Pomoc: zavirovane PC?

Zpráva

Meluzin · #1 Příspěvek od **Meluzin** » 26 úno 2010 19:25

Ahoj všichni, moc prosím o pomoc:
Určitě to znáte - kamarád kamaráda mi dal PC, že mu nejede...a já jsem ten jednooký král:) Tady je ve zkratce příběh:

PC vůbec nenaběhlo, nabootoval jsem z CD Window XP, zkusil jsem fixboot a fixmbr, nepomohlo. Kompletní checkdisk disku v jiném počítači byl OK. Tak jsem znova nabootoval a přeinstaloval ty existující XPčka,aby neztratili všechny ty věci, co tam maj nainstalovaný. Jak to nabootovalo, tak jsem se docela lek! Totální sajgón - x-člená rodina PC analfalbetů to poúživala po staletí bez nějaké údržby. Odinstaloval jsem co se dalo, pak jsem použil CCleaner, nainstaloval všechny aktualizace a pak tam hodil spybot. Ten běžel půl dne a odstranil spoustu hovadin v registrech. Pak jsem tam chtěl hodit nějakej antivir, nainstaloval jsem Avast 5 - při první instalaci to lehlo (modrá smrt), na podruhý se to nainstalovalo úspěšně, ale vůbec to nejde spustit. Po spuštění to řekne "Failed to load language dll" - zkouším to googlovat,ale zatím nic.
Symptom:
Po naběhnutí bez připojení k internetu se zdá bejt v procesech všechno OK, jakmile to připojím k netu, tak se tam oběví process schvost.exe, kterej neustále žere 100% procesoru a nikdy nepřestane (převlečenej vir?). A teď to nejzábavnější, když ho odstřelím, tak se oběví stará známá obrazovka s odpočtem jedné minuty, po které se PC vypne. Někde jsem vyčet, že na to pomáhá "shutdown /a", takže to teď používám:)
Takže to asi bude pořádně zasviněný virama, že. Navštívil jsem tedy viry.cz a početl si, zaregistroval se a jsem tu...
Pomůže mi moc prosím někdo? Předem děkuji.
Připojuji log z combofixu (mimochodem nechapu proc nejde prilozit txt soubor a musim to sem kopirovat...zda se mi to trosku divny:), nevesel se mi sem pak log z UPM).

ComboFix 10-02-25.02 - PC 26.02.2010 18:14:42.1.1 - x86
SpuÜtýnř z: c:\documents and settings\PC\Plocha\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( OstatnÝ vřmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-1004336348-926492609-1801674531-1003
c:\windows\srchasst\nls302en.lex
c:\windows\system32\driVERs\gqbcouh.sys
c:\windows\system32\ieuinit.inf

.
((((((((((((((((((((((((((((((((((((((( OvladaŔe/Slu×by )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_gqbcouh
-------\Service_gqbcouh

((((((((((((((((((((((((( Soubory vytvo°enÚ od 2010-01-26 do 2010-02-26 )))))))))))))))))))))))))))))))
.

2010-02-25 19:52 . 2010-02-25 19:52 -------- d-----w- c:\temp\_avast5_
2010-02-25 19:52 . 2010-02-11 18:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-25 19:52 . 2010-02-11 18:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-25 19:52 . 2010-02-11 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-25 19:52 . 2010-02-11 18:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-25 19:52 . 2010-02-11 18:38 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-25 19:52 . 2010-02-11 18:38 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-25 19:52 . 2010-02-11 18:38 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-02-25 19:51 . 2010-02-11 18:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-25 19:51 . 2010-02-11 18:53 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-25 19:51 . 2010-02-25 19:51 -------- d-----w- c:\program files\Alwil Software
2010-02-25 19:50 . 2010-02-25 20:06 -------- d-----w- c:\temp\_av_sfx.tm~a03552
2010-02-25 19:28 . 2010-02-25 19:28 -------- d-----w- c:\program files\XP Codec Pack
2010-02-25 19:23 . 2008-06-14 17:35 272128 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-02-25 19:21 . 2009-12-04 18:22 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-02-25 19:18 . 2009-08-04 17:29 2147328 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-02-25 19:18 . 2009-08-04 17:29 2025984 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-02-25 19:18 . 2009-08-04 17:29 2068224 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2010-02-25 18:34 . 2010-02-25 19:42 -------- d-----w- c:\temp\~nsu.tmp
2010-02-25 18:25 . 2010-02-25 18:33 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-24 22:11 . 2010-02-24 22:12 -------- d-----w- c:\program files\DiskCheckerXP
2010-02-24 22:08 . 2010-02-24 22:08 -------- d-----w- c:\windows\NLDRV
2010-02-24 21:56 . 2010-02-26 17:22 0 ----a-w- c:\windows\system32\drivers\plxtjp.sys
2010-02-24 21:49 . 2010-02-24 21:49 -------- d-----w- c:\program files\CCleaner
2010-02-24 21:28 . 2001-10-25 14:00 14848 -c--a-w- c:\windows\system32\dllcache\register.exe
2010-02-24 21:27 . 2008-04-14 06:51 8192 -c--a-w- c:\windows\system32\dllcache\httpmb51.dll
2010-02-24 21:15 . 2001-10-25 14:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-02-24 21:15 . 2001-10-25 14:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-02-24 21:15 . 2001-10-25 14:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-02-24 21:15 . 2001-10-25 14:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-02-24 20:04 . 2010-02-24 20:21 -------- d-----w- C:\Hry-ISO
2010-02-19 17:53 . 2010-02-19 17:53 -------- d-----w- c:\program files\Ubisoft
2010-02-18 20:34 . 2010-02-24 21:55 142 ----a-w- c:\windows\system32\fjhdyfhsn.bat

.
(((((((((((((((((((((((((((((((((((((((( Find3M vřpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-25 20:00 . 2002-09-23 12:00 78314 ----a-w- c:\windows\system32\perfc005.dat
2010-02-25 20:00 . 2002-09-23 12:00 429474 ----a-w- c:\windows\system32\perfh005.dat
2010-02-24 22:06 . 2010-01-21 19:38 -------- d-----w- c:\program files\GameShadow
2010-02-24 22:03 . 2007-09-17 09:38 -------- d-----w- c:\program files\Ahead
2010-02-24 22:03 . 2007-09-17 09:36 -------- d-----w- c:\program files\CyberLink
2010-02-24 22:03 . 2007-09-17 00:25 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-24 22:01 . 2010-01-21 19:43 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-24 21:44 . 2009-04-27 11:23 -------- d-----w- c:\program files\Graffiti Studio 2.0
2010-02-24 21:24 . 2007-09-16 23:44 22916 ----a-w- c:\windows\system32\emptyregdb.dat
2010-01-25 19:16 . 2010-01-21 19:28 -------- d-----w- c:\program files\Firefly Studios
2010-01-25 17:29 . 2010-01-25 17:29 -------- d-----w- c:\program files\Hry.cz
2010-01-22 20:12 . 2010-01-22 20:12 -------- d-----w- c:\program files\Wanadoo Edition
2010-01-21 20:19 . 2009-08-27 11:46 -------- d-----w- c:\program files\GameTop.com
2010-01-21 19:43 . 2008-05-05 13:15 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-01 13:16 . 2009-07-21 08:49 -------- d-----w- c:\program files\ICQ6.5
2009-12-31 16:50 . 2008-04-13 22:45 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 14:00 . 2009-12-25 09:44 -------- d-----w- c:\program files\Imperium Romanum
2009-12-22 05:09 . 2008-04-14 06:52 668160 ----a-w- c:\windows\system32\wininet.dll
2009-12-22 05:09 . 2008-04-14 06:51 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-12-17 07:42 . 2007-09-16 23:43 343552 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2008-04-14 06:51 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-04 18:22 . 2008-04-13 22:47 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[-] 2008-06-12 . C71BB4782833750BF4C02AC30ED670B7 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( SpouÜtýcÝ body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznßmka* prßzdnÚ zßznamy a legitimnÝ vřchozÝ ˙daje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-15 2879488]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-10-26 77824]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 176128]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-28 61440]
"RTHDCPL"="RTHDCPL.EXE" [2006-12-17 16062464]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\PC\Nabídka Start\Programy\Po spuštění\
monnid32.exe [2008-4-14 27648]
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-6-8 393216]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Hry\\ Nove\\MOHAA\\MOHAA.exe"=
"c:\\Hry\\ Nove\\MOHAA + Breaktrougt + Spreadhead\\moh_spearhead.exe"=
"c:\\Hry\\ Nove\\MOHAA + Breaktrougt + Spreadhead\\moh_Breakthrough.exe"=
"c:\\Hry\\QUAKE\\quake3.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Empire Interactive\\FlatOut Ultimate Carnage\\Fouc.exe"=
"c:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Program Files\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25.2.2010 20:52 162512]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [5.5.2008 14:15 691696]
S2 aswFsBlk;aswFsBlk;aswFsBlk.sys --> aswFsBlk.sys [?]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe --> c:\program files\Spyware Doctor\svcntaux.exe [?]

--- OstatnÝ slu×by/ovladaŔe v pamýti ---

*Deregistered* - plxtjp
.
.
------- Dopl˛kovř sken -------
.
uStart Page = hxxp://www.seznam.cz/
DPF: {E001C731-5E37-4538-A5CB-8168736A2360} - hxxp://91.199.104.31/cab/ActiveQscan.cab
FF - ProfilePath - c:\documents and settings\PC\Data aplikacÝ\Mozilla\Firefox\Profiles\noo34k3t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.cz
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\documents and settings\PC\Data aplikacÝ\Mozilla\Firefox\Profiles\noo34k3t.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll

---- NASTAVEN═ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATN╔ POLOÄKY ODSTRAN╠N╔ Z REGISTRU - - - -

HKCU-Run-GameShadow - c:\program files\GameShadow\GameShadow.exe
HKCU-RunOnce-Shockwave Updater - c:\windows\system32\Adobe\Shockwave 11\SwHelper_1150596.exe
AddRemove-KB923789 - c:\windows\system32\MacroMed\Flash\genuinst.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 18:20
Windows 5.1.2600 Service Pack 3 NTFS

skenovßnÝ skrytřch proces¨ ...

skenovßnÝ skrytřch polo×ek 'Po spuÜtýnÝ' ...

skenovßnÝ skrytřch soubor¨ ...

c:\documents and settings\PC\NabÝdka Start\Programy\Po spuÜtýnÝ\monnid32.exe 27648 bytes executable

sken byl ˙speÜný dokonŔen
skrytÚ soubory: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\plxtjp]

.
--------------------- ZAMKNUT╔ KL═╚E V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-790525478-329068152-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Knihovny navßzanÚ na bý×ÝcÝ procesy ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2148)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ JinÚ spuÜtenÚ procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~2\rapimgr.exe
c:\program files\OpenOffice.org 2.2\program\soffice.exe
c:\program files\OpenOffice.org 2.2\program\soffice.BIN
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Celkovř Ŕas: 2010-02-26 18:38:39 - poŔÝtaŔ byl restartovßn
ComboFix-quarantined-files.txt 2010-02-26 17:38

P°ed spuÜtýnÝm: Volnřch bajt¨: 123á340á017á664
Po spuÜtýnÝ: Volnřch bajt¨: 123á226á791á936

WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 9733B929A11CF2656F3344485C4B0D1B

#2 Příspěvek od **Rudy** » 26 úno 2010 19:57

Ještě dočistíme. Otevřte poznámkový blok a zkopírujte do něj:

Collect::
c:\windows\system32\drivers\plxtjp.sys
c:\windows\system32\fjhdyfhsn.bat
c:\documents and settings\PC\Nabídka Start\Programy\Po spuštění\monnid32.exe

Driver::
plxtjp

Uložte na plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.

Obrázek

Meluzin · #3 Příspěvek od **Meluzin** » 26 úno 2010 20:49

Díky Rudy, vypadá to, že to zafungovalo. Sice jsem měl nějaký problémy na poprvý, zas ten proces už běžel a žral procesor, takže jsem to zkoušel odstřelit a u toho ten combofix nějak umřel, ale po restartu jsem to zkusil po druhý a to už se povedlo.

Teď už po tom procesu není ani stopy. A ta minuta a smrt se už taky neobjevuje.

Jen je tu furt ten problém s tím avastem. Furt ta samá chyba a to jsem to zkusil přeinstalovat. Co s tím náhodou nevíš? Možná bych měl prostě nainstalovat jinej antivir a ne se blbě ptát,že

#4 Příspěvek od **Rudy** » 26 úno 2010 22:02

Rád bych viděl poslední log z CF.

Meluzin · #5 Příspěvek od **Meluzin** » 28 úno 2010 13:54

Tady je ten log:

ComboFix 10-02-25.02 - PC 26.02.2010 20:19:55.2.1 - x86
SystÚm Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.670 [GMT 1:00]
SpuÜtýnř z: c:\documents and settings\PC\Plocha\ComboFix.exe
Pou×itÚ ovlßdacÝ p°epÝnaŔe :: c:\documents and settings\PC\Plocha\CFScript.txt.txt

file zipped: c:\windows\system32\drivers\plxtjp.sys
file zipped: c:\windows\system32\fjhdyfhsn.bat
.

((((((((((((((((((((((((((((((((((((((( OstatnÝ vřmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\plxtjp.sys
c:\windows\system32\fjhdyfhsn.bat

.
((((((((((((((((((((((((((((((((((((((( OvladaŔe/Slu×by )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PLXTJP
-------\Service_plxtjp

((((((((((((((((((((((((( Soubory vytvo°enÚ od 2010-01-26 do 2010-02-26 )))))))))))))))))))))))))))))))
.

2010-02-26 18:06 . 2010-02-26 18:06 -------- d-----w- c:\temp\_avast5_
2010-02-26 17:39 . 2010-02-26 18:22 -------- d-----w- c:\program files\Ultimate Process Manager
2010-02-25 19:52 . 2010-02-11 18:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-25 19:52 . 2010-02-11 18:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-25 19:52 . 2010-02-11 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-25 19:52 . 2010-02-11 18:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-25 19:52 . 2010-02-11 18:38 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-25 19:52 . 2010-02-11 18:38 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-25 19:52 . 2010-02-11 18:38 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-02-25 19:51 . 2010-02-11 18:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-25 19:51 . 2010-02-11 18:53 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-25 19:51 . 2010-02-25 19:51 -------- d-----w- c:\program files\Alwil Software
2010-02-25 19:28 . 2010-02-25 19:28 -------- d-----w- c:\program files\XP Codec Pack
2010-02-25 19:23 . 2008-06-14 17:35 272128 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-02-25 19:21 . 2009-12-04 18:22 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-02-25 19:18 . 2009-08-04 17:29 2147328 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-02-25 19:18 . 2009-08-04 17:29 2025984 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-02-25 19:18 . 2009-08-04 17:29 2068224 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2010-02-25 18:25 . 2010-02-25 18:33 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-24 22:11 . 2010-02-24 22:12 -------- d-----w- c:\program files\DiskCheckerXP
2010-02-24 22:08 . 2010-02-24 22:08 -------- d-----w- c:\windows\NLDRV
2010-02-24 21:49 . 2010-02-24 21:49 -------- d-----w- c:\program files\CCleaner
2010-02-24 21:28 . 2001-10-25 14:00 14848 -c--a-w- c:\windows\system32\dllcache\register.exe
2010-02-24 21:27 . 2008-04-14 06:51 8192 -c--a-w- c:\windows\system32\dllcache\httpmb51.dll
2010-02-24 21:15 . 2001-10-25 14:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-02-24 21:15 . 2001-10-25 14:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-02-24 21:15 . 2001-10-25 14:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-02-24 21:15 . 2001-10-25 14:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-02-24 20:04 . 2010-02-24 20:21 -------- d-----w- C:\Hry-ISO
2010-02-19 17:53 . 2010-02-19 17:53 -------- d-----w- c:\program files\Ubisoft

.
(((((((((((((((((((((((((((((((((((((((( Find3M vřpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-26 17:45 . 2002-09-23 12:00 78314 ----a-w- c:\windows\system32\perfc005.dat
2010-02-26 17:45 . 2002-09-23 12:00 429474 ----a-w- c:\windows\system32\perfh005.dat
2010-02-24 22:06 . 2010-01-21 19:38 -------- d-----w- c:\program files\GameShadow
2010-02-24 22:03 . 2007-09-17 09:38 -------- d-----w- c:\program files\Ahead
2010-02-24 22:03 . 2007-09-17 09:36 -------- d-----w- c:\program files\CyberLink
2010-02-24 22:03 . 2007-09-17 00:25 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-24 22:01 . 2010-01-21 19:43 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-24 21:44 . 2009-04-27 11:23 -------- d-----w- c:\program files\Graffiti Studio 2.0
2010-02-24 21:24 . 2007-09-16 23:44 22916 ----a-w- c:\windows\system32\emptyregdb.dat
2010-01-25 19:16 . 2010-01-21 19:28 -------- d-----w- c:\program files\Firefly Studios
2010-01-25 17:29 . 2010-01-25 17:29 -------- d-----w- c:\program files\Hry.cz
2010-01-22 20:12 . 2010-01-22 20:12 -------- d-----w- c:\program files\Wanadoo Edition
2010-01-21 20:19 . 2009-08-27 11:46 -------- d-----w- c:\program files\GameTop.com
2010-01-21 19:43 . 2008-05-05 13:15 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-01 13:16 . 2009-07-21 08:49 -------- d-----w- c:\program files\ICQ6.5
2009-12-31 16:50 . 2008-04-13 22:45 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 14:00 . 2009-12-25 09:44 -------- d-----w- c:\program files\Imperium Romanum
2009-12-22 05:09 . 2008-04-14 06:52 668160 ------w- c:\windows\system32\wininet.dll
2009-12-22 05:09 . 2008-04-14 06:51 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-12-17 07:42 . 2007-09-16 23:43 343552 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2008-04-14 06:51 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-04 18:22 . 2008-04-13 22:47 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[-] 2008-06-12 . C71BB4782833750BF4C02AC30ED670B7 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( SpouÜtýcÝ body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznßmka* prßzdnÚ zßznamy a legitimnÝ vřchozÝ ˙daje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-15 2879488]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-10-26 77824]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 176128]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-28 61440]
"RTHDCPL"="RTHDCPL.EXE" [2006-12-17 16062464]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\PC\Nabídka Start\Programy\Po spuštění\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-6-8 393216]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Hry\\ Nove\\MOHAA\\MOHAA.exe"=
"c:\\Hry\\ Nove\\MOHAA + Breaktrougt + Spreadhead\\moh_spearhead.exe"=
"c:\\Hry\\ Nove\\MOHAA + Breaktrougt + Spreadhead\\moh_Breakthrough.exe"=
"c:\\Hry\\QUAKE\\quake3.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Empire Interactive\\FlatOut Ultimate Carnage\\Fouc.exe"=
"c:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Program Files\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25.2.2010 20:52 162512]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [5.5.2008 14:15 691696]
S2 aswFsBlk;aswFsBlk;aswFsBlk.sys --> aswFsBlk.sys [?]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe --> c:\program files\Spyware Doctor\svcntaux.exe [?]
.
.
------- Dopl˛kovř sken -------
.
uStart Page = hxxp://www.seznam.cz/
DPF: {E001C731-5E37-4538-A5CB-8168736A2360} - hxxp://91.199.104.31/cab/ActiveQscan.cab
FF - ProfilePath - c:\documents and settings\PC\Data aplikacÝ\Mozilla\Firefox\Profiles\noo34k3t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.cz
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\documents and settings\PC\Data aplikacÝ\Mozilla\Firefox\Profiles\noo34k3t.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll

---- NASTAVEN═ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 20:29
Windows 5.1.2600 Service Pack 3 NTFS

skenovßnÝ skrytřch proces¨ ...

skenovßnÝ skrytřch polo×ek 'Po spuÜtýnÝ' ...

skenovßnÝ skrytřch soubor¨ ...

sken byl ˙speÜný dokonŔen
skrytÚ soubory: 0

**************************************************************************
.
--------------------- ZAMKNUT╔ KL═╚E V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-790525478-329068152-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Knihovny navßzanÚ na bý×ÝcÝ procesy ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3436)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ JinÚ spuÜtenÚ procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~2\rapimgr.exe
c:\program files\OpenOffice.org 2.2\program\soffice.exe
c:\program files\OpenOffice.org 2.2\program\soffice.BIN
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Celkovř Ŕas: 2010-02-26 20:33:26 - poŔÝtaŔ byl restartovßn
ComboFix-quarantined-files.txt 2010-02-26 19:33
ComboFix2.txt 2010-02-26 17:38

P°ed spuÜtýnÝm: Volnřch bajt¨: 124á260á560á896
Po spuÜtýnÝ: Volnřch bajt¨: 124á226á977á792

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - F52F16F0C2EFCD84693DB39379C52548

#6 Příspěvek od **Rudy** » 28 úno 2010 19:11

Log již vypadá čistý.

Meluzin · #7 Příspěvek od **Meluzin** » 28 úno 2010 19:32

OK. Mockrat díky za pomoc.

#8 Příspěvek od **Rudy** » 28 úno 2010 19:48

Nemáte zač!

VIRY.CZ

Pomoc: zavirovane PC?

Pomoc: zavirovane PC?

Re: Pomoc: zavirovane PC?

Re: Pomoc: zavirovane PC?

Re: Pomoc: zavirovane PC?

Re: Pomoc: zavirovane PC?

Re: Pomoc: zavirovane PC?

Re: Pomoc: zavirovane PC?

Re: Pomoc: zavirovane PC?