTC.exe

• Stahnete a spustte
• Kliknete na CleanUp a potvrdte YES
• Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

• Stahnete a spustte
• Kliknete na Start a potvrdte OK
• Program uklidi a restartuje pc
• Po pouziti utilitu smazte

Stahnete Ccleaner http://forum.viry.cz/viewtopic.php?t=7478
Panel čistič

• Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

• dejte Hledej problémy
• nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
• postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

• Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za tyden

Doporucuji provest defragmentaci disku

• Nejjednodussi (ale nejmene ucinny) zpusob je pomoci utility ve windowsech
  • Kliknete na Tento pocitac, dale na disk kliknete pravym tlacitkem, vyberte Vlastnosti
  • prepnete se do zalozky Nastroje
  • Nyni vidite pomucky Defragmentace - spustte ji kliknutim na Defragmentovat
  • Toto provedte se vsemi disky
• Dalsi moznosti (a mnou doporucenou) je pres programek Defraggler http://www.stahuj.centrum.cz/utility_a_ ... efraggler/
  • Program stahnete, nainstalujte (dejte fajfku pryc u yahoo toolbaru) a spustte
  • Kliknete na Analyzovat
  • Pokud je ve sloupci Fragmentováno vice jak 5%, doporucuji provest defragmentaci (klik na Defragmentovat)
  • Postup provedte se vsemi disky
• Posledni moznost je pres jednoduchy programek JKDefrag http://www.stahuj.centrum.cz/utility_a_ ... /jkdefrag/
  • Vyhodou programku je, ze se neinstaluje
  • Staci tedy jen stahnout dle verze vaseho OS a rozbalit
  • Nasledne spustit pomoci souboru JKDefrag pripadne JKDefrag64
  • Probehne analyza disku a nasledne i defragmentace

Zkontrolujte ci sit. karta dobre seti na motherboadru

Reinstalujte jeji ovladace

Dejte novy log z RSIT a napiste co PC