Prosím o kontrolu logu, tohle je fakt oříšek

[gugacka]

jj, pracuji na něm, ale nejde to bohužel urychlit....

[Caroprd111]

OK

[gugacka]

tak mbam proběhl a nic

[Caroprd111]

Tohle otestujte na http://www.virustotal.com/cs/
c:\windows\system32\dllcache\npdrmv2.zip
c:\windows\system32\dllcache\npds.zip

(Soubor nehledejte, jenom vložíte tučně označenou cestu, v případě hlášky "Soubor již byl testován" dejte otestovat znovu. Výsledek analýzy sem v podobě odkazu vložte.)


Pokud nemáte, přesuňte Combofix na plochu

• Otevřete si Poznámkový blok a zkopírujte do něj text z bílého okénka.

Kód: Vybrat vše

Driver::
noskrnl.sys

File::
c:\windows\system32\noskrnl.sys 

• Uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
• Po uložení uchopte vámi vytvořený skript levým myšítkem a přesuňte ho nad ikonu Combofixu, kde ho upustíte:
  
  
• Po aplikaci na Vás vypadne další log,vložte ho sem

Může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

[gugacka]

jenom tak pro info, eset funguje, nic nenajde a hlásí mi že mám nefunkční firewall

[Caroprd111]

OK, proveďte krok z předchozího příspěvku.

[gugacka]

tak, obnovovat jsem nemusel, win naběhli, log zde:
ComboFix 10-03-29.04 - VJagrova 2010-04-01 17:25:15.7.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.958.560 [GMT 2:00]
Spuštěný z: c:\documents and settings\VJagrova\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\VJagrova\Plocha\CFScript.txt
AV: ESET Smart Security 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

FILE ::
"c:\windows\system32\noskrnl.sys"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NOSKRNL.SYS
-------\Service_noskrnl.sys


((((((((((((((((((((((((( Soubory vytvořené od 2010-03-01 do 2010-04-01 )))))))))))))))))))))))))))))))
.

2010-04-01 14:28 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-01 14:28 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-01 14:28 . 2010-04-01 14:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-01 11:29 . 2004-08-18 12:00 403 -c----w- c:\windows\system32\dllcache\npdrmv2.zip
2010-04-01 11:29 . 2004-08-18 12:00 22060 -c----w- c:\windows\system32\dllcache\npds.zip
2010-04-01 11:28 . 2008-04-14 02:30 80896 -c----w- c:\windows\system32\dllcache\msxml6r.dll
2010-04-01 11:28 . 2008-04-14 03:21 1306624 -c----w- c:\windows\system32\dllcache\msxml6.dll
2010-04-01 11:23 . 2008-04-14 03:22 294912 -c----w- c:\windows\system32\dllcache\dlimport.exe
2010-04-01 10:05 . 2010-04-01 10:05 -------- d-----w- c:\program files\trend micro
2010-04-01 07:54 . 2001-10-24 10:24 38912 -c--a-w- c:\windows\system32\dllcache\EXCH_ntfsdrv.dll
2010-04-01 07:53 . 2004-08-18 12:00 36864 -c--a-w- c:\windows\system32\dllcache\hanjadic.dll
2010-04-01 07:52 . 2004-08-18 12:00 7168 -c--a-w- c:\windows\system32\dllcache\wamregps.dll
2010-04-01 07:52 . 2003-04-14 18:48 16384 -c--a-w- c:\windows\system32\dllcache\tcptsat.dll
2010-04-01 07:52 . 2004-08-18 12:00 7680 -c--a-w- c:\windows\system32\dllcache\inetmgr.exe
2010-04-01 07:52 . 2004-08-18 12:00 19968 -c--a-w- c:\windows\system32\dllcache\inetsloc.dll
2010-04-01 07:52 . 2004-08-18 12:00 171008 -c--a-w- c:\windows\system32\dllcache\iisui.dll
2010-04-01 07:52 . 2004-08-18 12:00 6144 -c--a-w- c:\windows\system32\dllcache\ftpsapi2.dll
2010-04-01 07:52 . 2004-08-18 12:00 5632 -c--a-w- c:\windows\system32\dllcache\iisrstap.dll
2010-04-01 07:52 . 2004-08-18 12:00 14848 -c--a-w- c:\windows\system32\dllcache\iisreset.exe
2010-04-01 07:52 . 2003-04-14 18:48 212992 -c--a-w- c:\windows\system32\dllcache\fpmmcsat.dll
2010-04-01 07:50 . 2004-08-18 12:00 16384 -c--a-w- c:\windows\system32\dllcache\isignup.exe
2010-04-01 07:41 . 2004-08-18 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-04-01 07:41 . 2004-08-18 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-04-01 07:41 . 2004-08-18 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-04-01 07:41 . 2004-08-18 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-03-31 13:10 . 2010-04-01 09:11 -------- d-----w- c:\program files\ESET
2010-03-31 12:38 . 2010-03-31 12:37 390144 ----a-w- c:\windows\system32\CF286.exe
2010-03-31 12:38 . 2010-03-31 12:37 390144 ----a-w- c:\windows\system32\CF276.exe
2010-03-30 21:06 . 2010-03-30 21:06 -------- d-sh--w- c:\documents and settings\VJagrova\PrivacIE
2010-03-30 20:38 . 2006-06-29 11:07 14048 ----a-w- c:\windows\system32\spmsg2.dll
2010-03-30 20:37 . 2010-03-30 20:58 -------- d-----w- c:\program files\Windows Desktop Search
2010-03-30 20:35 . 2010-03-30 20:35 -------- d-----w- c:\program files\Windows Media Connect 2
2010-03-30 20:32 . 2010-03-30 20:33 -------- d-----w- c:\windows\system32\drivers\UMDF
2010-03-30 20:32 . 2010-03-30 20:32 -------- d-----w- c:\windows\system32\LogFiles
2010-03-30 20:30 . 2010-03-30 20:30 -------- d-----w- c:\windows\system32\URTTEMP
2010-03-30 20:19 . 2010-03-30 20:19 -------- d-sh--w- c:\documents and settings\VJagrova\IECompatCache
2010-03-30 20:18 . 2010-03-30 20:18 -------- d-sh--w- c:\documents and settings\VJagrova\IETldCache
2010-03-30 20:18 . 2010-03-30 20:18 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-03-30 20:14 . 2010-03-30 21:00 -------- d-----w- c:\windows\ie8updates
2010-03-30 20:09 . 2010-03-30 20:11 -------- dc-h--w- c:\windows\ie8
2010-03-30 19:52 . 2010-02-12 10:03 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-03-30 19:35 . 2010-03-30 20:38 -------- d-----w- c:\windows\system32\XPSViewer
2010-03-30 19:34 . 2010-03-30 19:34 -------- d-----w- c:\program files\MSBuild
2010-03-30 19:34 . 2010-03-30 19:34 -------- d-----w- c:\program files\Reference Assemblies
2010-03-30 19:34 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-03-30 19:34 . 2008-07-06 12:06 117760 ----a-w- c:\windows\system32\prntvpt.dll
2010-03-30 19:34 . 2008-07-06 10:50 597504 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-03-30 19:34 . 2010-03-30 19:34 -------- d-----w- C:\719161ae0275cd870930
2010-03-30 19:34 . 2008-07-06 12:06 575488 ----a-w- c:\windows\system32\xpsshhdr.dll
2010-03-30 19:34 . 2008-07-06 12:06 1676288 ----a-w- c:\windows\system32\xpssvcs.dll
2010-03-30 18:46 . 2010-03-30 18:46 -------- d-----w- C:\INCINERATE
2010-03-30 18:19 . 2010-03-30 18:19 -------- d-----w- c:\program files\Yamicsoft
2010-03-30 18:18 . 2010-03-30 18:18 -------- d-----w- c:\program files\CCleaner

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-01 12:44 . 2004-08-18 12:00 91826 ----a-w- c:\windows\system32\perfc005.dat
2010-04-01 12:44 . 2004-08-18 12:00 461128 ----a-w- c:\windows\system32\perfh005.dat
2010-04-01 07:48 . 2007-10-17 04:46 23588 ----a-w- c:\windows\system32\emptyregdb.dat
2010-03-31 11:37 . 2010-03-31 11:37 2855 ----a-w- c:\windows\PIF\setup.PIF
2010-03-30 18:32 . 2008-05-18 14:32 -------- d-----w- c:\program files\totalcmd
2010-03-30 18:14 . 2007-10-18 07:39 -------- d-----w- c:\program files\Common Files\Java
2010-03-30 18:13 . 2007-10-18 07:39 -------- d-----w- c:\program files\Java
2010-03-09 02:28 . 2008-12-31 16:56 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-08 06:13 . 2010-01-08 06:13 33096 ----a-w- c:\windows\system32\drivers\epfwndis.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-04-01_14.12.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-01 15:32 . 2010-04-01 15:32 16384 c:\windows\temp\Perflib_Perfdata_630.dat
- 2010-04-01 09:39 . 2007-11-30 12:39 26488 c:\windows\SoftwareDistribution\Download\82c0858e7bb8d447694910ac63fa61c0\update\spcustom.dll
- 2010-04-01 09:39 . 2007-11-30 12:39 18296 c:\windows\SoftwareDistribution\Download\82c0858e7bb8d447694910ac63fa61c0\spmsg.dll
- 2008-06-24 16:24 . 2008-06-24 16:24 74240 c:\windows\SoftwareDistribution\Download\82c0858e7bb8d447694910ac63fa61c0\sp2gdr\mscms.dll
- 2010-04-01 09:39 . 2007-11-30 12:39 391032 c:\windows\SoftwareDistribution\Download\82c0858e7bb8d447694910ac63fa61c0\update\updspapi.dll
- 2010-04-01 09:39 . 2007-11-30 12:39 759160 c:\windows\SoftwareDistribution\Download\82c0858e7bb8d447694910ac63fa61c0\update\update.exe
- 2010-04-01 09:39 . 2007-11-30 12:39 233848 c:\windows\SoftwareDistribution\Download\82c0858e7bb8d447694910ac63fa61c0\spuninst.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gemstrmw"="c:\windows\system32\gemstrmw.exe" [2003-08-29 24576]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-11-16 2054360]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 577536]
"VTTimer"="VTTimer.exe" [2005-03-07 53248]
"VTTrayp"="VTtrayp.exe" [2005-10-31 163840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-18 44544]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-11-16 108792]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2009-11-16 735960]
S3 GTwinUSB;GTwinUSB;c:\windows\system32\drivers\GTwinUSB.sys [2007-10-31 61776]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Download All by FlashGet
IE: Download using FlashGet
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: csob.cz
Trusted Zone: csob.cz\bb24
Trusted Zone: mojebanka.cz\www
DPF: {1AE23F24-D3E4-4C57-8468-6618B9B8B70F} - hxxps://bb24.csob.cz/Comp/IcaSignerCZ.cab
DPF: {461A37E7-17B3-40E3-B6BB-7CAEC732C9E4} - hxxps://bb24.csob.cz/Comp/CSOBEnroll.dll
DPF: {4C3CEE0B-4F2F-44C3-9586-4368F3200143} - hxxp://download.ica.cz/icapki.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-01 17:33
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3860)
c:\program files\Windows Desktop Search\deskbar.dll
c:\program files\Windows Desktop Search\cs-cz\dbres.dll.mui
c:\program files\Windows Desktop Search\dbres.dll
c:\program files\Windows Desktop Search\wordwheel.dll
c:\program files\Windows Desktop Search\cs-cz\msnlExtRes.dll.mui
c:\program files\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\SearchIndexer.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\VTTimer.exe
c:\windows\system32\VTtrayp.exe
c:\windows\system32\SearchProtocolHost.exe
c:\windows\system32\SearchFilterHost.exe
.
**************************************************************************
.
Celkový čas: 2010-04-01 17:36:35 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-01 15:36
ComboFix2.txt 2010-04-01 14:15

Před spuštěním: Volných bajtů: 66,213,105,664
Po spuštění: Volných bajtů: 66,159,378,432

- - End Of File - - 8B642FF78CC76100B64E757207B1DDBB

[gugacka]

tušíte aspoˇn trochu, kde by mohl být zádrhel?

[Caroprd111]

Jak to vypadá s PC

[gugacka]

pořád stejně, explorer dělá psí kusy, firewall není zapnutej....

[Caroprd111]

Pokračujte podle návodu AVPTool http://www.viry.cz/forum/viewtopic.php?f=29&t=58179