opravuji problemy po ave.exe, bojim se zatim restartu

[Caroprd111]

ComboFix nespouštějte bez pokynu rádce, stejně by Vám restartoval PC. Do počítače nic neinstalujte a nepokoušejte se odstraňovat viry svépomocí. Potřebuji, abyste provedl tu opravu s OTL, jinak se nepohneme.

[cestmir]

tak jsem dal opravit a restart probehl ok :):)
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Regedit32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{14CD42DD-ABCD-3586-DCAB-40E3693E3737}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{14CD42DD-ABCD-3586-DCAB-40E3693E3737}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{14CD42DD-ABCD-3586-DCAB-40E3693E3737}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{14CD42DD-ABCD-3586-DCAB-40E3693E3737}\ not found.
Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71}
C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.
File not found.
Registry key HKEY_USERS\S-1-5-21-1801674531-854245398-1343024091-1003_Classes\.exe\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1801674531-854245398-1343024091-1003_Classes\exefile\ not found.
HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\SET1E3.tmp deleted successfully.
C:\WINDOWS\System32\SET1E8.tmp deleted successfully.
C:\WINDOWS\System32\SET1EF.tmp deleted successfully.
C:\WINDOWS\SET3.tmp deleted successfully.
C:\WINDOWS\SET4.tmp deleted successfully.
C:\WINDOWS\SET8.tmp deleted successfully.
File C:\Documents and Settings\jaa\Plocha\How to remove ave.exe (ave.exe Removal) Malware Help. Org.htm not found.
C:\Documents and Settings\jaa\Local Settings\Data aplikací\sWj5YKqA moved successfully.
C:\Documents and Settings\All Users\Data aplikací\sWj5YKqA moved successfully.
C:\Documents and Settings\jaa\Local Settings\Data aplikací\ave.exe moved successfully.
C:\Documents and Settings\jaa\Local Settings\Data aplikací\Nae6FtA moved successfully.
C:\Documents and Settings\All Users\Data aplikací\Nae6FtA moved successfully.
C:\Documents and Settings\jaa\Local Settings\Data aplikací\1211944673 moved successfully.
C:\Documents and Settings\All Users\Data aplikací\1211944673 moved successfully.
C:\Documents and Settings\NetworkService\Data aplikací\wzmjhy.dat moved successfully.
ADS C:\QIP Infium JadrisPack\infium.exe:SummaryInformation deleted successfully.
ADS C:\Documents and Settings\jaa\Plocha\Zobrazit plochu.scf:SummaryInformation deleted successfully.
ADS C:\Documents and Settings\All Users\Data aplikací\TEMP:63238B95 deleted successfully.
C:\WINDOWS\system32\drivers\ibgeg.sys moved successfully.
C:\WINDOWS\system32\drivers\ncikh.sys moved successfully.
C:\WINDOWS\system32\drivers\ncmtro.sys moved successfully.
C:\WINDOWS\system32\drivers\opsxds.sys moved successfully.
C:\Documents and Settings\jaa\Local Settings\Data aplikací\xmlie64 folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: jaa
->Temp folder emptied: 13756946 bytes
->Temporary Internet Files folder emptied: 2175838 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 37566298 bytes
->Flash cache emptied: 1920651 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 155139 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 119520 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 53.00 mb


[EMPTYFLASH]

User: All Users

User: Default User

User: jaa
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0.00 mb

Restore points cleared and new OTL Restore Point set!
Error starting restore point: System Restore is disabled.
Error closing restore point: System Restore is disabled.

OTL by OldTimer - Version 3.2.3.0 log created on 04292010_214246

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found!

Registry entries deleted on Reboot...

[Caroprd111]

Stáhněte a uložte, nejlépe na plochu http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Vypněte všechny rezidentní bezpečnostní programy - firewally, antiviry, antispywary
• Spusťte aplikaci pod účtem s oprávněním Administrátora (Správce), ihned po startu se zobrazí stránka s licenčními podmínkami, pokračujte stisknutím tlačítka "Ano"
• Dále postupujte dle pokynů, během scanu nespouštějte jiné aplikace a neklikejte do zobrazujícího se okna
• Scan by měl trvat okolo 5 - 10 minut, po dokončení Combofix zobrazí log C:\ComboFix.txt , který sem vložte.
• Během skenování může být počítač restartován.

Zítra budeme pokračovat.

[cestmir]

nenaslo to cdrom, holt nema driver zatim, zeano:)

[cestmir]

jeste bych potreboval zprovoznit aspon tu cdrom, staci obecny navod, jak tu nekde je? diky za pomoc

[Caroprd111]

Nahradíme ho přes CF.

[cestmir]

no slo mi o to, abych mohl pc normalne pouzivat, takze ten cdrom.sys nekde najdu...
zatim diky za vse, budu rad, kdyz se system procisti i od dalsich zbytecnosti

ComboFix 10-04-29.01 - jaa 29.04.2010 22:02:27.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1007.688 [GMT 2:00]
Spuštěný z: c:\documents and settings\jaa\Plocha\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\jaa\Recent\Radio StodolnĂ­.url
C:\Thumbs.db

c:\windows\system32\drivers\cdrom.sys . . . chybí !!

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-03-28 do 2010-04-29 )))))))))))))))))))))))))))))))
.

2010-04-29 19:42 . 2010-04-29 19:42 -------- d-----w- C:\_OTL
2010-04-29 16:24 . 2010-04-29 16:24 -------- d-----w- c:\program files\trend micro
2010-04-29 16:24 . 2010-04-29 16:24 -------- d-----w- C:\rsit
2010-04-28 18:02 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-28 18:02 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 18:02 . 2010-04-28 18:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-28 10:13 . 2010-04-14 16:35 162768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-04-28 10:13 . 2010-04-14 16:31 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-04-28 10:13 . 2010-04-14 16:31 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-04-28 10:13 . 2010-04-14 16:35 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-04-28 10:13 . 2010-04-14 16:31 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-04-28 10:13 . 2010-04-14 16:31 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-04-28 10:13 . 2010-04-14 16:30 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-04-28 10:12 . 2010-04-14 16:47 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-04-28 10:12 . 2010-04-14 16:47 153184 ----a-w- c:\windows\system32\aswBoot.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-28 10:12 . 2009-08-19 17:46 -------- d-----w- c:\program files\Alwil Software
2010-04-13 00:54 . 2001-10-25 12:00 69024 ----a-w- c:\windows\system32\perfc005.dat
2010-04-13 00:54 . 2001-10-25 12:00 390672 ----a-w- c:\windows\system32\perfh005.dat
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-04-06 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-04-06 114688]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-04-14 2790472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^RAMASST.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\RAMASST.lnk
backup=c:\windows\pss\RAMASST.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^jaa^Nabídka Start^Programy^Po spuštění^srvaju32.exe]
path=c:\documents and settings\jaa\Nabídka Start\Programy\Po spuštění\srvaju32.exe
backup=c:\windows\pss\srvaju32.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
2002-12-25 05:38 159744 ----a-r- c:\program files\Apoint2K\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-17 13:49 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PmProxy]
2003-02-28 10:54 40960 ------w- c:\program files\Analog Devices\SoundMAX\PmProxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-22 20:42 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Games\\Motocross Madness 2\\MCM2.EXE"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"f:\\blobby\\volley.exe"=
"c:\\QIP Infium JadrisPack\\infium.exe"=
"c:\\Program Files\\Opera\\opera.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [28.4.2010 12:13 162768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28.4.2010 12:13 19024]
S0 hinnjufw;hinnjufw;c:\windows\system32\drivers\ncmtro.sys --> c:\windows\system32\drivers\ncmtro.sys [?]
S0 ngtxv;ngtxv;c:\windows\system32\drivers\ibgeg.sys --> c:\windows\system32\drivers\ibgeg.sys [?]
S0 uyfcem;uyfcem;c:\windows\system32\drivers\opsxds.sys --> c:\windows\system32\drivers\opsxds.sys [?]
S0 xdyl;xdyl;c:\windows\system32\drivers\ncikh.sys --> c:\windows\system32\drivers\ncikh.sys [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.play.cz/listen/listen.php?sh=stodol ... &stype=MP3
uDefault_Search_URL = hxxp://www.Google.com
uSearchAssistant = hxxp://www.Google.com/
uCustomizeSearch = hxxp://www.Google.com/
TCP: {137156CD-7D39-464F-9647-67F9F9AA6D48} = 195.146.100.100,195.146.100.5
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

MSConfigStartUp-iasmapDraw - c:\documents and settings\jaa\Local Settings\Data aplikací\iasmapDraw\iasmapDraw.dll
MSConfigStartUp-Regedit32 - c:\windows\system32\regedit.exe
MSConfigStartUp-xmlie64 - c:\documents and settings\jaa\Local Settings\Data aplikací\xmlie64\xmlie64.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-29 22:06
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
Celkový čas: 2010-04-29 22:08:38
ComboFix-quarantined-files.txt 2010-04-29 20:08

Před spuštěním: 379 228 160
Po spuštění: 421 974 016

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 261681533DB93763DB4B71E5B4B3B90C

[Caroprd111]

Následující kroky proveďte přesně v pořadí jak jsou.


Stáhněte a rozbalte soubor z přílohy na disk c: (Cesta souboru bude c:\cdrom.sys , nesmí to být archív )

cdrom.zip

(34.06 KiB) Staženo 53 x

Pokud nemáte, přesuňte Combofix na plochu

• Otevřete si Poznámkový blok a zkopírujte do něj text z bílého okénka.

Kód: Vybrat vše

Driver::
hinnjufw
ngtxv
uyfcem
xdyl

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

FCopy:: 
c:\cdrom.sys | c:\windows\system32\drivers\cdrom.sys 
c:\cdrom.sys | c:\windows\system32\dllcache\cdrom.sys

• Uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
• Po uložení uchopte vámi vytvořený skript levým myšítkem a přesuňte ho nad ikonu Combofixu, kde ho upustíte:
  
  
• Po aplikaci na Vás vypadne další log,vložte ho sem

Může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

[cestmir]

jak jsem psal, potreboval jsem vcera funkcni cdromku, z fora jsem stahl podobny zip, ale soubor je mensi (48,3, ten vas ma 61.5). radeji jsem to jen presunul do tech dvou adresaru rucne, po restartu to vsak neslo, tak jsem dal system, ovladace a aktualizovat, vybral jsem rucne ze chci cdrom a pak se to nacetlo a zda se, ze cdromka funguje, nevim ale zatim, jestli pali, nebo cim se vlastne ty soubory lisi...mam je smazat a postupovat dle navodu, nebo jak? diky

[cestmir]

prikladam aktualni log:
btw nespoustel jsem to CF jako admin, to bez hesla neslo a neco to psalo...(nemam vice uzivatelu, nemuze v tom byt nejaky problem? heslo jsem nedaval. Nebo tim ze jsem tam jen jaa, tak jsem autom. admin winu? diky )...a kdyz dam spustit jako jaa, co to policko, ma se zaskrtnout kvuli bezpeci nebo ne, kvuli funcki cf?

ComboFix 10-04-29.05 - jaa 30.04.2010 12:04:31.3.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1007.700 [GMT 2:00]
Spuštěný z: c:\documents and settings\jaa\Plocha\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-03-28 do 2010-04-30 )))))))))))))))))))))))))))))))
.

2010-04-30 09:17 . 2008-04-13 17:40 62976 ----a-w- C:\cdrom.sys
2010-04-29 21:07 . 2004-08-03 20:59 49536 -c--a-w- c:\windows\system32\dllcache\cdrom.sys
2010-04-29 21:07 . 2004-08-03 20:59 49536 ----a-w- c:\windows\system32\drivers\cdrom.sys
2010-04-29 19:42 . 2010-04-29 19:42 -------- d-----w- C:\_OTL
2010-04-29 16:24 . 2010-04-29 16:24 -------- d-----w- c:\program files\trend micro
2010-04-29 16:24 . 2010-04-29 16:24 -------- d-----w- C:\rsit
2010-04-28 18:02 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-28 18:02 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 18:02 . 2010-04-29 22:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-28 10:13 . 2010-04-14 16:35 162768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-04-28 10:13 . 2010-04-14 16:31 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-04-28 10:13 . 2010-04-14 16:31 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-04-28 10:13 . 2010-04-14 16:35 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-04-28 10:13 . 2010-04-14 16:31 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-04-28 10:13 . 2010-04-14 16:31 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-04-28 10:13 . 2010-04-14 16:30 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-04-28 10:12 . 2010-04-14 16:47 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-04-28 10:12 . 2010-04-14 16:47 153184 ----a-w- c:\windows\system32\aswBoot.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-28 10:12 . 2009-08-19 17:46 -------- d-----w- c:\program files\Alwil Software
2010-04-13 00:54 . 2001-10-25 12:00 69024 ----a-w- c:\windows\system32\perfc005.dat
2010-04-13 00:54 . 2001-10-25 12:00 390672 ----a-w- c:\windows\system32\perfh005.dat
.

((((((((((((((((((((((((((((( SnapShot@2010-04-29_20.06.42 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-30 00:14 . 2010-04-30 00:14 16384 c:\windows\Temp\Perflib_Perfdata_75c.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-04-06 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-04-06 114688]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-04-14 2790472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^RAMASST.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\RAMASST.lnk
backup=c:\windows\pss\RAMASST.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
2002-12-25 05:38 159744 ----a-r- c:\program files\Apoint2K\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-17 13:49 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PmProxy]
2003-02-28 10:54 40960 ------w- c:\program files\Analog Devices\SoundMAX\PmProxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-22 20:42 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Games\\Motocross Madness 2\\MCM2.EXE"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"f:\\blobby\\volley.exe"=
"c:\\QIP Infium JadrisPack\\infium.exe"=
"c:\\Program Files\\Opera\\opera.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [28.4.2010 12:13 162768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28.4.2010 12:13 19024]
S0 hinnjufw;hinnjufw;c:\windows\system32\drivers\ncmtro.sys --> c:\windows\system32\drivers\ncmtro.sys [?]
S0 ngtxv;ngtxv;c:\windows\system32\drivers\ibgeg.sys --> c:\windows\system32\drivers\ibgeg.sys [?]
S0 uyfcem;uyfcem;c:\windows\system32\drivers\opsxds.sys --> c:\windows\system32\drivers\opsxds.sys [?]
S0 xdyl;xdyl;c:\windows\system32\drivers\ncikh.sys --> c:\windows\system32\drivers\ncikh.sys [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.play.cz/listen/listen.php?sh=stodol ... &stype=MP3
uDefault_Search_URL = hxxp://www.Google.com
uSearchAssistant = hxxp://www.Google.com/
uCustomizeSearch = hxxp://www.Google.com/
TCP: {137156CD-7D39-464F-9647-67F9F9AA6D48} = 195.146.100.100,195.146.100.5
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-30 12:09
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3000)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-04-30 12:11:05
ComboFix-quarantined-files.txt 2010-04-30 10:10
ComboFix2.txt 2010-04-29 20:58
ComboFix3.txt 2010-04-29 20:08

Před spuštěním: 346 095 616
Po spuštění: 426 131 456

- - End Of File - - 785FC0664042DEE951C934D5244014AF

[Caroprd111]

Pokud si budete ComboFix a ostatní programy spouštět jak se Vám zachce a na návod se ani nepodíváte, tak se nikam nedostaneme

ComboFix musíte spouštět na účtu administrátora, nic jiného není třeba.

Pokud nemáte, přesuňte Combofix na plochu

• Otevřete si Poznámkový blok a zkopírujte do něj text z bílého okénka.

Kód: Vybrat vše

Driver::
hinnjufw
ngtxv
uyfcem
xdyl

File::
c:\windows\system32\drivers\ncmtro.sys 
c:\windows\system32\drivers\ibgeg.sys 
c:\windows\system32\drivers\opsxds.sys 
c:\windows\system32\drivers\ncikh.sys 

• Uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
• Po uložení uchopte vámi vytvořený skript levým myšítkem a přesuňte ho nad ikonu Combofixu, kde ho upustíte:
  
  
• Po aplikaci na Vás vypadne další log,vložte ho sem

Může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

[cestmir]

psal jsem drive, jak to je:
btw nespoustel jsem to CF jako admin, to bez hesla neslo a neco to psalo...(nemam vice uzivatelu, nemuze v tom byt nejaky problem? heslo jsem nedaval. Nebo tim ze jsem tam jen jaa, tak jsem autom. admin winu? diky )...a kdyz dam spustit jako jaa, co to policko, ma se zaskrtnout kvuli bezpeci nebo ne, kvuli funcki cf?
diky za odpovedi na me otazky, skutecne bych se rad dozvedel jak to funguje a ne jen postup no...

[Caroprd111]

Nerozumím Vaší otázce. Pokud si nejste jistý, že pracujete na účtu administrátora, tak se podívejte do Start - Ovládací panely - Uživatelské účty.

[cestmir]

ve win mam jen sebe jako uzivatele, jaa...takze jsem timpadem i admin, ne??
kdyz dam sp. jako admin pise to : prihl. chyba.omez. uziv. uctu.duvodem muze byt, ze neni povoleno prazdne heslo, omez casu, nebo zasadou vynucene omezeni.

[Caroprd111]

Mělo by to tak být.