Prosím o kontrolu logu z HJT po odvirování od reader_s.exe

[Albi1]

Killing 'n.com'
"C:\32788R22FWJFW\n.com" cmdwait 2500 exec hide "~$folder.system$\cmd.execf" /c 32788R22FWJFW\prep.cmd (3560)

PUSHD "C:\32788R22FWJFW"
1 zkopírovaných souborů

IF NOT EXIST C:\WINDOWS\system32\cmd.exe GOTO Not_NT

VER 1>OsVer

GREP.cfexe -F "5.2." OsVer

IF 1 == 0 GOTO Not_NT

GREP.cfexe -F "5.1.2" OsVer
Microsoft Windows XP [Verze 5.1.2600]

IF 0 == 0 GOTO NT

=============================================

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Rodina\Data aplikací
CFLDR=32788R22FWJFW
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=HOME-45D1BD29E6
ComSpec=C:\WINDOWS\system32\cmd.execf
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Rodina
KMD=CF2652.exe
LOGONSERVER=\\HOME-45D1BD29E6
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.CFEXE;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 67 Stepping 3, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=4303
ProgramFiles=C:\Program Files
PROMPT=$
Qrntn=C:\Qoobox\Quarantine
RKEY_=hklm\software\microsoft\windows nt\currentversion\windows
SESSIONNAME=Console
sfxcmd="C:\Documents and Settings\Rodina\Plocha\ComboFix.exe" "C:\Documents and Settings\Rodina\Plocha\CFScript.txt"
sfxname=C:\Documents and Settings\Rodina\Plocha\ComboFix.exe
SYSTEM=C:\WINDOWS\system32
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\Rodina\LOCALS~1\Temp
TMP=C:\DOCUME~1\Rodina\LOCALS~1\Temp
USERDOMAIN=HOME-45D1BD29E6
USERNAME=Rodina
USERPROFILE=C:\Documents and Settings\Rodina
windir=C:\WINDOWS

=============================================


IF NOT DEFINED sfxname GOTO END

IF EXIST C:\cfDebug.cmd DEL /A/F C:\cfDebug.cmd

CALL sfx.cmd

CALL AV.cmd

SET /a AVCount+=1

CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs

FINDSTR -C:"*On-access scanning enabled*" Resident.txt 1>AVChk && (
SED -r "s/AV: (.*) \*On-access .*/* \1/;" AVChk | SED ":a; $!N;s/\n/~n/;ta" 1>AVChkB
NIRCMD beep 3000 200
NIRCMD beep 3000 300
IF 1 LEQ 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "ComboFix zjistil, že následující bezpečnostní programy mají zapnuté rezidentní štíty:~n~n%G~n~nAntivirové a jiné ochranné programy často zasahují do činnosti ComboFixu.~nTo může vést k nepředvídatelným výsledkům a možnému poškození počítače.~nProsím ukončete tyto programy před kliknutím na 'OK'." "Varování !!" "" && GOTO Av-check
IF 1 GTR 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "%G~n~nVýše uvedené bezpečnostní programy jsou stále aktivní, ale ComboFix nyní bude pokračovat~nve své činnosti. Berte prosím v úvahu, že je tomu tak na vaše vlastní riziko." "Varování !!" ""
)

DEL /Q AVChk?

SET AVCount=

IF EXIST OsVer00 CALL :Vista

IF /I "C:\32788R22FWJFW" NEQ "C:\32788R22FWJFW" GOTO Abort

IF EXIST "C:\DOCUME~1\Rodina\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log" DEL "C:\DOCUME~1\Rodina\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log"

(
SET "FileName=ComboFix"
SET "FilePath=C:\Documents and Settings\Rodina\Plocha\"
)

SET FileName 1>FileName

GREP -isqx "FileName=[-[:alnum:]@.]*" FileName || GOTO AbortB

DIR /AD/B C:\* | FINDSTR -IVX ComboFix 1>DirName00

FINDSTR -LIXC:"ComboFix" DirName00 && CALL :NameChk

IF EXIST DirName0? DEL /Q DirName0?

IF EXIST Oldsfxname00 DEL Oldsfxname00

IF EXIST "\ComboFix" DIR /AD "\ComboFix" 1>N_\20053 && (
RD /S/Q "\ComboFix"
IF EXIST "\ComboFix" (
PV -kf *.cfexe
RD /S/Q "\ComboFix"
)
IF EXIST "\ComboFix" (
HANDLE "C:\ComboFix" 1>temp00
SED -R "/.* pid: (\d*) +(\S*):.*/I!d;s//@ECHO.y|Handle -c \2 -p \1/" temp00 1>temp00.bat
CALL temp00.bat
DEL temp00.bat temp00
RD /S/Q "\ComboFix"
)
)
Killing '*.cfexe'

IF EXIST "\ComboFix" RD /S/Q "\ComboFix"

IF EXIST "\ComboFix" GOTO :EOF

[riffman]

co to je?

[Albi1]

Automaticky se žádný log nevygeneroval. Toto je log z C:\Bug.txt

[riffman]

muzete tentyz postup aplikovat v nouzovem rezimu?

[Albi1]

V nouzovém režimu již takto:

ComboFix 09-04-13.A2 - Rodina 2009-04-13 20:20.2 - NTFSx86 MINIMAL
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.3070.2832 [GMT 2:00]
Spuštěný z: c:\documents and settings\Rodina\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Rodina\Plocha\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)
FW: Sunbelt Personal Firewall *enabled*

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-03-13 do 2009-04-13 )))))))))))))))))))))))))))))))
.

2009-04-12 21:44 . 2004-08-03 20:58 15104 -c--a-w c:\windows\system32\dllcache\usbscan.sys
2009-04-12 21:44 . 2004-08-03 20:58 15104 ----a-w c:\windows\system32\drivers\usbscan.sys
2009-04-12 21:41 . 2009-04-12 21:41 -------- d--h--w c:\documents and settings\All Users\Data aplikací\CanonBJ
2009-04-12 21:41 . 2008-05-26 20:00 230912 ----a-w c:\windows\system32\CNMLM9E.DLL
2009-04-12 21:41 . 2009-04-12 21:41 -------- d--h--w c:\windows\system32\CanonIJ Uninstaller Information
2009-04-12 21:41 . 2008-05-30 00:27 270336 ----a-w c:\windows\system32\CNC540L.DLL
2009-04-12 21:41 . 2008-04-07 05:58 1339392 ----a-w c:\windows\system32\CNC540C.DLL
2009-04-12 21:41 . 2008-04-07 05:58 98304 ----a-w c:\windows\system32\CNC540I.DLL
2009-04-12 21:41 . 2007-03-15 05:12 188416 ----a-w c:\windows\system32\CNC540O.DLL
2009-04-12 21:33 . 2004-08-03 21:01 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys
2009-04-12 21:33 . 2004-08-03 21:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys
2009-04-12 21:32 . 2004-08-03 21:08 31616 -c--a-w c:\windows\system32\dllcache\usbccgp.sys
2009-04-12 21:32 . 2004-08-03 21:08 31616 ----a-w c:\windows\system32\drivers\usbccgp.sys
2009-04-12 21:23 . 2009-04-12 21:23 -------- d-----w c:\documents and settings\Rodina\Data aplikací\Zoner
2009-04-12 21:17 . 2009-04-12 21:17 -------- d-----w c:\documents and settings\Rodina\Local Settings\Data aplikací\Star Stable 1
2009-04-12 20:53 . 2007-08-14 06:12 18816 ------w c:\windows\system32\SAVRKBootTasks.sys
2009-04-12 20:06 . 2009-04-12 20:06 -------- d-----w c:\documents and settings\Rodina\Local Settings\Data aplikací\Identities
2009-04-10 21:30 . 2009-04-10 21:30 -------- d-----w C:\rsit
2009-04-09 20:49 . 2004-02-26 22:00 962612 ----a-w c:\windows\system32\mfc42d.dll
2009-04-09 20:49 . 2004-02-16 22:00 434252 ----a-w c:\windows\system32\MSVCRTD.DLL
2009-04-09 20:49 . 2006-10-18 19:12 12664 ----a-r c:\windows\system32\drivers\AsIO.sys
2009-04-09 20:49 . 2006-01-10 08:50 24576 ----a-r c:\windows\system32\AsIO.dll
2009-04-09 20:49 . 2006-10-19 01:11 12096 ----a-w c:\windows\system32\drivers\AsInsHelp64.sys
2009-04-09 20:49 . 2006-10-19 01:11 10304 ----a-w c:\windows\system32\drivers\AsInsHelp32.sys
2009-04-09 20:47 . 2009-04-09 20:47 -------- d-----r c:\windows\AsDmiHtm
2009-04-09 20:42 . 2005-10-20 14:25 12416 ----a-w c:\windows\system32\drivers\asusgsb32.sys
2009-04-09 20:42 . 2005-09-27 08:02 16000 ----a-w c:\windows\system32\drivers\Video3D32.sys
2009-04-09 20:41 . 2009-04-09 20:41 737280 ----a-w c:\windows\iun6002.exe
2009-04-09 20:39 . 2009-04-09 20:39 -------- d-----w c:\documents and settings\All Users\Data aplikací\NVIDIA
2009-04-09 20:34 . 2009-04-13 17:00 81191 ----a-w c:\windows\system32\nvapps.xml
2009-04-09 20:34 . 2009-04-09 20:36 -------- d-----w c:\windows\nview
2009-04-09 20:34 . 2006-08-11 13:42 16960 ----a-w c:\windows\system32\nvdisp.nvu
2009-04-09 20:34 . 2006-08-11 13:42 208896 ----a-w c:\windows\system32\nvudisp.exe
2009-04-09 20:33 . 2006-06-14 05:56 12288 ----a-r c:\windows\system32\drivers\EIO.sys
2009-04-08 22:11 . 2009-04-08 22:11 -------- d-----w c:\documents and settings\Rodina\Local Settings\Data aplikací\Help
2009-04-08 21:24 . 2007-01-18 12:00 3968 ----a-w c:\windows\system32\drivers\AvgArCln.sys
2009-04-06 19:56 . 2009-04-06 19:56 -------- d-----w c:\documents and settings\Rodina\Local Settings\Data aplikací\Adobe
2009-04-06 19:44 . 2009-04-06 19:44 -------- d-----w c:\documents and settings\Rodina\Data aplikací\Malwarebytes
2009-04-06 19:43 . 2009-03-26 14:49 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-06 19:43 . 2009-03-26 14:49 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 19:43 . 2009-04-06 19:43 -------- d-----w c:\documents and settings\All Users\Data aplikací\Malwarebytes
2009-04-06 19:19 . 2009-04-06 19:19 -------- d-----w c:\documents and settings\Rodina\Data aplikací\EleFun Games
2009-04-06 19:15 . 2009-04-06 19:22 -------- d-----w c:\documents and settings\Rodina\Data aplikací\Skype
2009-04-05 19:53 . 2009-04-05 19:53 -------- d-----w c:\documents and settings\All Users\Data aplikací\AVS4YOU
2009-04-05 19:31 . 2009-04-05 19:31 685816 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-05 19:28 . 2009-04-05 19:32 -------- d-----w c:\documents and settings\Rodina\Data aplikací\uTorrent
2009-04-05 19:09 . 2009-04-05 19:09 390 ----a-w c:\windows\ODBC.INI
2009-04-05 19:09 . 2004-03-22 13:17 24816 ----a-w c:\windows\system32\mdimon.dll
2009-04-05 19:08 . 2009-04-05 19:09 -------- d-----w c:\windows\SHELLNEW
2009-04-05 18:49 . 2008-10-31 05:09 270888 ----a-r c:\windows\system32\drivers\SbFw.sys
2009-04-05 18:49 . 2008-06-21 02:54 65576 ----a-w c:\windows\system32\drivers\SbFwIm.sys
2009-04-05 09:06 . 2009-04-09 18:44 -------- d-----w c:\documents and settings\Rodina\Data aplikací\Vso
2009-04-05 08:50 . 2009-04-05 08:50 548864 ------w c:\windows\Setup1.exe
2009-04-05 08:50 . 2009-04-05 08:50 73216 ----a-w c:\windows\ST6UNST.EXE
2009-04-05 08:42 . 2009-04-05 19:56 -------- d-----w c:\documents and settings\Rodina\Data aplikací\Orbit
2009-04-05 08:19 . 2009-04-06 20:07 -------- d-----w c:\windows\system32\CatRoot_bak
2009-04-05 07:23 . 2008-06-14 18:00 272128 -c----w c:\windows\system32\dllcache\bthport.sys
2009-04-05 07:23 . 2008-06-14 18:00 272128 ------w c:\windows\system32\drivers\bthport.sys
2009-04-05 07:11 . 2008-08-14 13:46 2059904 -c----w c:\windows\system32\dllcache\ntkrnlpa.exe
2009-04-05 07:11 . 2008-08-14 13:46 2182528 -c----w c:\windows\system32\dllcache\ntoskrnl.exe
2009-04-05 07:11 . 2008-08-14 13:46 2138112 -c----w c:\windows\system32\dllcache\ntkrnlmp.exe
2009-04-05 07:11 . 2008-08-14 13:46 2017792 -c----w c:\windows\system32\dllcache\ntkrpamp.exe
2009-04-05 07:06 . 2008-10-24 11:10 453632 -c----w c:\windows\system32\dllcache\mrxsmb.sys
2009-04-04 22:03 . 2009-04-05 10:05 -------- d--h--w C:\$AVG8.VAULT$
2009-04-04 21:44 . 2009-04-08 21:33 -------- d--h--w c:\windows\$hf_mig$
2009-04-04 21:16 . 2009-04-13 18:01 -------- d-----w c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2009-04-04 21:01 . 2005-06-28 08:21 22752 ----a-w c:\windows\system32\spupdsvc.exe
2009-04-04 21:00 . 2009-04-04 21:00 -------- dc----w c:\windows\system32\DRVSTORE
2009-04-04 21:00 . 2006-06-18 21:59 43008 ----a-w c:\windows\system32\drivers\AmdK8.sys
2009-04-04 20:59 . 2009-04-04 20:59 22 ----a-w c:\windows\FileName
2009-04-04 20:57 . 2006-03-23 17:51 208896 ----a-w c:\windows\system32\NVUNINST.EXE
2009-04-04 20:57 . 2006-05-05 11:16 396 ----a-r c:\windows\system32\raidmgmt.ini
2009-04-04 20:57 . 2006-05-05 10:32 941454 ----a-r c:\windows\system32\SATA.bmp
2009-04-04 20:57 . 2006-03-23 18:08 804 ----a-r c:\windows\system32\AsusSetup.ini
2009-04-04 20:57 . 2006-02-21 11:38 486400 ----a-r c:\windows\system32\AsusSetup.exe
2009-04-04 20:57 . 2006-05-05 10:32 941454 ----a-r c:\windows\system32\Alert.bmp
2009-04-04 20:57 . 2009-04-09 20:47 32861 ----a-w c:\windows\Ascd_tmp.ini
2009-04-04 20:57 . 2004-08-13 02:56 5810 ----a-r c:\windows\system32\drivers\ASACPI.sys
2009-04-04 20:56 . 2006-10-11 03:33 10288 ----a-w c:\windows\system32\drivers\ASUSHWIO.SYS
2009-04-04 19:51 . 2009-04-04 19:51 -------- d-sh--w c:\documents and settings\Rodina\UserData
2009-04-04 19:36 . 2009-04-06 19:24 108552 ----a-w c:\windows\system32\drivers\avgtdix.sys
2009-04-04 19:36 . 2009-04-04 19:36 10520 ----a-w c:\windows\system32\avgrsstx.dll
2009-04-04 19:36 . 2009-04-04 19:36 325640 ----a-w c:\windows\system32\drivers\avgldx86.sys
2009-04-04 19:36 . 2009-04-13 13:06 -------- d-----w c:\windows\system32\drivers\Avg
2009-04-04 19:36 . 2009-04-09 21:04 -------- d-----w c:\documents and settings\Rodina\Data aplikací\AVGTOOLBAR
2009-04-04 19:36 . 2009-04-04 19:36 -------- d-----w c:\documents and settings\All Users\Data aplikací\avg8
2009-04-03 23:19 . 2009-04-03 23:19 -------- d-----w C:\Hrajte naplno 2005
2009-04-03 22:38 . 2001-08-17 21:59 3072 ----a-w c:\windows\system32\drivers\audstub.sys
2009-04-03 22:38 . 2004-08-17 15:49 21504 ----a-w c:\windows\system32\hidserv.dll
2009-04-03 22:37 . 2004-08-17 15:43 58240 ----a-w c:\windows\system32\drivers\redbook.sys
2009-04-03 22:37 . 2001-08-17 21:46 6400 ----a-w c:\windows\system32\drivers\enum1394.sys
2009-04-03 22:36 . 2004-08-17 15:49 75264 ----a-w c:\windows\system32\usbui.dll
2009-04-03 22:34 . 2009-04-13 17:34 -------- d-----w c:\windows\system32\CatRoot2
2009-04-03 22:34 . 2009-04-08 20:47 -------- d-----w c:\windows\system32\CatRoot
2009-04-03 22:34 . 2009-04-12 21:41 -------- d--h--r c:\documents and settings\All Users\Data aplikací
2009-04-03 22:34 . 2009-04-03 22:35 -------- d--h--r c:\documents and settings\Default User\Data aplikací
2009-04-03 22:34 . 2009-04-05 19:39 -------- d-----w C:\Documents and Settings
2009-04-03 22:34 . 2009-04-03 20:50 -------- d--h--w c:\documents and settings\Default User
2009-04-03 22:34 . 2009-04-03 20:49 -------- d-----w c:\documents and settings\All Users
2009-04-03 22:33 . 2009-04-03 20:52 261 ----a-w c:\windows\system32\$winnt$.inf
2009-04-03 22:08 . 2009-04-09 20:39 17848 ----a-w c:\documents and settings\Rodina\Local Settings\Data aplikací\GDIPFONTCACHEV1.DAT
2009-04-03 22:06 . 2009-04-06 19:39 -------- d---a-w c:\documents and settings\All Users\Data aplikací\TEMP
2009-04-03 22:06 . 2005-08-25 17:18 118784 ----a-w c:\windows\system32\MSSTDFMT.DLL
2009-04-03 22:06 . 2005-04-15 18:58 1071088 ----a-w c:\windows\system32\MSCOMCTL.OCX

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-12 21:45 . 2009-04-12 21:38 -------- d-----w c:\program files\Canon
2009-04-12 21:44 . 2009-04-12 21:44 -------- d-----w c:\program files\Common Files\CANON
2009-04-12 21:41 . 2009-04-12 21:41 -------- d--h--w c:\program files\CanonBJ
2009-04-12 21:15 . 2009-04-04 21:00 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-09 21:01 . 2009-04-09 21:01 -------- d-----w c:\program files\Microsoft IntelliPoint
2009-04-09 20:51 . 2009-04-09 20:42 -------- d-----w c:\program files\ASUS
2009-04-09 20:49 . 2009-04-04 20:57 -------- d-----w c:\program files\Common Files\InstallShield
2009-04-09 20:46 . 2009-04-09 20:41 -------- d-----w c:\program files\GameFace Messenger
2009-04-09 20:43 . 2001-10-25 14:00 46196 ----a-w c:\windows\system32\perfc005.dat
2009-04-09 20:43 . 2001-10-25 14:00 309990 ----a-w c:\windows\system32\perfh005.dat
2009-04-09 20:35 . 2009-04-09 20:35 -------- d-----w c:\program files\My Company Name
2009-04-06 20:35 . 2009-04-06 20:35 -------- d-----w c:\program files\I.CA
2009-04-06 19:56 . 2009-04-06 19:56 -------- d-----w c:\program files\Common Files\Adobe
2009-04-06 19:39 . 2009-04-03 22:06 -------- d-----w c:\program files\SpywareBlaster
2009-04-05 19:09 . 2009-04-05 19:09 -------- d-----w c:\program files\Microsoft.NET
2009-04-04 21:02 . 2009-04-04 21:02 -------- d-----w c:\program files\Analog Devices
2009-04-04 21:00 . 2009-04-04 21:00 -------- d-----w c:\program files\DIFX
2009-04-04 20:59 . 2009-04-04 20:59 -------- d-----w c:\program files\NVIDIA Corporation
2009-04-04 19:49 . 2009-04-03 20:49 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-04 19:36 . 2009-04-04 19:36 -------- d-----w c:\program files\AVG
2009-04-03 20:50 . 2009-04-03 20:50 -------- d-----w c:\program files\microsoft frontpage
2009-04-03 20:48 . 2009-04-03 20:48 21812 ----a-w c:\windows\system32\emptyregdb.dat
2009-02-09 14:19 . 2004-08-17 13:44 1846272 ----a-w c:\windows\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="i:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\SmartDoctor.exe" [2006-09-08 1085440]
"AlcoholAutomount"="i:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 219520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="i:\progra~1\AVG\AVG8\avgtray.exe" [2009-04-04 1932568]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"GameFace Messenger"="c:\program files\GameFace Messenger\GameFace.exe" [2006-08-02 2048000]
"Launch Ai Booster"="i:\program files\ASUS\AI Booster\OverClk.exe" [2006-11-28 3714048]
"AsusStartupHelp"="c:\program files\ASUS\AASP\1.00.15\AsRunHelp.exe" [2006-11-14 363008]
"Ai Gear Help"="i:\program files\ASUS\AI Gear\GearHelp.exe" [2006-07-27 415744]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2006-11-22 842584]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"nwiz"="nwiz.exe" [2006-08-11 c:\windows\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-04-04 21:36 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"i:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"i:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"i:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"i:\\Program Files\\Orbitdownloader\\orbitnet.exe"=
"i:\\Program Files\\uTorrent\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"i:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2009-04-04 325640]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2009-04-06 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;i:\progra~1\AVG\AVG8\avgemc.exe [2009-04-04 908056]
R2 avg8wd;AVG Free8 WatchDog;i:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-04-04 298264]

.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
IE: E&xportovat do aplikace Microsoft Office Excel - i:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
TCP: {F90F74D2-3746-4D56-9FC0-1D5EFC2DB454} = 89.190.64.20,195.146.99.4
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-13 20:21
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
Celkový čas: 2009-04-13 20:21
ComboFix-quarantined-files.txt 2009-04-13 18:21
ComboFix2.txt 2009-04-13 17:40

Před spuštěním: 2 512 420 864
Po spuštění: 2,501,529,600

211 --- E O F --- 2009-04-08 21:33

[riffman]

ted uz tam nic nevidim

[Albi1]

OK. Děkuji za pomoc. Myslím, že to nebylo úplně jednoduché. Ještě jednou děkuji.

[riffman]

i za kolegyni - nemate zac

[Albi1]

Dobrý večer, tak jsem si myslel, že mám vyhráno, ale bohužel. V počítači mám ještě zbytek Win32/virut jako pozůstatek z původního systému. A to ve složce I:\SystemVolumeInformation. Nový systém mám na nově vytvořeném disku C: a ten je čistý. Z minulých WXP jsem vymazal vše co šlo a nešly pouze složky WINDOWS a právě SysVolInf. Oboje přejmenováno na "0WINDOWS" a "SysVol". Oba adresáře nešly nikterak odstranit. V 0WINDOWS je toto: I:\0WINDOWS\yte\Macromed\Flash\11.txt a 12.txt. Soubory txt jsou taktéž přejmenovány, původně něco jako flash.ocx. Při náhodném skenu MBAM rezident AVG zjistil Win32/virut právě v SysVol (nově vytvořený System Volume Information byl čistý). Pomocí BartPE jsem vymazal SysVol (0WINDOWS nešel ani tak, ani KillBoxem). Po odstranění SysVol byla infekce nalezena v I:\System Volume Information.
Po instalaci systému na nově vtvořený disk C jsem Win32/virut odstranil z počítače pomocí rmvirut.
Je to asi trochu složitější k pochopení, ale jestli mně můžete pomoci, tak budu rád. Případné nejasnosti v popisu rád osvětlím. Jsem tak trochu eskamotér............
Zatím díky.

[motji]

S tímto Vám já bohužel neporadím,počkáme na kolegu Riffmana,zítra se tu určitě ukáže.
Dobrou noc

Jen takovej nápad,nevím jak to máte udělané,ale máte disk rozdělený na dva C a pak tu slořku I? Nešlo by I zformátovat?

Když jste systém přeinstalovat,formát jste nedělal?

[Albi1]

V počítači mám dva disky, 2x500GB. Jeden je pouze na data a druhý na systém, programy a vše ostatní. Datový disk je plný a systémový má volných 80GB. Po zavirování jsem teprve udělal oddíl, abych nepřišel o data. Takže formát bych velice nerad, protože je to dost dat a nevím, kam bych je honem přesypal. Takže C: teď mohu formátovat jak chci, ale I: bohužel ne, protože tam jsou ta data.
Přeji dobrou noc. Albi.

[riffman]

z toho vaseho popisu jsem nepochopil, kde presne se ted momentalne Virut nachazi

[Albi1]

Dobrý den, Vy jste ranní ptáče. Virut mně to hlásí na I:\System Volume Information. Protože je složka normálně nepřístupná, tak pouze při kontrole MBAM. Hlášení je pak od rezidentního štítu AVG. Při úplném scanu AVG je všechno OK!
Pro upřesnění - systém mám na C: a disky C a I jsou na jednom disku fyzickém. C byl vytvořen pomocí Acronis Disk Director.

[riffman]

malware v System Volume Information odstrante dle tohoto navodu

upozorneni: touto operaci prijdete o vsechny vytvorene body obnovy...

[Albi1]

Dobrý večer, po provedení Vašeho doporučení je System Volume Information OK! Teď zbývá akorát vymazat složku 0WINDOWS z disku I. Jak to lze provést?