nestandardní chování připojení O2 internet

[ondrej.novak.cz]

Dobrý den,
mám problém s připojením přes O2 internet, který se mi ani po opak. konzultacích s operátorem nepodařilo vyřešit.
Byl by někdo schopen toto chování vysvětlit? Díky !!!
Mimochodem nerozumím ani tomu, jaktože někdy na zač. trasování win oznámí jméno cílového serveru, jindy ne.

tady je záznam z trasování 3/04 2010:

3.4.2010
takhle to vypadalo pokud připojení blblo:

Microsoft Windows XP [Verze 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\pc1>tracert 77.75.72.3

Výpis trasy k 77.75.72.3 s nejvýše 30 směrováními

1 1 ms 1 ms 1 ms 10.0.0.138
2 * * * Vypršel časový limit žádosti.
3 * * * Vypršel časový limit žádosti.
4 * * * Vypršel časový limit žádosti.
5 * * * Vypršel časový limit žádosti.
6 * * * Vypršel časový limit žádosti.
7 * * * Vypršel časový limit žádosti.
8 * * * Vypršel časový limit žádosti.
9 * * * Vypršel časový limit žádosti.
10 * * * Vypršel časový limit žádosti.
11 * 43 ms 43 ms www.seznam.cz [77.75.72.3]

Trasování bylo dokončeno.

C:\Documents and Settings\pc1>

takhle pokud bylo v pořádku:

Microsoft Windows XP [Verze 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\pc1>tracert 77.75.72.3

Výpis trasy k www.seznam.cz [77.75.72.3]
s nejvýše 30 směrováními:

1 1 ms 1 ms 1 ms 10.0.0.138
2 * 8 ms 8 ms 194.228.196.8
3 12 ms 12 ms * 88.103.203.33
4 13 ms 12 ms 12 ms 198.18.65.65
5 14 ms 13 ms 14 ms 198.18.10.37
6 13 ms 12 ms 13 ms 194.228.190.158
7 13 ms 12 ms 12 ms 194.228.190.157
8 13 ms 13 ms 14 ms nix.seznam.cz [194.50.100.195]
6 15 ms 13 ms 13 ms www.seznam.cz [77.75.72.3]


takhle to vypadalo v květnu po zásahu operátora:

C:\Documents and Settings\pc1>tracert 77.75.72.3

Výpis trasy k www.seznam.cz [77.75.72.3]
s nejvýše 30 směrováními:

1 1 ms < 1 ms 1 ms 10.0.0.138
2 39 ms 39 ms 39 ms 88.103.200.10
3 44 ms 43 ms 44 ms 88.103.203.33
4 44 ms 44 ms 43 ms 194.228.190.161
5 43 ms 44 ms 45 ms nix.seznam.cz [194.50.100.195]
6 45 ms 44 ms 43 ms www.seznam.cz [77.75.72.3]

Trasování bylo dokončeno.

a takhle to vypadá, když to blbne:

C:\Documents and Settings\pc1>tracert 77.75.72.3

Výpis trasy k www.seznam.cz [77.75.72.3]
s nejvýše 30 směrováními:

1 452 ms 498 ms 497 ms 10.0.0.138
2 * * * Vypršel časový limit žádosti.
3 * * * Vypršel časový limit žádosti.
4 * * * Vypršel časový limit žádosti.
5 * * * Vypršel časový limit žádosti.
6 46 ms 44 ms 44 ms www.seznam.cz [77.75.72.3]

Trasování bylo dokončeno.

zabezpečení: NOD32, ZoneAlarm, dříve + SpywareTerminator
diagnostika pomocí Combofix - negativní
Jo, abych nezapoměl, občas když se snažím v průběhu používání internetu připojit k různým serverům: centrum.cz, seznam.cz atd., tak se v prohlížeči objeví okno oznam., že stránka na kterou se snažím připojit požaduje informace z mého intranetu.

[motji]

Dobrý večer
Můžu Vás poprosit o ten log z combofix, co jste dělal?
A vložte log ze rsitu, viz můj podpis

[ondrej.novak.cz]

Od posledka se moje situace poněkud změnila:
po nainstalování posledních bezpečnostních aktualizací (červen) a silverlight u win XP už OS nenaběhl, takže teď disk s původním OS používám příležitostně jako sekundární v jiném PC (checkdisk nenašel na disku žádnou chybu, nouzový režim nenajede a teď už se resetuje po najetí biosu)
Na PC, které nyní používám mně nefunguje trasování při defautně nastaveném firewallu (PrivateFirewall 7.0.) a jiný buďto nejde naistalovat (používám pro jistotu neaktualizovaný OS), nebo se po naistalování nedokáže spustit, takže opakování či neopakování potíží nejsem schopen posoudit.

Jen pro zajímavost níže uvádím logy z combofixu a rsitu:

Combofix:

ComboFix 10-05-26.03 - pc1 27.05.2010 22:08:08.1.1 - x86
Spuštěný z: c:\documents and settings\pc1\Plocha\cd.exe
AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LOG28.tmp

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-04-27 do 2010-05-27 )))))))))))))))))))))))))))))))
.

2010-05-18 14:57 . 2010-05-18 14:58 -------- d-----w- c:\program files\ScreenVCR
2010-05-12 19:30 . 2010-05-12 19:31 -------- d-----w- C:\uložená plocha
2010-05-09 18:53 . 2010-05-09 19:10 -------- d-----w- C:\NLP

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-27 12:39 . 2010-05-27 12:39 90567 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_05_27_14_32_54_small.dmp.zip
2010-05-27 12:39 . 2010-05-27 12:39 103804 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_05_27_14_28_42_small.dmp.zip
2010-05-27 12:28 . 2010-05-27 12:31 74240 ----a-w- c:\windows\Internet Logs\xDB83.tmp
2010-05-27 12:28 . 2010-05-27 12:31 1924096 ----a-w- c:\windows\Internet Logs\xDB84.tmp
2010-05-27 12:28 . 2010-01-05 19:03 3528748 ----a-w- c:\windows\Internet Logs\tvDebug.Zip
2010-05-26 19:54 . 2010-05-27 05:36 1921024 ----a-w- c:\windows\Internet Logs\xDB82.tmp
2010-05-26 19:54 . 2010-05-27 05:36 60928 ----a-w- c:\windows\Internet Logs\xDB81.tmp
2010-05-25 16:28 . 2010-05-25 16:38 417792 ----a-w- c:\windows\Internet Logs\xDB7F.tmp
2010-05-25 16:28 . 2010-05-25 16:35 1920000 ----a-w- c:\windows\Internet Logs\xDB7E.tmp
2010-05-25 16:18 . 2010-05-25 16:38 1920000 ----a-w- c:\windows\Internet Logs\xDB80.tmp
2010-05-23 15:29 . 2010-05-24 14:16 40448 ----a-w- c:\windows\Internet Logs\xDB7C.tmp
2010-05-23 15:29 . 2010-05-24 14:16 1918464 ----a-w- c:\windows\Internet Logs\xDB7D.tmp
2010-05-23 07:10 . 2010-05-23 09:14 26624 ----a-w- c:\windows\Internet Logs\xDB7B.tmp
2010-05-22 22:19 . 2010-05-23 06:26 8704 ----a-w- c:\windows\Internet Logs\xDB7A.tmp
2010-05-22 19:34 . 2010-05-22 22:19 103936 ----a-w- c:\windows\Internet Logs\xDB78.tmp
2010-05-22 19:34 . 2010-05-22 22:19 1916928 ----a-w- c:\windows\Internet Logs\xDB79.tmp
2010-05-22 08:02 . 2009-12-19 18:25 -------- d-----w- c:\program files\Spyware Terminator
2010-05-21 17:34 . 2010-05-21 20:29 66048 ----a-w- c:\windows\Internet Logs\xDB76.tmp
2010-05-21 17:34 . 2010-05-21 20:29 1912320 ----a-w- c:\windows\Internet Logs\xDB77.tmp
2010-05-19 18:04 . 2010-05-20 17:19 1908736 ----a-w- c:\windows\Internet Logs\xDB75.tmp
2010-05-19 18:04 . 2010-05-20 17:19 238592 ----a-w- c:\windows\Internet Logs\xDB74.tmp
2010-05-17 12:56 . 2010-05-17 12:59 1899520 ----a-w- c:\windows\Internet Logs\xDB73.tmp
2010-05-16 15:55 . 2010-03-14 14:54 -------- d-----w- c:\program files\Fritz a Šachlík
2010-05-15 05:41 . 2010-05-15 05:41 12341073 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_05_14_20_07_51_full.dmp.zip
2010-05-14 16:50 . 2010-05-15 05:36 1891328 ----a-w- c:\windows\Internet Logs\xDB72.tmp
2010-05-14 16:50 . 2010-05-15 05:36 98816 ----a-w- c:\windows\Internet Logs\xDB71.tmp
2010-05-11 19:24 . 2010-05-12 14:05 1888256 ----a-w- c:\windows\Internet Logs\xDB70.tmp
2010-05-11 19:24 . 2010-05-12 14:05 289792 ----a-w- c:\windows\Internet Logs\xDB6F.tmp
2010-05-10 14:55 . 2010-05-10 18:04 8704 ----a-w- c:\windows\Internet Logs\xDB6E.tmp
2010-05-10 14:48 . 2010-05-10 14:55 1885184 ----a-w- c:\windows\Internet Logs\xDB6D.tmp
2010-05-10 14:48 . 2010-05-10 14:55 8192 ----a-w- c:\windows\Internet Logs\xDB6C.tmp
2010-05-10 14:45 . 2010-05-10 14:48 8704 ----a-w- c:\windows\Internet Logs\xDB6B.tmp
2010-05-10 14:25 . 2010-05-10 14:45 8192 ----a-w- c:\windows\Internet Logs\xDB69.tmp
2010-05-09 19:32 . 2010-05-10 14:45 1884672 ----a-w- c:\windows\Internet Logs\xDB6A.tmp
2010-05-09 14:07 . 2010-05-10 14:25 8704 ----a-w- c:\windows\Internet Logs\xDB68.tmp
2010-05-09 12:41 . 2010-05-09 14:07 84992 ----a-w- c:\windows\Internet Logs\xDB66.tmp
2010-05-09 12:41 . 2010-05-09 14:07 1884160 ----a-w- c:\windows\Internet Logs\xDB67.tmp
2010-05-08 16:52 . 2010-05-08 16:57 118272 ----a-w- c:\windows\Internet Logs\xDB64.tmp
2010-05-08 16:52 . 2010-05-08 16:57 1882624 ----a-w- c:\windows\Internet Logs\xDB65.tmp
2010-05-07 19:05 . 2010-05-07 19:05 102193 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_05_07_20_34_34_small.dmp.zip
2010-05-07 19:00 . 2010-05-08 00:17 8704 ----a-w- c:\windows\Internet Logs\xDB63.tmp
2010-05-07 18:46 . 2010-05-07 19:00 142336 ----a-w- c:\windows\Internet Logs\xDB61.tmp
2010-05-07 18:46 . 2010-05-07 19:00 1880064 ----a-w- c:\windows\Internet Logs\xDB62.tmp
2010-05-07 18:34 . 2010-05-07 18:42 1879552 ----a-w- c:\windows\Internet Logs\xDB60.tmp
2010-05-07 18:34 . 2010-05-07 18:42 119296 ----a-w- c:\windows\Internet Logs\xDB5F.tmp
2010-05-04 19:48 . 2010-05-05 13:14 98816 ----a-w- c:\windows\Internet Logs\xDB5D.tmp
2010-05-04 19:48 . 2010-05-05 13:14 1875456 ----a-w- c:\windows\Internet Logs\xDB5E.tmp
2010-05-03 19:29 . 2010-05-04 13:26 1873408 ----a-w- c:\windows\Internet Logs\xDB5C.tmp
2010-05-03 14:34 . 2010-05-03 14:36 1873408 ----a-w- c:\windows\Internet Logs\xDB5B.tmp
2010-05-03 14:34 . 2010-05-03 14:36 224768 ----a-w- c:\windows\Internet Logs\xDB5A.tmp
2010-04-30 18:33 . 2010-04-30 21:21 1869312 ----a-w- c:\windows\Internet Logs\xDB59.tmp
2010-04-30 16:37 . 2010-04-30 21:21 133120 ----a-w- c:\windows\Internet Logs\xDB58.tmp
2010-04-29 12:54 . 2010-04-29 14:04 1867776 ----a-w- c:\windows\Internet Logs\xDB57.tmp
2010-04-29 12:54 . 2010-04-29 14:04 68096 ----a-w- c:\windows\Internet Logs\xDB56.tmp
2010-04-28 19:56 . 2010-04-29 06:41 1867264 ----a-w- c:\windows\Internet Logs\xDB55.tmp
2010-04-28 19:56 . 2010-04-29 06:41 42496 ----a-w- c:\windows\Internet Logs\xDB54.tmp
2010-04-28 15:58 . 2009-05-31 08:23 -------- d-----w- c:\program files\Opera
2010-04-28 14:36 . 2010-04-28 14:36 60979 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_04_28_16_26_43_small.dmp.zip
2010-04-28 13:45 . 2010-04-28 14:31 1865216 ----a-w- c:\windows\Internet Logs\xDB53.tmp
2010-04-28 13:45 . 2010-04-28 14:31 117760 ----a-w- c:\windows\Internet Logs\xDB52.tmp
2010-04-28 13:45 . 2010-04-28 14:26 117760 ----a-w- c:\windows\Internet Logs\xDB51.tmp
2010-04-25 19:12 . 2010-04-26 13:07 120320 ----a-w- c:\windows\Internet Logs\xDB4F.tmp
2010-04-25 19:12 . 2010-04-26 13:07 1863680 ----a-w- c:\windows\Internet Logs\xDB50.tmp
2010-04-25 12:06 . 2010-04-25 12:06 -------- d-----w- c:\program files\Eraser
2010-04-24 10:55 . 2010-04-24 11:11 43008 ----a-w- c:\windows\Internet Logs\xDB4D.tmp
2010-04-24 10:55 . 2010-04-24 11:11 1860096 ----a-w- c:\windows\Internet Logs\xDB4E.tmp
2010-04-23 21:17 . 2010-04-24 04:42 98816 ----a-w- c:\windows\Internet Logs\xDB4B.tmp
2010-04-23 21:17 . 2010-04-24 04:42 1859584 ----a-w- c:\windows\Internet Logs\xDB4C.tmp
2010-04-21 18:28 . 2010-04-21 18:49 106496 ----a-w- c:\windows\Internet Logs\xDB49.tmp
2010-04-21 18:28 . 2010-04-21 18:49 1857536 ----a-w- c:\windows\Internet Logs\xDB4A.tmp
2010-04-20 19:54 . 2010-04-21 06:39 8704 ----a-w- c:\windows\Internet Logs\xDB48.tmp
2010-04-20 19:52 . 2010-04-20 19:54 8192 ----a-w- c:\windows\Internet Logs\xDB46.tmp
2010-04-20 19:24 . 2010-04-20 19:54 1854976 ----a-w- c:\windows\Internet Logs\xDB47.tmp
2010-04-20 19:24 . 2010-04-20 19:52 1854976 ----a-w- c:\windows\Internet Logs\xDB45.tmp
2010-04-20 19:24 . 2010-04-20 19:52 61440 ----a-w- c:\windows\Internet Logs\xDB44.tmp
2010-04-19 19:42 . 2010-04-20 14:00 1853440 ----a-w- c:\windows\Internet Logs\xDB43.tmp
2010-04-19 19:42 . 2010-04-20 14:00 49152 ----a-w- c:\windows\Internet Logs\xDB42.tmp
2010-04-19 13:29 . 2010-04-19 13:39 8704 ----a-w- c:\windows\Internet Logs\xDB40.tmp
2010-04-18 19:45 . 2010-04-19 13:28 102912 ----a-w- c:\windows\Internet Logs\xDB3E.tmp
2010-04-18 19:45 . 2010-04-19 13:39 1852928 ----a-w- c:\windows\Internet Logs\xDB41.tmp
2010-04-18 19:45 . 2010-04-19 13:29 1852928 ----a-w- c:\windows\Internet Logs\xDB3F.tmp
2010-04-17 17:14 . 2010-04-18 07:14 8704 ----a-w- c:\windows\Internet Logs\xDB3D.tmp
2010-04-17 16:55 . 2010-04-17 17:14 8192 ----a-w- c:\windows\Internet Logs\xDB3B.tmp
2010-04-17 16:47 . 2010-04-17 17:14 1850368 ----a-w- c:\windows\Internet Logs\xDB3C.tmp
2010-04-17 12:51 . 2010-04-17 16:55 8704 ----a-w- c:\windows\Internet Logs\xDB3A.tmp
2010-04-17 09:52 . 2010-04-17 12:51 1849856 ----a-w- c:\windows\Internet Logs\xDB39.tmp
2010-04-17 09:45 . 2010-04-17 12:51 1610240 ----a-w- c:\windows\Internet Logs\xDB38.tmp
2010-04-09 19:59 . 2010-04-09 19:59 110298 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_04_09_18_23_20_small.dmp.zip
2010-04-09 19:59 . 2010-04-09 19:59 114963 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_04_09_18_20_34_small.dmp.zip
2010-04-09 19:54 . 2010-04-10 05:45 8704 ----a-w- c:\windows\Internet Logs\xDB37.tmp
2010-04-09 16:23 . 2010-04-09 19:54 347648 ----a-w- c:\windows\Internet Logs\xDB35.tmp
2010-04-09 16:23 . 2010-04-09 19:54 1835008 ----a-w- c:\windows\Internet Logs\xDB36.tmp
2010-04-09 15:30 . 2010-04-09 15:32 1833472 ----a-w- c:\windows\Internet Logs\xDB34.tmp
2010-04-06 19:26 . 2010-04-06 19:38 1829888 ----a-w- c:\windows\Internet Logs\xDB33.tmp
2010-04-06 18:02 . 2010-04-06 19:38 82432 ----a-w- c:\windows\Internet Logs\xDB32.tmp
2010-04-06 06:12 . 2010-04-06 06:12 1828864 ----a-w- c:\windows\Internet Logs\xDB122.tmp
2010-04-06 06:12 . 2010-04-06 06:12 395264 ----a-w- c:\windows\Internet Logs\xDB121.tmp
2010-04-05 14:05 . 2010-04-05 14:05 124358 ----a-w- c:\windows\Internet Logs\vsmon_2nd_2010_04_05_16_00_12_small.dmp.zip
2010-04-05 05:47 . 2010-04-05 13:46 2792448 ----a-w- c:\windows\Internet Logs\xDB117.tmp
2010-04-04 09:34 . 2010-04-04 10:45 1824768 ----a-w- c:\windows\Internet Logs\xDB31.tmp
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\opera\program\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2008-04-14 . 8D7D0C1F89134876652C20243DB56DF2 . 192512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\schedsvc.dll
[-] 2008-04-14 . 8D7D0C1F89134876652C20243DB56DF2 . 192512 . . [5.1.2600.5512] . . c:\windows\system32\schedsvc.dll
[7] 2004-08-17 . 29AC93307C6182DBE336BCA314947F28 . 190976 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\schedsvc.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-07-31 49152]
"SpywareTerminatorUpdate"="c:\program files\Spyware Terminator\SpywareTerminatorUpdate.exe" [2010-05-22 3037696]
"NVIEW"="nview.dll" [2003-07-31 831557]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-07-31 4616192]
"nwiz"="nwiz.exe" [2003-07-31 323584]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-11 149280]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-11-22 1037192]
"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2009-10-14 730480]
"Eraser"="c:\progra~1\Eraser\Eraser.exe" [2010-04-10 979344]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-03-31 2145000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-07-31 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:DCOM(135)

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [31.3.2010 8:22 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [31.3.2010 8:23 95872]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [19.12.2009 20:26 142592]
R2 713xTVCard;SAA7130 TV Card;c:\windows\system32\drivers\SAA713x.sys [15.3.2005 13:00 277504]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [31.3.2010 8:23 810120]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [14.10.2009 15:30 25208]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\ISWSVC.exe [14.10.2009 15:30 476528]
R2 nvTUNEP;nVidia WDM TVTuner;c:\windows\system32\drivers\NVTUNEP.SYS [30.5.2009 21:34 20480]
R2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\system32\drivers\NVTVSND.SYS [30.5.2009 21:34 20224]
S3 602SQL 8 FastCGI Client;602SQL 8 FastCGI Client;c:\program files\webgencz\602FSVC8.EXE --> c:\program files\webgencz\602FSVC8.EXE [?]
S3 FlyPCI;FlyPCI;c:\windows\system32\drivers\FlyPCI.sys [6.1.2010 21:22 4134]
S3 Revoflt;Revoflt;c:\windows\system32\drivers\revoflt.sys [5.2.2010 14:28 27064]
.
.
------- Doplňkový sken -------
.
IE: Crawler Search - tbr:iemenu
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\pc1\Data aplikací\Mozilla\Firefox\Profiles\ea7sz6at.default\
FF - component: c:\documents and settings\pc1\Data aplikací\Mozilla\Firefox\Profiles\ea7sz6at.default\extensions\firedownload@mozilla.org\components\firedownload.dll
FF - component: c:\program files\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerMozillaPlugin.dll
FF - plugin: c:\program files\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\windows\system32\C2MP\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-27 22:19
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'lsass.exe'(776)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
Celkový čas: 2010-05-27 22:24:52
ComboFix-quarantined-files.txt 2010-05-27 20:24

Před spuštěním: 236 224 512
Po spuštění: 716 591 104

- - End Of File - - DF1DE79CAE1146BAEBC3B9A479524FE1

Rsit:

Logfile of random's system information tool 1.07 (written by random/random)
Run by pc1 at 2010-06-10 21:31:28
Systém Microsoft Windows XP Professional Service Pack 3
System drive C: has 576 MB (2%) free of 38 GB
Total RAM: 383 MB (21% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:32:01, on 10.6.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Eraser\Eraser.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\pc1\Plocha\dč.exe
C:\Program Files\trend micro\pc1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: VIPTToolbarManager Class - {1A2641AE-2C42-4C51-A05F-8ECEC3FDC94D} - C:\Program Files\Visual IP Trace 2009\VisualIPTraceIE.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: Easy Gif Animator Toolbar Helper - {96372AB6-15EB-4316-B497-71C741BC548C} - C:\Program Files\Easy Gif Animator Extension\v3.3.0.3\EasyGifAnimator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Crawler lišta - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Visual IP Trace - {E70C26AE-DFF1-40A8-8D37-19180F56F0AA} - C:\Program Files\Visual IP Trace 2009\VisualIPTraceIE.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O3 - Toolbar: Easy Gif Animator Toolbar - {35065594-9169-4A34-B167-FC4865038E53} - C:\Program Files\Easy Gif Animator Extension\v3.3.0.3\EasyGifAnimator_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [Eraser] "C:\PROGRA~1\Eraser\Eraser.exe" --atRestart
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: 602SQL 8 FastCGI Client - Unknown owner - c:\Program Files\webgencz\602FSVC8.EXE (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6296 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A2641AE-2C42-4C51-A05F-8ECEC3FDC94D}]
VIPTToolbarManager Class - C:\Program Files\Visual IP Trace 2009\VisualIPTraceIE.dll [2005-04-25 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
C:\PROGRA~1\Crawler\Toolbar\ctbr.dll [2009-05-27 1215488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}]
ZoneAlarm Toolbar Registrar - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2009-10-14 578928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96372AB6-15EB-4316-B497-71C741BC548C}]
Easy Gif Animator Toolbar Helper - C:\Program Files\Easy Gif Animator Extension\v3.3.0.3\EasyGifAnimator_Toolbar.dll [2010-02-04 815104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-08-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-11 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{4B3803EA-5230-4DC3-A7FC-33638F3D3542} - &Crawler lišta - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll [2009-05-27 1215488]
{E70C26AE-DFF1-40A8-8D37-19180F56F0AA} - Visual IP Trace - C:\Program Files\Visual IP Trace 2009\VisualIPTraceIE.dll [2005-04-25 32768]
{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - ZoneAlarm Toolbar - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2009-10-14 578928]
{35065594-9169-4A34-B167-FC4865038E53} - Easy Gif Animator Toolbar - C:\Program Files\Easy Gif Animator Extension\v3.3.0.3\EasyGifAnimator_Toolbar.dll [2010-02-04 815104]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2003-07-31 4616192]
"nwiz"=nwiz.exe /install []
"Adobe Photo Downloader"=C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe [2007-03-09 63712]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-08-11 149280]
"ZoneAlarm Client"=C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe [2009-11-22 1037192]
"ISW"=C:\Program Files\CheckPoint\ZAForceField\ForceField.exe [2009-10-14 730480]
"Eraser"=C:\PROGRA~1\Eraser\Eraser.exe [2010-04-10 979344]
"egui"=C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe [2010-03-29 2145000]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"=C:\WINDOWS\System32\NVMCTRAY.DLL [2003-07-31 49152]
"NVIEW"=nview.dll,nViewLoadHook []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PFNet]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Opera\opera.exe"="C:\Program Files\Opera\opera.exe:*:Enabled:Opera Internet Browser"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2010-06-10 21:31:30 ----D---- C:\Program Files\trend micro
2010-06-10 21:31:28 ----D---- C:\rsit
2010-06-06 19:07:34 ----D---- C:\Program Files\Ontrack
2010-06-06 12:37:15 ----A---- C:\WINDOWS\ntbtlog.txt
2010-06-05 21:42:02 ----D---- C:\Program Files\CrystalDiskInfo
2010-06-02 18:09:42 ----D---- C:\Documents and Settings\All Users\Data aplikací\ESET
2010-05-30 20:13:14 ----D---- C:\Documents and Settings\pc1\Data aplikací\gtk-2.0
2010-05-30 19:58:17 ----D---- C:\Program Files\GIMP-2.0
2010-05-28 17:52:36 ----SHD---- C:\RECYCLER
2010-05-27 22:24:54 ----A---- C:\ComboFix.txt
2010-05-27 22:05:11 ----A---- C:\WINDOWS\zip.exe
2010-05-27 22:05:11 ----A---- C:\WINDOWS\SWXCACLS.exe
2010-05-27 22:05:11 ----A---- C:\WINDOWS\SWSC.exe
2010-05-27 22:05:11 ----A---- C:\WINDOWS\SWREG.exe
2010-05-27 22:05:11 ----A---- C:\WINDOWS\sed.exe
2010-05-27 22:05:11 ----A---- C:\WINDOWS\PEV.exe
2010-05-27 22:05:11 ----A---- C:\WINDOWS\NIRCMD.exe
2010-05-27 22:05:11 ----A---- C:\WINDOWS\MBR.exe
2010-05-27 22:05:11 ----A---- C:\WINDOWS\grep.exe
2010-05-27 22:04:56 ----D---- C:\WINDOWS\ERDNT
2010-05-27 18:06:20 ----D---- C:\Qoobox
2010-05-18 19:11:07 ----D---- C:\Program Files\Mozilla Firefox
2010-05-18 16:57:13 ----D---- C:\Program Files\ScreenVCR
2010-05-16 14:11:37 ----HDC---- C:\WINDOWS\$NtUninstallKB978542$
2010-05-12 21:30:24 ----D---- C:\uložená plocha

======List of files/folders modified in the last 1 months======

2010-06-10 21:31:55 ----D---- C:\WINDOWS\Prefetch
2010-06-10 21:31:46 ----D---- C:\WINDOWS\Temp
2010-06-10 21:31:30 ----RD---- C:\Program Files
2010-06-10 21:24:18 ----D---- C:\WINDOWS\Internet Logs
2010-06-10 19:39:46 ----D---- C:\WINDOWS\system32\CatRoot2
2010-06-10 15:13:36 ----D---- C:\WINDOWS
2010-06-10 13:43:19 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-06-09 21:07:00 ----D---- C:\Documents and Settings\pc1\Data aplikací\Macromedia
2010-06-08 16:32:39 ----D---- C:\WINDOWS\system32
2010-06-08 14:47:12 ----SHD---- C:\WINDOWS\Installer
2010-06-06 19:08:15 ----HD---- C:\Program Files\InstallShield Installation Information
2010-06-06 19:08:08 ----D---- C:\Config.Msi
2010-06-06 19:03:08 ----D---- C:\Documents and Settings\pc1\Data aplikací\vlc
2010-06-06 12:52:17 ----D---- C:\WINDOWS\system32\config
2010-06-06 12:51:31 ----D---- C:\WINDOWS\system32\wbem
2010-06-06 12:50:43 ----D---- C:\Program Files\Microsoft Silverlight
2010-06-06 09:36:50 ----SD---- C:\Documents and Settings\All Users\Data aplikací\Microsoft
2010-06-02 18:11:43 ----HD---- C:\WINDOWS\inf
2010-06-02 18:11:43 ----D---- C:\WINDOWS\system32\drivers
2010-06-02 18:09:43 ----D---- C:\Program Files\ESET
2010-05-27 22:20:13 ----A---- C:\WINDOWS\system.ini
2010-05-27 22:14:15 ----D---- C:\WINDOWS\AppPatch
2010-05-27 22:14:11 ----D---- C:\Program Files\Common Files
2010-05-25 20:23:26 ----A---- C:\WINDOWS\win.ini
2010-05-23 14:53:27 ----D---- C:\WINDOWS\Minidump
2010-05-22 10:12:39 ----D---- C:\Documents and Settings\pc1\Data aplikací\DivX
2010-05-18 19:02:36 ----D---- C:\WINDOWS\Debug
2010-05-16 17:55:09 ----D---- C:\Program Files\Fritz a Šachlík
2010-05-16 14:11:44 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-05-16 14:11:43 ----D---- C:\Program Files\Outlook Express
2010-05-16 14:07:53 ----HD---- C:\WINDOWS\$hf_mig$
2010-05-12 18:21:33 ----D---- C:\Documents and Settings
2010-05-11 18:32:53 ----D---- C:\WINDOWS\Help
2010-05-11 18:27:08 ----SD---- C:\Documents and Settings\pc1\Data aplikací\Microsoft

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;Ovladač procesoru AMD K7; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41600]
R1 ehdrv;ehdrv; C:\WINDOWS\system32\DRIVERS\ehdrv.sys [2010-03-29 114984]
R1 epfwtdir;epfwtdir; C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2010-03-29 95872]
R1 prodrv06;StarForce Protection Environment Driver v6; C:\WINDOWS\System32\drivers\prodrv06.sys [2004-08-09 53920]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2009-11-22 486280]
R2 713xTVCard;SAA7130 TV Card; C:\WINDOWS\system32\DRIVERS\SAA713x.sys [2005-03-15 277504]
R2 eamon;eamon; C:\WINDOWS\system32\DRIVERS\eamon.sys [2010-03-29 140216]
R2 ISWKL;ZoneAlarm Toolbar ISWKL; \??\C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys []
R2 nvcap;nVidia WDM Video Capture (universal); C:\WINDOWS\System32\DRIVERS\nvcap.sys [2003-07-31 120780]
R2 nvTUNEP;nVidia WDM TVTuner; C:\WINDOWS\System32\DRIVERS\nvtunep.sys [2003-07-31 20480]
R2 nvtvSND;nVidia WDM TVAudio Crossbar; C:\WINDOWS\System32\DRIVERS\nvtvsnd.sys [2003-07-31 20224]
R2 NVXBAR;nVidia WDM A/V Crossbar; C:\WINDOWS\System32\DRIVERS\NVxbar.sys [2003-07-31 13070]
R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2002-09-30 417999]
R3 Dot4;Ovladač MS IEEE-1284.4; C:\WINDOWS\System32\DRIVERS\Dot4.sys [2008-04-13 206976]
R3 Dot4Print;Ovladač třídy tiskárny standardu IEEE-1284.4; C:\WINDOWS\System32\DRIVERS\Dot4Prt.sys [2001-08-17 12928]
R3 Dot4Scan;Ovladač třídy skeneru standardu IEEE-1284.4; C:\WINDOWS\System32\DRIVERS\Dot4Scan.sys [2001-08-17 8704]
R3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2003-07-31 1265130]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 usbehci;Ovladač miniportu rozšířeného radiče hostitele Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Rozbočovač umožnující USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Ovladač Microsoft univerzálního hostitelského řadiče USB od společnosti Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 catchme;catchme; \??\C:\DOCUME~1\pc1\LOCALS~1\Temp\catchme.sys []
S3 CCDECODE;Dekodér Closed Caption; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 FlyPCI;FlyPCI; \??\C:\WINDOWS\system32\drivers\FlyPCI.sys []
S3 HidUsb;Ovladač třídy standardu HID; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV/Video Connection; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 Revoflt;Revoflt; C:\WINDOWS\system32\DRIVERS\revoflt.sys [2009-12-30 27064]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbscan;Ovladač skeneru USB; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 WSTCODEC;Dálnopisný kodek světového standardu; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 ekrn;ESET Service; C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe [2010-03-29 810120]
R2 IswSvc;ZoneAlarm Toolbar IswSvc; C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe [2009-10-14 476528]
R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-08-11 153376]
R2 NVSvc;NVIDIA Driver Helper Service; C:\WINDOWS\System32\nvsvc32.exe [2003-07-31 69632]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2009-11-22 2384240]
S3 602SQL 8 FastCGI Client;602SQL 8 FastCGI Client; c:\Program Files\webgencz\602FSVC8.EXE []
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 EhttpSrv;ESET HTTP Server; C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe [2010-03-29 33560]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------


Přeji příjemný a ničím nerušený den

[motji]

Dobrý večer
To je log z toho prvního počítače?
Můžete zkusit udělat obnovu systému?

[ondrej.novak.cz]

Ano obojí je ze stejného "původního" PC.
Obnovit systém se mi nepodařilo (nenajel ani do stavu nouze ani do pomocí jiného režimu - ladění atd.). Takže na řadě je přeinstalace systému, do čehož se mi moc nechce , ale vypadá to na jedinou cestu, nicméně ty problémy s připojením to stejně nevysvěluje.

[motji]

Máte inst. cd? Z konzoli pro zotavení na instalačním cd lze také udělat obnovu systému

[ondrej.novak.cz]

Inst. cd mám,
můžu to zkusit, ale kdysi jsem to provedl a zkončilo to zformátováním disku, takže předtím musím vymyslet zazálohování.

[motji]

Dostanete se na disk a vytáhnete data?
Pokud ne, můžeme zkusit nějaké live cd

[ondrej.novak.cz]

Dobrý den,
v posledních době jsem řešil zálohování dat z původního PC, což se naštěstí zadařilo, ačkoli se nezkopírovalo 5 souborů, k nimž mi byl odepřen přístup, konkrétně šlo o:
1.
Documents and settings\All users\Data aplikací\Microsoft\Dr Watson user.dmp
2.
Widows\PC health\ErrorRep\UserDumps\smc.exe.20090531-125911-00.hdmp
3.
Widows\PC health\ErrorRep\UserDumps\smc.exe.20090531-135817-00.hdmp
4.
Widows\PC health\ErrorRep\UserDumps\smc.exe.20090531-45129-00.hdmp
5.
Widows\PC health\ErrorRep\UserDumps\smc.exe.20090531-150621-00.hdmp

No a taky jsem zjistil, že na současně používaném PC nemám administrátorská oprávnění .
Kvůli tomu nemohu nainstalovat Silverlight (jiné programy si nestěžovali).
Tak jsem celý disk opět projel NOD32 a nic Combofix smazal a opravil gmgr.dll, ale dle Silverlightu práva stejně nemám.
Teď alespoň chápu, jak je možné, že při najíždění PC jsem našel na ploše otevřené okno s přenastaveným stupněm ochrany a jak jsem zjistil firewall se občas sám vesele přenastaví.

Přeji příjemný den a níže logy z Combofixu:

1. spuštění při zapnutém NOD32 i firewallu

ComboFix 10-06-26.01 - h 26.06.2010 21:41:53.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.383.199 [GMT 2:00]
Spuštěný z: c:\documents and settings\h\Plocha\soft\řč.exe
* Rezidentní štít AV je zapnutý


VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\h\Dokumenty\cc_20100614_144535.reg

c:\windows\system32\qmgr.dll . . . je infikován!!

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-05-26 do 2010-06-26 )))))))))))))))))))))))))))))))
.

2010-06-24 17:42 . 2010-06-24 19:20 -------- d-----w- c:\program files\FastCopy
2010-06-24 17:34 . 2010-06-24 17:34 -------- d-----w- c:\program files\TeraCopy
2010-06-22 20:39 . 2010-06-24 19:21 -------- d-----w- c:\program files\Capture-A-ScreenShot
2010-06-21 10:09 . 2010-06-21 10:09 -------- d-----w- c:\program files\Privatefirewall 7.0
2010-06-20 19:36 . 2010-06-20 21:32 -------- d-----w- c:\program files\FormatFactory
2010-06-20 19:18 . 2010-06-20 19:21 -------- d-----w- c:\program files\Mv2Player
2010-06-20 18:38 . 2010-06-20 18:38 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-06-20 18:04 . 2010-06-20 22:51 -------- d-----w- c:\program files\Free Screen Recorder
2010-06-20 18:01 . 2006-10-17 20:29 487479 ----a-w- c:\windows\system32\SkinMagic.dll
2010-06-16 19:58 . 2010-06-16 19:58 -------- d-----w- c:\program files\Foxit Software
2010-06-16 19:31 . 2001-08-17 19:47 12928 ----a-w- c:\windows\system32\drivers\Dot4Prt.sys
2010-06-16 19:30 . 2001-10-24 10:24 324608 ----a-w- c:\windows\system32\hpojwia.dll
2010-06-16 19:30 . 2001-08-17 19:47 8704 ----a-w- c:\windows\system32\drivers\Dot4scan.sys
2010-06-16 19:26 . 2001-08-17 19:47 205056 ----a-w- c:\windows\system32\drivers\Dot4.sys
2010-06-15 16:30 . 2010-06-15 16:30 -------- d-----w- c:\program files\Freeraser
2010-06-15 16:16 . 2010-06-15 16:19 -------- d-----w- c:\program files\The KMPlayer
2010-06-15 15:43 . 2010-06-15 15:43 -------- d-----w- c:\program files\InstallShield Installation Information
2010-06-15 15:42 . 2007-06-27 12:42 207488 ----a-r- c:\windows\system32\drivers\vinyl97.sys
2010-06-15 15:42 . 2002-08-28 23:32 57856 ----a-w- c:\windows\system32\drivers\drmk.sys
2010-06-15 15:42 . 2002-08-29 00:01 134272 ----a-w- c:\windows\system32\drivers\portcls.sys
2010-06-15 15:41 . 2010-06-15 15:42 -------- d-----w- c:\program files\VIA
2010-06-15 15:41 . 2007-04-11 13:35 331184 ------w- c:\windows\system32\difxapi.dll
2010-06-15 15:41 . 2010-06-15 15:41 -------- d-----w- c:\program files\Common Files\InstallShield
2010-06-15 15:39 . 2010-06-15 15:40 -------- d-----w- c:\program files\7-Zip
2010-06-15 15:34 . 2010-06-15 15:34 -------- d-----w- c:\program files\Unknown Device Identifier
2010-06-15 14:48 . 2004-08-03 12:05 186136 ----a-w- c:\windows\system32\wuaueng1.dll
2010-06-15 14:48 . 2009-08-06 17:24 327896 ----a-w- c:\windows\system32\wucltui.dll
2010-06-15 14:48 . 2009-08-06 17:24 209632 ----a-w- c:\windows\system32\wuweb.dll
2010-06-15 14:48 . 2009-08-06 17:24 35552 ----a-w- c:\windows\system32\wups.dll
2010-06-15 14:48 . 2009-08-06 17:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2010-06-15 14:48 . 2004-08-03 11:59 168216 ----a-w- c:\windows\system32\wuauclt1.exe
2010-06-15 14:41 . 2010-06-15 14:41 -------- d-----w- C:\WUTemp
2010-06-15 14:36 . 2004-08-03 11:59 185624 -c--a-w- c:\windows\system32\dllcache\iuengine.dll
2010-06-15 14:36 . 2004-08-03 11:59 185624 ----a-w- c:\windows\system32\iuengine.dll
2010-06-14 15:01 . 2010-06-14 15:02 -------- d-----w- c:\program files\Opera
2010-06-14 13:45 . 2010-06-14 13:51 147 ----a-w- C:\Delapp.bat
2010-06-14 12:15 . 2010-06-14 14:19 -------- d-----w- c:\program files\ESET
2010-06-13 20:09 . 2010-06-13 20:09 -------- d-----w- c:\program files\CCleaner

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-26 19:53 . 2001-10-25 12:00 43500 ----a-w- c:\windows\system32\perfc005.dat
2010-06-26 19:53 . 2001-10-25 12:00 304474 ----a-w- c:\windows\system32\perfh005.dat
2010-06-14 13:50 . 2009-11-29 10:57 -------- d-----w- c:\program files\Chromium BSU
2010-06-14 13:50 . 2009-04-13 14:12 -------- d-----w- c:\program files\AMI1.0
2010-06-14 13:47 . 2009-03-25 15:56 -------- d-----w- c:\program files\Troll demo
2010-06-14 13:45 . 2009-12-21 08:22 -------- d-----w- c:\program files\Astral Entertainment
2010-06-14 13:44 . 2009-03-16 13:00 -------- d-----w- c:\program files\Boink
2010-06-14 13:44 . 2009-04-16 14:52 -------- d-----w- c:\program files\Bombič
2010-06-14 13:44 . 2009-10-31 07:00 -------- d-----w- c:\program files\Blade
2010-06-14 13:44 . 2009-04-20 14:34 -------- d-----w- c:\program files\Baroque_Shooting_Timeattack
2010-04-19 13:23 . 2010-04-19 13:23 117584 ----a-w- c:\windows\system32\drivers\pwipf6.sys
2010-03-31 06:23 . 2010-03-31 06:23 95872 ----a-w- c:\windows\system32\drivers\epfwtdir.sys
2010-03-31 06:22 . 2010-03-31 06:22 114984 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2010-03-31 06:17 . 2010-03-31 06:17 140216 ----a-w- c:\windows\system32\drivers\eamon.sys
.

------- Sigcheck -------



[-] 2004-07-09 03:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . c:\windows\system32\d3d9.dll

c:\windows\System32\wscntfy.exe ... chybí !!
c:\windows\System32\xmlprov.dll ... chybí !!
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-03-31 2145000]
"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"Privatefirewall"="c:\program files\Privatefirewall 7.0\PFGUI.exe" [2010-06-10 2445840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [31.3.2010 8:22 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [31.3.2010 8:23 95872]
R1 pwipf6;pwipf6;c:\windows\system32\drivers\pwipf6.sys [19.4.2010 15:23 117584]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [31.3.2010 8:23 810120]
R2 PFNet;Privacyware network service;c:\program files\Privatefirewall 7.0\pfsvc.exe [10.6.2010 15:59 357000]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - ALG
*NewlyCreated* - IPNAT
.
.
------- Doplňkový sken -------
.
uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-26 21:50
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(408)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(464)
c:\windows\System32\dssenh.dll
.
Celkový čas: 2010-06-26 21:58:26 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-06-26 19:58

Před spuštěním: 327 606 272
Po spuštění: 509 857 792

- - End Of File - - 28A5A81C711002606E7D56B33D9FFA4C

druhé spuštění, tentokrát již s vypnutým NOD32 i firewallem

ComboFix 10-06-26.01 - h 26.06.2010 22:35:42.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.383.184 [GMT 2:00]
Spuštěný z: c:\documents and settings\h\Plocha\soft\řč.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

Nakažená kopie c:\windows\system32\qmgr.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\ERDNT\cache\qmgr.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-05-26 do 2010-06-26 )))))))))))))))))))))))))))))))
.

2010-06-24 17:42 . 2010-06-24 19:20 -------- d-----w- c:\program files\FastCopy
2010-06-24 17:34 . 2010-06-24 17:34 -------- d-----w- c:\program files\TeraCopy
2010-06-22 20:39 . 2010-06-24 19:21 -------- d-----w- c:\program files\Capture-A-ScreenShot
2010-06-21 10:09 . 2010-06-21 10:09 -------- d-----w- c:\program files\Privatefirewall 7.0
2010-06-20 19:36 . 2010-06-20 21:32 -------- d-----w- c:\program files\FormatFactory
2010-06-20 19:18 . 2010-06-20 19:21 -------- d-----w- c:\program files\Mv2Player
2010-06-20 18:38 . 2010-06-20 18:38 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-06-20 18:04 . 2010-06-20 22:51 -------- d-----w- c:\program files\Free Screen Recorder
2010-06-20 18:01 . 2006-10-17 20:29 487479 ----a-w- c:\windows\system32\SkinMagic.dll
2010-06-16 19:58 . 2010-06-16 19:58 -------- d-----w- c:\program files\Foxit Software
2010-06-16 19:31 . 2001-08-17 19:47 12928 ----a-w- c:\windows\system32\drivers\Dot4Prt.sys
2010-06-16 19:30 . 2001-10-24 10:24 324608 ----a-w- c:\windows\system32\hpojwia.dll
2010-06-16 19:30 . 2001-08-17 19:47 8704 ----a-w- c:\windows\system32\drivers\Dot4scan.sys
2010-06-16 19:26 . 2001-08-17 19:47 205056 ----a-w- c:\windows\system32\drivers\Dot4.sys
2010-06-15 16:30 . 2010-06-15 16:30 -------- d-----w- c:\program files\Freeraser
2010-06-15 16:16 . 2010-06-15 16:19 -------- d-----w- c:\program files\The KMPlayer
2010-06-15 15:43 . 2010-06-15 15:43 -------- d-----w- c:\program files\InstallShield Installation Information
2010-06-15 15:42 . 2007-06-27 12:42 207488 ----a-r- c:\windows\system32\drivers\vinyl97.sys
2010-06-15 15:42 . 2002-08-28 23:32 57856 ----a-w- c:\windows\system32\drivers\drmk.sys
2010-06-15 15:42 . 2002-08-29 00:01 134272 ----a-w- c:\windows\system32\drivers\portcls.sys
2010-06-15 15:41 . 2010-06-15 15:42 -------- d-----w- c:\program files\VIA
2010-06-15 15:41 . 2007-04-11 13:35 331184 ------w- c:\windows\system32\difxapi.dll
2010-06-15 15:41 . 2010-06-15 15:41 -------- d-----w- c:\program files\Common Files\InstallShield
2010-06-15 15:39 . 2010-06-15 15:40 -------- d-----w- c:\program files\7-Zip
2010-06-15 15:34 . 2010-06-15 15:34 -------- d-----w- c:\program files\Unknown Device Identifier
2010-06-15 14:48 . 2004-08-03 12:05 186136 ----a-w- c:\windows\system32\wuaueng1.dll
2010-06-15 14:48 . 2009-08-06 17:24 327896 ----a-w- c:\windows\system32\wucltui.dll
2010-06-15 14:48 . 2009-08-06 17:24 209632 ----a-w- c:\windows\system32\wuweb.dll
2010-06-15 14:48 . 2009-08-06 17:24 35552 ----a-w- c:\windows\system32\wups.dll
2010-06-15 14:48 . 2009-08-06 17:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2010-06-15 14:48 . 2004-08-03 11:59 168216 ----a-w- c:\windows\system32\wuauclt1.exe
2010-06-15 14:41 . 2010-06-15 14:41 -------- d-----w- C:\WUTemp
2010-06-15 14:36 . 2004-08-03 11:59 185624 -c--a-w- c:\windows\system32\dllcache\iuengine.dll
2010-06-15 14:36 . 2004-08-03 11:59 185624 ----a-w- c:\windows\system32\iuengine.dll
2010-06-14 15:01 . 2010-06-14 15:02 -------- d-----w- c:\program files\Opera
2010-06-14 13:45 . 2010-06-14 13:51 147 ----a-w- C:\Delapp.bat
2010-06-14 12:15 . 2010-06-14 14:19 -------- d-----w- c:\program files\ESET
2010-06-13 20:09 . 2010-06-13 20:09 -------- d-----w- c:\program files\CCleaner

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-26 19:53 . 2001-10-25 12:00 43500 ----a-w- c:\windows\system32\perfc005.dat
2010-06-26 19:53 . 2001-10-25 12:00 304474 ----a-w- c:\windows\system32\perfh005.dat
2010-06-14 13:50 . 2009-11-29 10:57 -------- d-----w- c:\program files\Chromium BSU
2010-06-14 13:50 . 2009-04-13 14:12 -------- d-----w- c:\program files\AMI1.0
2010-06-14 13:47 . 2009-03-25 15:56 -------- d-----w- c:\program files\Troll demo
2010-06-14 13:45 . 2009-12-21 08:22 -------- d-----w- c:\program files\Astral Entertainment
2010-06-14 13:44 . 2009-03-16 13:00 -------- d-----w- c:\program files\Boink
2010-06-14 13:44 . 2009-04-16 14:52 -------- d-----w- c:\program files\Bombič
2010-06-14 13:44 . 2009-10-31 07:00 -------- d-----w- c:\program files\Blade
2010-06-14 13:44 . 2009-04-20 14:34 -------- d-----w- c:\program files\Baroque_Shooting_Timeattack
2010-04-19 13:23 . 2010-04-19 13:23 117584 ----a-w- c:\windows\system32\drivers\pwipf6.sys
2010-03-31 06:23 . 2010-03-31 06:23 95872 ----a-w- c:\windows\system32\drivers\epfwtdir.sys
2010-03-31 06:22 . 2010-03-31 06:22 114984 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2010-03-31 06:17 . 2010-03-31 06:17 140216 ----a-w- c:\windows\system32\drivers\eamon.sys
.

------- Sigcheck -------



[-] 2004-07-09 03:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . c:\windows\system32\d3d9.dll

c:\windows\System32\wscntfy.exe ... chybí !!
c:\windows\System32\xmlprov.dll ... chybí !!
.
((((((((((((((((((((((((((((( SnapShot@2010-06-26_19.52.31 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-26 20:42 . 2010-06-26 20:42 16384 c:\windows\temp\Perflib_Perfdata_608.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-03-31 2145000]
"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"Privatefirewall"="c:\program files\Privatefirewall 7.0\PFGUI.exe" [2010-06-10 2445840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [31.3.2010 8:22 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [31.3.2010 8:23 95872]
R1 pwipf6;pwipf6;c:\windows\system32\drivers\pwipf6.sys [19.4.2010 15:23 117584]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [31.3.2010 8:23 810120]
R2 PFNet;Privacyware network service;c:\program files\Privatefirewall 7.0\pfsvc.exe [10.6.2010 15:59 357000]
.
.
------- Doplňkový sken -------
.
uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-26 22:42
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(396)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(452)
c:\windows\System32\dssenh.dll
.
Celkový čas: 2010-06-26 22:47:51 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-06-26 20:47
ComboFix2.txt 2010-06-26 19:58

Před spuštěním: 511 942 656
Po spuštění: 505 921 536

- - End Of File - - BB0CCE0A5B76C1CF650BD042737C8491

[motji]

To je z toho druhého počítače? Podle combofixu Vám ještě dva soubory uplně chybí.




Stáhněte SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe

- uložte ho na plochu a spustte.
- do okénka zkopírujte

Kód: Vybrat vše

:filefind
wscntfy.exe
xmlprov.dll

- klikněte na Look, proběhne sken, na konci se zobrazí log, jehož obsah zkopírujete sem


tento soubor znáte?
C:\Delapp.bat


Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT
-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.


Ty soubory co nešli zkopírovat u toho prvního počítače, myslím že ty nepotřebujete.
Večer na to ještě pořádně kouknu, teď musím pryč

[ondrej.novak.cz]

Dobrý den,

1. Ano, ten poslední log byl z toho druhého "současného" PC

2. SystemLook ty dva uvedené soubory opravdu nenalezl, ale PC bez nich stejně docela obstojně funguje

Log file ze SystemLooku:

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 20:04 on 27/06/2010 by h (Administrator - Elevation successful)

No Context: wscntfy.exe

No Context: xmlprov.dll

-=End Of File=-

3. k souboru: C:\Delapp.bat - opravdu netuším co je zač

4. MBAM: tak jsem oskenoval všechny disky (D: - HDD z původního PC, nyní navíc zkopírovaný na E:)

Log file z MBAM:

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Verze databáze: 4247

Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

28.6.2010 0:28:08
mbam-log-2010-06-28 (00-28-08)-2

Typ skenu: Úplný sken (C:\|D:\|E:\|F:\|)
Skenované objekty: 242619
Uplynulý čas: 3 hodina(y), 12 minuta(y), 1 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 2

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe (Trojan.Downloader) -> No action taken.

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
D:\Program Files\Fritz a Šachlík\XPR Demo\Setup.exe (Trojan.Downloader) -> No action taken.
E:\kopie disku c dne 24.6.2010\Program Files\Fritz a Šachlík\XPR Demo\Setup.exe (Trojan.Downloader) -> No action taken.

5. poté co jsem projel PC pomocí MBAM mi to nedalo a znovu jsem ho projel Combofixem, opět se mu nelíbil soubor gmgr.dll smazal a obnovil ho jinak nic pozoruhodného, přikládám log

ComboFix 10-06-26.01 - h 28.06.2010 8:13.3.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.383.185 [GMT 2:00]
Spuštěný z: c:\documents and settings\h\Plocha\soft\řč.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

Nakažená kopie c:\windows\system32\qmgr.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\ERDNT\cache\qmgr.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-05-28 do 2010-06-28 )))))))))))))))))))))))))))))))
.

2010-06-27 18:11 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-27 18:11 . 2010-06-27 18:11 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-27 18:11 . 2010-04-29 13:39 19288 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-24 17:42 . 2010-06-24 19:20 -------- d-----w- c:\program files\FastCopy
2010-06-24 17:34 . 2010-06-24 17:34 -------- d-----w- c:\program files\TeraCopy
2010-06-22 20:39 . 2010-06-28 06:11 -------- d-----w- c:\program files\Capture-A-ScreenShot
2010-06-21 10:09 . 2010-06-21 10:09 -------- d-----w- c:\program files\Privatefirewall 7.0
2010-06-20 19:36 . 2010-06-20 21:32 -------- d-----w- c:\program files\FormatFactory
2010-06-20 19:18 . 2010-06-20 19:21 -------- d-----w- c:\program files\Mv2Player
2010-06-20 18:38 . 2010-06-20 18:38 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-06-20 18:04 . 2010-06-20 22:51 -------- d-----w- c:\program files\Free Screen Recorder
2010-06-20 18:01 . 2006-10-17 20:29 487479 ----a-w- c:\windows\system32\SkinMagic.dll
2010-06-16 19:58 . 2010-06-16 19:58 -------- d-----w- c:\program files\Foxit Software
2010-06-16 19:31 . 2001-08-17 19:47 12928 ----a-w- c:\windows\system32\drivers\Dot4Prt.sys
2010-06-16 19:30 . 2001-10-24 10:24 324608 ----a-w- c:\windows\system32\hpojwia.dll
2010-06-16 19:30 . 2001-08-17 19:47 8704 ----a-w- c:\windows\system32\drivers\Dot4scan.sys
2010-06-16 19:26 . 2001-08-17 19:47 205056 ----a-w- c:\windows\system32\drivers\Dot4.sys
2010-06-15 16:30 . 2010-06-15 16:30 -------- d-----w- c:\program files\Freeraser
2010-06-15 16:16 . 2010-06-15 16:19 -------- d-----w- c:\program files\The KMPlayer
2010-06-15 15:43 . 2010-06-15 15:43 -------- d-----w- c:\program files\InstallShield Installation Information
2010-06-15 15:42 . 2007-06-27 12:42 207488 ----a-r- c:\windows\system32\drivers\vinyl97.sys
2010-06-15 15:42 . 2002-08-28 23:32 57856 ----a-w- c:\windows\system32\drivers\drmk.sys
2010-06-15 15:42 . 2002-08-29 00:01 134272 ----a-w- c:\windows\system32\drivers\portcls.sys
2010-06-15 15:41 . 2010-06-15 15:42 -------- d-----w- c:\program files\VIA
2010-06-15 15:41 . 2007-04-11 13:35 331184 ------w- c:\windows\system32\difxapi.dll
2010-06-15 15:41 . 2010-06-15 15:41 -------- d-----w- c:\program files\Common Files\InstallShield
2010-06-15 15:39 . 2010-06-15 15:40 -------- d-----w- c:\program files\7-Zip
2010-06-15 15:34 . 2010-06-15 15:34 -------- d-----w- c:\program files\Unknown Device Identifier
2010-06-15 14:48 . 2004-08-03 12:05 186136 ----a-w- c:\windows\system32\wuaueng1.dll
2010-06-15 14:48 . 2009-08-06 17:24 327896 ----a-w- c:\windows\system32\wucltui.dll
2010-06-15 14:48 . 2009-08-06 17:24 209632 ----a-w- c:\windows\system32\wuweb.dll
2010-06-15 14:48 . 2009-08-06 17:24 35552 ----a-w- c:\windows\system32\wups.dll
2010-06-15 14:48 . 2009-08-06 17:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2010-06-15 14:48 . 2004-08-03 11:59 168216 ----a-w- c:\windows\system32\wuauclt1.exe
2010-06-15 14:41 . 2010-06-15 14:41 -------- d-----w- C:\WUTemp
2010-06-15 14:36 . 2004-08-03 11:59 185624 -c--a-w- c:\windows\system32\dllcache\iuengine.dll
2010-06-15 14:36 . 2004-08-03 11:59 185624 ----a-w- c:\windows\system32\iuengine.dll
2010-06-14 15:01 . 2010-06-27 07:50 -------- d-----w- c:\program files\Opera
2010-06-14 13:45 . 2010-06-14 13:51 147 ----a-w- C:\Delapp.bat
2010-06-14 12:15 . 2010-06-14 14:19 -------- d-----w- c:\program files\ESET
2010-06-13 20:09 . 2010-06-13 20:09 -------- d-----w- c:\program files\CCleaner

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-26 19:53 . 2001-10-25 12:00 43500 ----a-w- c:\windows\system32\perfc005.dat
2010-06-26 19:53 . 2001-10-25 12:00 304474 ----a-w- c:\windows\system32\perfh005.dat
2010-06-14 13:50 . 2009-11-29 10:57 -------- d-----w- c:\program files\Chromium BSU
2010-06-14 13:50 . 2009-04-13 14:12 -------- d-----w- c:\program files\AMI1.0
2010-06-14 13:47 . 2009-03-25 15:56 -------- d-----w- c:\program files\Troll demo
2010-06-14 13:45 . 2009-12-21 08:22 -------- d-----w- c:\program files\Astral Entertainment
2010-06-14 13:44 . 2009-03-16 13:00 -------- d-----w- c:\program files\Boink
2010-06-14 13:44 . 2009-04-16 14:52 -------- d-----w- c:\program files\Bombič
2010-06-14 13:44 . 2009-10-31 07:00 -------- d-----w- c:\program files\Blade
2010-06-14 13:44 . 2009-04-20 14:34 -------- d-----w- c:\program files\Baroque_Shooting_Timeattack
2010-04-19 13:23 . 2010-04-19 13:23 117584 ----a-w- c:\windows\system32\drivers\pwipf6.sys
2010-03-31 06:23 . 2010-03-31 06:23 95872 ----a-w- c:\windows\system32\drivers\epfwtdir.sys
2010-03-31 06:22 . 2010-03-31 06:22 114984 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2010-03-31 06:17 . 2010-03-31 06:17 140216 ----a-w- c:\windows\system32\drivers\eamon.sys
.

------- Sigcheck -------



[-] 2004-07-09 03:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . c:\windows\system32\d3d9.dll

c:\windows\System32\wscntfy.exe ... chybí !!
c:\windows\System32\xmlprov.dll ... chybí !!
.
((((((((((((((((((((((((((((( SnapShot@2010-06-26_19.52.31 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-28 06:21 . 2010-06-28 06:21 16384 c:\windows\temp\Perflib_Perfdata_680.dat
+ 2010-06-27 07:50 . 2010-06-27 07:50 2644480 c:\windows\Installer\3603e.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-03-31 2145000]
"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"Privatefirewall"="c:\program files\Privatefirewall 7.0\PFGUI.exe" [2010-06-10 2445840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [31.3.2010 8:22 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [31.3.2010 8:23 95872]
R1 pwipf6;pwipf6;c:\windows\system32\drivers\pwipf6.sys [19.4.2010 15:23 117584]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [31.3.2010 8:23 810120]
R2 PFNet;Privacyware network service;c:\program files\Privatefirewall 7.0\pfsvc.exe [10.6.2010 15:59 357000]
.
.
------- Doplňkový sken -------
.
uSearchURL,(Default) = hxxp://www.searchgateway.net/search/%s
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-28 08:20
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(396)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(452)
c:\windows\System32\dssenh.dll
.
Celkový čas: 2010-06-28 08:26:03 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-06-28 06:26
ComboFix2.txt 2010-06-26 20:47
ComboFix3.txt 2010-06-26 19:58

Před spuštěním: 497 418 240
Po spuštění: 506 482 688

- - End Of File - - 513E78EBDF82FF66FB239E8B0A967E8A


Silverlight - beze změn - stále vyžaduje Administrátorská práva (uvádím to, protože jsem si z dřívejšího PC zvykl, že problémy většinou sami odezní - např. se mi na něm nějakou dobu mazal profil a tím pádem vše z plochy, nebo blblo připojení atd. a většinou to samo od sebe po čase to odeznělo, takže čekám, že by to mohlo taky odeznít)

Přeji příjemný den

[motji]

Vy to máte nějaký divoký

dal jste do systemlook i ten příkaz filefind?

co našel mbam, smažte

Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

[ondrej.novak.cz]

Dobrý večer,

1. do SystemLooku jsem opravdu nedal příkaz filefind, ta posílám nový log, souboury nenalezeny

Log ze SystemLooku:

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 20:03 on 01/07/2010 by h (Administrator - Elevation successful)

========== filefind ==========

Searching for "wscntfy.exe"
No files found.

Searching for "xmlprov.dll"
No files found.

-=End Of File=-

Chtěl jsem se zeptat, jsou ty soubory vůbec k něčemu dobré, mně nechybí

2. zasílám loga z MBAM

1. log

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-06-30 08:35:17
Windows 5.1.2600 Service Pack 1
Running: gmer.exe; Driver: C:\DOCUME~1\h\LOCALS~1\Temp\pwxoyaog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Ip pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)

---- EOF - GMER 1.0.15 ----


2. log po skenování

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-30 09:06:01
Windows 5.1.2600 Service Pack 1
Running: gmer.exe; Driver: C:\DOCUME~1\h\LOCALS~1\Temp\pwxoyaog.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwAdjustPrivilegesToken [0xF1767AF0]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwAssignProcessToJobObject [0xF18C0610]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwConnectPort [0xF17693A0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateFile [0xF1768970]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateKey [0xF1767790]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreatePort [0xF17696C0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateProcessEx [0xF176A1B0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateSection [0xF1769920]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateThread [0xF1769DA0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwDebugActiveProcess [0xF1767240]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwDeleteKey [0xF17683C0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwDeleteValueKey [0xF1768530]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwDuplicateObject [0xF1767350]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwOpenFile [0xF1768BE0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwOpenProcess [0xF1768700]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwOpenSection [0xF1766DC0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwOpenThread [0xF17679A0]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwProtectVirtualMemory [0xF18C06D0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwResumeThread [0xF1768E20]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwSecureConnectPort [0xF1769530]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetContextThread [0xF18C0690]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetInformationThread [0xF18C0650]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetSecurityObject [0xF18C07D0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwSetValueKey [0xF1768200]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendProcess [0xF18C0510]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendThread [0xF18C0590]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwTerminateProcess [0xF17680D0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwTerminateThread [0xF1768850]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwWriteVirtualMemory [0xF18C0750]

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [06]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 138 805025B4 4 Bytes [F0, 7A, 76, F1]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 158 805025D4 4 Bytes [10, 06, 8C, F1]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 188 80502604 4 Bytes [A0, 93, 76, F1]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1A0 8050261C 4 Bytes [70, 89, 76, F1] {JO 0xffffffffffffff8b; JBE 0xfffffffffffffff5}
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0 8050262C 4 Bytes [90, 77, 76, F1] {NOP ; JA 0x79; INT1 }
.text ...

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1432] kernel32.dll!SetUnhandledExceptionFilter 77E7E5A1 4 Bytes [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Ip pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

---- EOF - GMER 1.0.15 ----


Přeji krásný den

[ondrej.novak.cz]

Dobrý večer,

1. do SystemLooku jsem opravdu nedal příkaz filefind, ta posílám nový log, souboury nenalezeny

Log ze SystemLooku:

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 20:03 on 01/07/2010 by h (Administrator - Elevation successful)

========== filefind ==========

Searching for "wscntfy.exe"
No files found.

Searching for "xmlprov.dll"
No files found.

-=End Of File=-

Chtěl jsem se zeptat, jsou ty soubory vůbec k něčemu dobré, mně nechybí

2. zasílám loga z MBAM

1. log

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-06-30 08:35:17
Windows 5.1.2600 Service Pack 1
Running: gmer.exe; Driver: C:\DOCUME~1\h\LOCALS~1\Temp\pwxoyaog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Ip pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)

---- EOF - GMER 1.0.15 ----


2. log po skenování

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-30 09:06:01
Windows 5.1.2600 Service Pack 1
Running: gmer.exe; Driver: C:\DOCUME~1\h\LOCALS~1\Temp\pwxoyaog.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwAdjustPrivilegesToken [0xF1767AF0]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwAssignProcessToJobObject [0xF18C0610]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwConnectPort [0xF17693A0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateFile [0xF1768970]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateKey [0xF1767790]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreatePort [0xF17696C0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateProcessEx [0xF176A1B0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateSection [0xF1769920]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwCreateThread [0xF1769DA0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwDebugActiveProcess [0xF1767240]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwDeleteKey [0xF17683C0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwDeleteValueKey [0xF1768530]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwDuplicateObject [0xF1767350]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwOpenFile [0xF1768BE0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwOpenProcess [0xF1768700]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwOpenSection [0xF1766DC0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwOpenThread [0xF17679A0]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwProtectVirtualMemory [0xF18C06D0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwResumeThread [0xF1768E20]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwSecureConnectPort [0xF1769530]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetContextThread [0xF18C0690]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetInformationThread [0xF18C0650]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetSecurityObject [0xF18C07D0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwSetValueKey [0xF1768200]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendProcess [0xF18C0510]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendThread [0xF18C0590]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwTerminateProcess [0xF17680D0]
SSDT \SystemRoot\system32\drivers\pwipf6.sys (pwipf6/Privacyware/PWI, Inc.) ZwTerminateThread [0xF1768850]
SSDT \SystemRoot\System32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwWriteVirtualMemory [0xF18C0750]

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [06]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 138 805025B4 4 Bytes [F0, 7A, 76, F1]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 158 805025D4 4 Bytes [10, 06, 8C, F1]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 188 80502604 4 Bytes [A0, 93, 76, F1]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1A0 8050261C 4 Bytes [70, 89, 76, F1] {JO 0xffffffffffffff8b; JBE 0xfffffffffffffff5}
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0 8050262C 4 Bytes [90, 77, 76, F1] {NOP ; JA 0x79; INT1 }
.text ...

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1432] kernel32.dll!SetUnhandledExceptionFilter 77E7E5A1 4 Bytes [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Ip pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp pwipf6.sys (pwipf6/Privacyware/PWI, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

---- EOF - GMER 1.0.15 ----


Přeji krásný den

[motji]

K něčemu jsou


Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

Srpeek::
c:\windows\System32\wscntfy.exe
c:\windows\System32\xmlprov.dll

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci