Prosím o kontrolu po opravě a čištění

[motji]

opraveno, omylem vloženo

[sunv]

tak tady je log (vše proběhlo bez závad):

ComboFix 10-08-04.05 - Milan 06.08.2010 12:30:34.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.3326.2292 [GMT 2:00]
Spuštěný z: c:\users\Milan\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\Milan\Desktop\CFscript.txt
AV: avast! antivirus 4.8.1229 [VPS 081121-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: avast! antivirus 4.8.1229 [VPS 081121-0] *enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

file zipped: c:\program files\Common Files\kg.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\kg.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-07-06 do 2010-08-06 )))))))))))))))))))))))))))))))
.

2010-08-06 10:35 . 2010-08-06 10:37 -------- d-----w- c:\users\Milan\AppData\Local\temp
2010-08-06 10:35 . 2010-08-06 10:35 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-08-06 10:35 . 2010-08-06 10:35 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-05 23:06 . 2010-08-05 23:06 -------- d-----w- c:\program files\Common Files\Java
2010-08-05 20:59 . 2009-04-01 19:47 1683968 ----a-w- C:\HxD.exe
2010-08-05 20:56 . 2010-08-05 20:56 -------- d-----w- c:\users\Milan\AppData\Roaming\Mael
2010-08-05 13:20 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-08-05 12:34 . 2010-08-06 10:14 -------- d-----w- c:\program files\trend micro
2010-08-05 12:34 . 2010-08-05 12:34 -------- d-----w- C:\rsit
2010-08-05 08:23 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2010-08-04 22:06 . 2010-02-12 10:32 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-07-30 12:19 . 2010-06-28 20:57 38848 ----a-w- c:\windows\avastSS.scr
2010-07-30 09:29 . 2009-11-12 12:48 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys
2010-07-30 09:08 . 2010-07-30 09:08 -------- d-----w- c:\program files\Ashampoo
2010-07-30 08:40 . 2010-03-17 20:53 180224 ----a-w- c:\windows\system32\QTCF.dll
2010-07-25 15:31 . 2010-07-25 15:31 -------- d-----w- c:\users\Milan\AppData\Local\Opera
2010-07-23 11:18 . 2010-08-04 21:42 -------- d-----w- c:\users\Milan\AppData\Roaming\vlc
2010-07-22 19:35 . 2010-07-22 19:35 -------- d-----w- c:\program files\GIMP-2.0
2010-07-22 18:04 . 2010-07-22 19:27 -------- d-----w- c:\users\Milan\.gimp-2.7
2010-07-22 07:04 . 2010-07-22 07:05 -------- d-----w- c:\program files\GIMP 2.7
2010-07-09 19:04 . 2010-07-09 19:04 41872 ----a-w- c:\windows\system32\xfcodec.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-06 10:35 . 2009-03-23 10:07 12 ----a-w- c:\windows\bthservsdp.dat
2010-08-06 01:10 . 2008-10-19 17:02 -------- d-----w- c:\users\Milan\AppData\Roaming\Orbit
2010-08-05 23:49 . 2008-08-28 07:33 -------- d-----w- c:\users\Milan\AppData\Roaming\Media Player Classic
2010-08-05 23:06 . 2008-09-02 13:09 -------- d-----w- c:\program files\Java
2010-08-05 16:44 . 2008-08-27 20:44 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-05 16:36 . 2008-08-27 19:09 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-08-04 18:27 . 2008-09-05 18:27 1356 ----a-w- c:\users\Milan\AppData\Local\d3d9caps.dat
2010-08-04 16:43 . 2008-08-28 08:42 -------- d-----w- c:\users\Milan\AppData\Roaming\skypePM
2010-08-01 21:22 . 2008-08-28 07:21 137256 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-08-01 21:22 . 2008-08-27 20:44 218808 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-08-01 21:16 . 2010-03-07 11:16 1 ----a-w- c:\users\Milan\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-01 16:13 . 2008-01-21 06:46 637432 ----a-w- c:\windows\system32\perfh005.dat
2010-08-01 16:13 . 2008-01-21 06:46 135298 ----a-w- c:\windows\system32\perfc005.dat
2010-08-01 16:11 . 2009-12-15 11:00 -------- d-----w- c:\program files\Xfire
2010-07-30 09:29 . 2010-04-15 08:58 -------- d-----w- c:\program files\CDBurnerXP
2010-07-30 09:25 . 2008-08-27 20:16 -------- d-----w- c:\program files\CCleaner
2010-07-30 09:14 . 2008-09-04 13:25 -------- d-----w- c:\users\Milan\AppData\Roaming\Ashampoo
2010-07-30 08:40 . 2008-10-23 21:57 -------- d-----w- c:\program files\QuickTime Alternative
2010-07-28 15:26 . 2010-04-10 08:24 -------- d-----w- c:\program files\Avidemux 2.5
2010-07-27 10:55 . 2010-03-07 09:43 -------- d-----w- c:\program files\Opera
2010-07-23 13:06 . 2008-08-28 08:13 -------- d-----w- c:\program files\FastStone Image Viewer
2010-07-14 11:07 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-06-28 20:57 . 2008-08-27 19:10 165032 ----a-w- c:\windows\system32\aswBoot.exe
2010-06-28 20:37 . 2008-08-27 19:10 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-06-28 20:37 . 2008-08-27 19:10 165456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-06-28 20:33 . 2008-08-27 19:10 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-06-28 20:32 . 2008-08-27 19:10 50256 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2010-06-28 20:32 . 2008-08-27 19:10 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-06-22 12:42 . 2008-08-27 18:32 115512 ----a-w- c:\users\Milan\AppData\Local\GDIPFONTCACHEV1.DAT
2010-06-19 11:42 . 2008-09-14 10:33 -------- d-----w- c:\programdata\DVD Shrink
2010-06-13 21:31 . 2010-01-25 11:24 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-06-13 21:17 . 2010-06-13 21:17 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2010-06-02 08:00 . 2010-06-13 21:28 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-05-27 19:39 . 2010-05-27 19:39 5550592 ----a-w- c:\windows\system32\drivers\atikmdag.sys
2010-05-27 19:17 . 2010-05-27 19:17 15024128 ----a-w- c:\windows\system32\atioglxx.dll
2010-05-27 19:16 . 2010-05-27 19:16 143360 ----a-w- c:\windows\system32\atiapfxx.exe
2010-05-27 19:16 . 2010-05-05 02:19 506880 ----a-w- c:\windows\system32\aticfx32.dll
2010-05-27 19:13 . 2010-05-27 19:13 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll
2010-05-27 19:13 . 2010-05-27 19:13 372736 ----a-w- c:\windows\system32\atieclxx.exe
2010-05-27 19:12 . 2010-05-27 19:12 172032 ----a-w- c:\windows\system32\atiesrxx.exe
2010-05-27 19:11 . 2010-05-27 19:11 159744 ----a-w- c:\windows\system32\atitmmxx.dll
2010-05-27 19:11 . 2010-05-27 19:11 356352 ----a-w- c:\windows\system32\atipdlxx.dll
2010-05-27 19:11 . 2010-05-27 19:11 278528 ----a-w- c:\windows\system32\Oemdspif.dll
2010-05-27 19:11 . 2010-05-27 19:11 11776 ----a-w- c:\windows\system32\atimuixx.dll
2010-05-27 19:11 . 2010-05-27 19:11 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2010-05-27 19:08 . 2010-05-27 19:08 3609600 ----a-w- c:\windows\system32\atidxx32.dll
2010-05-27 18:51 . 2010-05-27 18:51 53248 ----a-w- c:\windows\system32\aticalrt.dll
2010-05-27 18:51 . 2010-05-27 18:51 53248 ----a-w- c:\windows\system32\aticalcl.dll
2010-05-27 18:51 . 2008-08-21 13:56 3788288 ----a-w- c:\windows\system32\atiumdag.dll
2010-05-27 18:50 . 2010-05-27 18:50 4022272 ----a-w- c:\windows\system32\aticaldd.dll
2010-05-27 18:47 . 2010-03-03 03:23 50176 ----a-w- c:\windows\system32\coinst.dll
2010-05-27 18:47 . 2010-05-27 18:47 3015680 ----a-w- c:\windows\system32\atiumdva.dll
2010-05-27 18:39 . 2010-05-27 18:39 237568 ----a-w- c:\windows\system32\atiadlxx.dll
2010-05-27 18:39 . 2010-05-27 18:39 12800 ----a-w- c:\windows\system32\atiglpxx.dll
2010-05-27 18:39 . 2010-05-27 18:39 15360 ----a-w- c:\windows\system32\atigktxx.dll
2010-05-27 18:39 . 2010-05-27 18:39 176128 ----a-w- c:\windows\system32\drivers\atikmpag.sys
2010-05-27 18:38 . 2010-05-27 18:38 28160 ----a-w- c:\windows\system32\atiuxpag.dll
2010-05-27 18:38 . 2010-03-03 03:06 20480 ----a-w- c:\windows\system32\atiu9pag.dll
2010-05-27 18:38 . 2010-03-03 03:06 23040 ----a-w- c:\windows\system32\atitmpxx.dll
2010-05-27 18:37 . 2010-05-27 18:37 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2010-05-27 18:36 . 2010-05-27 18:36 52224 ----a-w- c:\windows\system32\atimpc32.dll
2010-05-27 18:36 . 2010-05-27 18:36 52224 ----a-w- c:\windows\system32\amdpcom32.dll
2010-05-26 17:06 . 2010-06-08 18:25 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-06-08 18:25 289792 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-10-03 13:12 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-16 08:31 . 2010-05-16 08:31 4382720 ----a-w- c:\programdata\TuneUp Software\TuneUp Utilities\WinStyler\LogonScreens\lauren.tls.dll
2010-05-16 08:29 . 2010-05-16 08:29 16384 ----a-w- c:\programdata\TuneUp Software\TuneUp Utilities\WinStyler\LogoAnimations\beh.tla.dll
2010-05-10 18:49 . 2010-05-10 18:49 711168 ----a-w- c:\windows\isRS-000.tmp
2010-05-10 12:43 . 2009-04-01 19:28 115896 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2006-05-03 10:06 . 2010-01-23 15:43 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 11:47 . 2010-01-23 15:43 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 13:30 . 2010-01-23 15:43 216064 --sh--r- c:\windows\System32\nbDX.dll
2008-08-21 13:51 . 2008-08-21 13:51 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-05-27 102400]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 4468736]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-04-22 2029456]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"AcronisTimounterMonitor"="c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-03-06 910744]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-06-28 2837864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\guard32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast5]
2010-06-28 20:57 2837864 ----a-w- c:\progra~1\ALWILS~1\Avast5\AvastUI.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"WinFast Schedule"=c:\program files\WinFast\WFDTV\WFWIZ.exe
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinFastDTV"=c:\program files\WinFast\WFDTV\DTVSchdl.exe
"Windows Mobile Device Center"=%windir%\WindowsMobile\wmdc.exe
"TrueImageMonitor.exe"=c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe
"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"ArcSoft Connection Service"=c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):fe,65,2c,af,24,fa,c9,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1617985853-1512789681-1251605036-1000]
"EnableNotificationsRef"=dword:00000001

R2 gupdate1c9de051e6229f3;Google Update Service (gupdate1c9de051e6229f3);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-26 133104]
R3 esihdrv;esihdrv;c:\users\Milan\AppData\Local\Temp\esihdrv.sys [x]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2009-06-17 12648]
R3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [2009-12-21 16456]
R3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [2009-12-21 11088]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-08-30 717296]
S0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [2010-02-03 40560]
S1 aswSP;aswSP; [x]
S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2010-04-22 218560]
S1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2010-04-22 30112]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-05-27 172032]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-06-28 50256]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2007-08-13 5120]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-05-27 5550592]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-05-27 176128]
S3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\l160x86.sys [2007-10-31 46592]
S3 VRVD302;VRVD302;c:\windows\system32\DRIVERS\VRVD302.sys [2008-08-31 11296]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Obsah adresáře 'Naplánované úlohy'

2010-08-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-26 13:22]

2010-08-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-26 13:22]

2010-07-14 c:\windows\Tasks\User_Feed_Synchronization-{60B2397D-7A44-434C-B979-0497A9FA82BA}.job
- c:\windows\system32\msfeedssync.exe [2010-06-08 04:30]

2010-08-01 c:\windows\Tasks\Úklid 1 kliknutím.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2009-11-16 14:43]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/
uInternet Settings,ProxyServer = 10.0.14.1:3128
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
TCP: {B34111F9-934E-414C-A437-0D91D4D067C2} = 212.71.128.9
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-06 12:37
Windows 6.0.6002 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory:

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d6,1e,ca,a3,86,3d,2d,40,89,d4,8c,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d6,1e,ca,a3,86,3d,2d,40,89,d4,8c,\

[HKEY_USERS\S-1-5-21-1617985853-1512789681-1251605036-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1617985853-1512789681-1251605036-1000\Software\SecuROM\License information*]
"datasecu"=hex:33,31,17,09,6e,06,be,63,31,47,4b,4a,b1,a3,a5,81,ad,d7,b6,9f,37,
7f,e1,85,95,6e,38,53,e0,1d,e6,2d,d3,95,95,df,bf,e4,29,2d,8b,64,4e,80,b5,6f,\
"rkeysecu"=hex:1a,16,c6,3f,ea,93,cc,f7,a3,06,dc,c8,66,5a,46,97
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'lsass.exe'(940)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'Explorer.exe'(2372)
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\windows\system32\atieclxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
c:\windows\System32\TUProgSt.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\Alwil Software\Avast5\AvastUI.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Celkový čas: 2010-08-06 12:42:55 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-08-06 10:42
ComboFix2.txt 2010-08-05 11:57

Před spuštěním: Volných bajtů: 59 337 527 296
Po spuštění: Volných bajtů: 59 178 057 728

- - End Of File - - A00037A8F0E8D1C632391D9A612A1D53


PS: Ale stále mě trápí neukončení procesu explorer.exe při vypínání,restartu, nebo jen odhlášení

[sunv]

Jedjda vy jste se rozjela, další zpráva, script, teprve jsem zkusil ten první script, jdu na scan CureIt
Poté tedy dám ten druhý script
Mban jsem použil (uživám ho často) nic nenašel, Jen něco v CryptLoad , ale to je falešné detekce, ověřeno a navíc projistotu jsem i ten prográmek dal pryč.
jdu na ten scan

[motji]

Ne ne ten druh skript nedělejte, já to popletla .
Vydržte chvilku, něco vymyslím.
Udělejte zatím ten webcureit.

[sunv]

TAkže po expresscanu, který nic nenašel jsem dal komplet, když jsem v tom tak ať to stojí zato. No nějaký čas to trvalo (dotkl jsem se věčnosti ) a výsledek se dostavil. Ikdyž si myslím podle toho co jsem našel, že je to faleš, ale přesto likvidace to jistí.
tady:

msc3.ocx;C:\Program Files\Common Files\Futuremark Shared\Futuremark SystemInfo;Trojan.PWS.Qqpass.origin;Nevyléčitelný.Smazán.;

Jak známo je to nějaký bechmark, který se nainstaloval s nějakou hrou co si vzpomínám, takže o nic nepřijdu.

[motji]

Fajn, jak to vypadá s počítačem?

[sunv]

Tak počítač byl po combofix (ještě než jsem se obrátil na toto supr forum) už v cajku, ale ta obrazovka o neukončené aplikaci při vypínání pc mě rozčilovalo.
Navíc se o upozornění ukázalo na půl vteřinky Ukazovalo se to i při odhlašování z účtu. Tak jsem rozmrvil co se dalo Tune up pryč, pitva IE, pročítání záznamů ze systému a nikde nic.
Ale nakonec jsem to přišel (doufám) . Vypínání systému je příliš rychlé a explorer prehrává ještě zvuk (ten tón ukončení). Tak jsem zrušil zvuk při ukončení windows a upozornění nikde?
Je to divný, že?
Tak nyní musím dát dohromady co jsem rozšteloval

Chci se ještě zeptat jestli bych k Vám mohl "do učení" ? Chtěl bych si rozšířit obzory a taky pomáhat.

[motji]

vy jste koumák
Podrobnosti k tomu učení Vám napíšu do sz

Ještě uklidíme


Odinstalujte combofix přes Start - Spustit
- zkopírujte do okénka:

ComboFix /Uninstall

-stiskněte Enter
-To odinstaluje ComboFix a smaže s ním související soubory a složky.


***********


Stáhněte T-Cleaner
http://sweb.cz/Marinus/T-Cleaner.exe

-Spusťte,pro potvrzení volby mačkejte klávesu A, Enter
-po použití prográmek vymažte.Pozor,antiviry ho mohou falešně označit za vir



***********


Z mého podpisu stahněte Ccleaner
- nainstalujte, při výběru, co se má nainstalovat, dejte pryč fajfku u instalace yahoo toolbaru

záložka čistič
- nechejte v levém sloupečku zatrhnuté vše jak je, klikněte na analyzovat
- po analýze klikněte na Spustit Ccleaner

záložka Registry
- klikněte na hledej problémy
- pak klikněte na opravit vybrané problémy -- udělat zálohu registrů - nemusíte
- kliknete opravit všechny problémy ok zavřít

Záložka Nástroje
- zde můžete odinstalovat programy. Je to důkladnější odinstalace než u přidat/odebrat programy ve Windows.

Ccleaner - čistič doporučuji používat, krásně pročistí pc od dočasných souborů.
Registry pročistí třeba po odinstalaci nějakého programu.


***********



Stahněte OTC a použijte
http://oldtimer.geekstogo.com/OTC.exe
-vyčistí tempy a po použitých programech



***********

Vložte nový log ze RSIT a řekněte co počítač, jak se chová, už je vše v pořádku?

[sunv]

Log z RSIT :
Logfile of random's system information tool 1.08 (written by random/random)
Run by Milan at 2010-08-06 22:54:02
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 56 GB (37%) free of 151 GB
Total RAM: 3326 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:54:10, on 6.8.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18928)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\WinFast\WFDTV\DVBTAP.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\System32\mobsync.exe
C:\totalcmd\TOTALCMD.EXE
C:\Users\Milan\Desktop\RSIT.exe
C:\Program Files\trend micro\Milan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.14.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Pomocník pro přihlášení ke službě Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B34111F9-934E-414C-A437-0D91D4D067C2}: NameServer = 212.71.128.9
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\System32\guard32.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Google Update Service (gupdate1c9de051e6229f3) (gupdate1c9de051e6229f3) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5674 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\User_Feed_Synchronization-{60B2397D-7A44-434C-B979-0497A9FA82BA}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - C:\Program Files\Orbitdownloader\orbitcth.dll [2010-05-07 240912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-06-19 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Pomocník pro přihlášení ke službě Windows Live - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-07-17 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - C:\Program Files\Orbitdownloader\GrabPro.dll [2010-05-07 666816]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avast5"=C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe [2010-06-28 2837864]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]
"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2010-05-27 102400]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-05-10 4468736]
"itype"=C:\Program Files\Microsoft IntelliType Pro\itype.exe [2008-06-10 1442888]
"COMODO Internet Security"=C:\Program Files\COMODO\COMODO Internet Security\cfp.exe [2010-04-22 2029456]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-06-09 976832]
"AcronisTimounterMonitor"=C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe [2008-03-06 910744]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\Windows\System32\guard32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=0
"NoDrives"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Orbitdownloader\orbitdm.exe"="C:\Program Files\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit"
"C:\Program Files\Orbitdownloader\orbitnet.exe"="C:\Program Files\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1

======List of files/folders created in the last 1 months======

2010-08-06 22:54:02 ----D---- C:\rsit
2010-08-06 21:45:58 ----A---- C:\Windows\system32\Dvbpws.dll
2010-08-06 20:56:52 ----ASH---- C:\hiberfil.sys
2010-08-06 12:45:36 ----D---- C:\Windows\temp
2010-08-06 12:42:06 ----SHD---- C:\$RECYCLE.BIN
2010-08-06 01:06:16 ----D---- C:\Program Files\Common Files\Java
2010-08-06 01:06:03 ----A---- C:\Windows\system32\javaws.exe
2010-08-06 01:06:03 ----A---- C:\Windows\system32\javaw.exe
2010-08-06 01:06:03 ----A---- C:\Windows\system32\java.exe
2010-08-05 23:32:03 ----A---- C:\HxD.ini
2010-08-05 22:59:47 ----A---- C:\HxD.exe
2010-08-05 22:56:56 ----D---- C:\Users\Milan\AppData\Roaming\Mael
2010-08-05 15:20:36 ----D---- C:\ProgramData\Sun
2010-08-05 15:20:11 ----A---- C:\Windows\system32\deployJava1.dll
2010-08-05 14:34:31 ----D---- C:\Program Files\trend micro
2010-08-05 10:23:10 ----D---- C:\Program Files\GRISOFT
2010-08-05 10:23:10 ----A---- C:\Windows\system32\drivers\AvgArCln.sys
2010-08-05 00:06:26 ----A---- C:\Windows\system32\browserchoice.exe
2010-08-04 23:56:05 ----A---- C:\Windows\system32\shell32.dll
2010-08-04 17:27:16 ----D---- C:\Users\Milan\AppData\Roaming\Acronis
2010-08-03 15:59:55 ----ASH---- C:\pagefile.sys
2010-07-30 11:29:20 ----A---- C:\Windows\system32\drivers\StarOpen.sys
2010-07-30 11:08:45 ----D---- C:\Program Files\Ashampoo
2010-07-30 10:40:12 ----A---- C:\Windows\system32\QTCF.dll
2010-07-23 13:18:15 ----D---- C:\Users\Milan\AppData\Roaming\vlc
2010-07-22 21:35:45 ----D---- C:\Program Files\GIMP-2.0
2010-07-22 09:04:32 ----D---- C:\Program Files\GIMP 2.7
2010-07-09 21:04:40 ----A---- C:\Windows\system32\xfcodec.dll

======List of files/folders modified in the last 1 months======

2010-08-06 22:54:10 ----D---- C:\Windows\Prefetch
2010-08-06 22:47:31 ----D---- C:\Windows
2010-08-06 22:33:48 ----D---- C:\Program Files\Mozilla Thunderbird
2010-08-06 21:45:58 ----D---- C:\Windows\System32
2010-08-06 20:44:52 ----SHD---- C:\Windows\Installer
2010-08-06 20:44:47 ----D---- C:\Program Files
2010-08-06 20:44:18 ----D---- C:\Windows\Tasks
2010-08-06 20:43:40 ----SHD---- C:\System Volume Information
2010-08-06 13:05:16 ----D---- C:\Windows\system32\drivers
2010-08-06 12:37:25 ----A---- C:\Windows\system.ini
2010-08-06 12:37:11 ----D---- C:\Windows\system32\drivers\etc
2010-08-06 12:35:08 ----D---- C:\Program Files\Common Files
2010-08-06 12:32:47 ----D---- C:\Windows\AppPatch
2010-08-06 03:10:17 ----D---- C:\Users\Milan\AppData\Roaming\Orbit
2010-08-06 01:49:50 ----D---- C:\Users\Milan\AppData\Roaming\Media Player Classic
2010-08-06 01:06:02 ----D---- C:\Program Files\Java
2010-08-05 23:54:30 ----D---- C:\Boot
2010-08-05 18:44:00 ----HD---- C:\Program Files\InstallShield Installation Information
2010-08-05 15:20:36 ----D---- C:\ProgramData
2010-08-05 12:41:53 ----D---- C:\Windows\security
2010-08-05 09:54:19 ----SD---- C:\Users\Milan\AppData\Roaming\Microsoft
2010-08-05 00:06:36 ----D---- C:\Windows\winsxs
2010-08-05 00:06:35 ----D---- C:\Windows\system32\catroot2
2010-08-05 00:06:35 ----D---- C:\Windows\system32\catroot
2010-08-04 23:43:58 ----D---- C:\Windows\system32\Msdtc
2010-08-04 23:43:56 ----D---- C:\Windows\system32\wbem
2010-08-04 23:43:49 ----D---- C:\Windows\pss
2010-08-04 23:43:12 ----D---- C:\Windows\system32\config
2010-08-04 23:42:47 ----D---- C:\Windows\PolicyDefinitions
2010-08-04 23:42:47 ----D---- C:\Windows\inf
2010-08-04 23:42:43 ----D---- C:\Windows\system32\Tasks
2010-08-04 23:42:43 ----D---- C:\Windows\system32\spool
2010-08-04 23:42:43 ----D---- C:\Windows\system32\CodeIntegrity
2010-08-04 23:42:41 ----D---- C:\Windows\rescache
2010-08-04 23:42:34 ----D---- C:\Users\Milan\AppData\Roaming\Xfire
2010-08-04 23:42:34 ----D---- C:\Users\Milan\AppData\Roaming\TS3Client
2010-08-04 23:42:33 ----D---- C:\Users\Milan\AppData\Roaming\Thunderbird
2010-08-04 23:42:33 ----D---- C:\Users\Milan\AppData\Roaming\Skype
2010-08-04 23:42:33 ----D---- C:\Users\Milan\AppData\Roaming\RapidGet
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\MakeUpPilot
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\KeePass
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\HLSW
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\Hamachi
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\gtk-2.0
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\GHISLER
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\dvdcss
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\DVD Flick
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\DeepBurner
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\DAEMON Tools
2010-08-04 23:42:32 ----D---- C:\Users\Milan\AppData\Roaming\BeautyPilot
2010-08-04 23:42:27 ----D---- C:\ProgramData\Xfire
2010-08-04 23:42:27 ----D---- C:\ProgramData\Ulead Systems
2010-08-04 23:42:27 ----D---- C:\ProgramData\Spybot - Search & Destroy
2010-08-04 23:42:27 ----D---- C:\Program Files\Microsoft Silverlight
2010-08-04 23:42:25 ----D---- C:\Program Files\Ant Movie Catalog
2010-08-04 23:42:05 ----D---- C:\Windows\registration
2010-08-04 23:41:58 ----D---- C:\Program Files\Internet Explorer
2010-08-04 21:23:37 ----SD---- C:\Windows\Downloaded Program Files
2010-08-04 20:56:53 ----D---- C:\Windows\Minidump
2010-08-04 18:43:25 ----D---- C:\Users\Milan\AppData\Roaming\skypePM
2010-08-04 18:26:38 ----D---- C:\ProgramData\Acronis
2010-08-03 21:08:37 ----D---- C:\downloads
2010-08-02 23:09:29 ----D---- C:\Windows\Debug
2010-08-01 23:22:21 ----A---- C:\Windows\system32\PnkBstrB.exe
2010-08-01 18:13:18 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-08-01 18:11:51 ----D---- C:\Program Files\Xfire
2010-07-31 10:22:11 ----D---- C:\Windows\system32\LogFiles
2010-07-30 11:29:20 ----D---- C:\Program Files\CDBurnerXP
2010-07-30 11:25:24 ----D---- C:\Program Files\CCleaner
2010-07-30 11:14:57 ----D---- C:\Users\Milan\AppData\Roaming\Ashampoo
2010-07-30 10:40:20 ----D---- C:\Program Files\QuickTime Alternative
2010-07-28 17:26:30 ----D---- C:\Program Files\Avidemux 2.5
2010-07-27 12:55:02 ----D---- C:\Program Files\Opera
2010-07-26 11:31:38 ----D---- C:\VueScan
2010-07-26 10:24:16 ----D---- C:\Users\Milan\AppData\Roaming\Mozilla
2010-07-23 15:06:04 ----D---- C:\Program Files\FastStone Image Viewer
2010-07-14 13:07:17 ----D---- C:\Program Files\Windows Mail
2010-07-14 12:57:00 ----D---- C:\Windows\system32\cs-CZ

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 AVG Anti-Rootkit;AVG Anti-Rootkit; C:\Windows\System32\DRIVERS\avgarkt.sys [2007-01-31 5632]
R0 hotcore3;hc3ServiceName; C:\Windows\system32\drivers\hotcore3.sys [2010-02-03 40560]
R0 snapman;Acronis Snapshots Manager; C:\Windows\system32\DRIVERS\snapman.sys [2010-04-14 129248]
R0 tdrpman;Acronis Try&Decide and Restore Points filter; C:\Windows\system32\DRIVERS\tdrpman.sys [2010-04-14 368480]
R0 timounter;Acronis True Image Backup Archive Explorer; C:\Windows\system32\DRIVERS\timntr.sys [2010-04-14 441760]
R1 Amfilter;A4Tech Mouse Filter Driver; C:\Windows\system32\DRIVERS\Amfilter.sys [2007-05-15 9216]
R1 aswRdr;aswRdr; C:\Windows\system32\drivers\aswRdr.sys [2010-06-28 23376]
R1 aswSP;aswSP; C:\Windows\system32\drivers\aswSP.sys [2010-06-28 165456]
R1 aswTdi;avast! Network Shield Support; C:\Windows\system32\drivers\aswTdi.sys [2010-06-28 46672]
R1 AvgArCln;Avg Anti-Rootkit Clean Driver; C:\Windows\System32\DRIVERS\AvgArCln.sys [2007-01-18 3968]
R1 cmdGuard;COMODO Internet Security Sandbox Driver; C:\Windows\System32\DRIVERS\cmdguard.sys [2010-04-22 218560]
R1 cmdHlp;COMODO Internet Security Helper Driver; C:\Windows\System32\DRIVERS\cmdhlp.sys [2010-04-22 30112]
R1 inspect;COMODO Internet Security Firewall Driver; C:\Windows\system32\DRIVERS\inspect.sys [2010-04-22 74408]
R1 Uim_IM;UIM Drive Backup Image Plugin; C:\Windows\System32\Drivers\Uim_IM.sys [2010-02-03 385544]
R1 UimBus;Universal Image Mounter Controller; C:\Windows\system32\DRIVERS\UimBus.sys [2010-02-03 34392]
R1 vmm;Virtual Machine Monitor; \??\C:\Windows\system32\Drivers\vmm.sys [2008-02-12 232472]
R2 aswFsBlk;aswFsBlk; C:\Windows\system32\drivers\aswFsBlk.sys [2010-06-28 17744]
R2 aswMonFlt;aswMonFlt; \??\C:\Windows\system32\drivers\aswMonFlt.sys [2010-06-28 50256]
R2 CX23880;WinFast CX2388x WDM Video Capture.; C:\Windows\system32\drivers\cx88vid.sys [2006-10-18 162944]
R2 CXAVXBAR;WinFast CX2388x WDM Crossbar.; C:\Windows\system32\drivers\cxavxbar.sys [2006-10-18 9728]
R2 CXTUNE;Conexant 2388x Tuner; C:\Windows\system32\drivers\CX88TUNE_IBV32.sys [2006-11-02 17664]
R2 irda;IrDA Protocol; C:\Windows\system32\DRIVERS\irda.sys [2008-01-21 95744]
R2 SSPORT;SSPORT; \??\C:\Windows\system32\Drivers\SSPORT.sys [2007-08-13 5120]
R2 tifsfilter;Acronis True Image FS Filter; C:\Windows\system32\DRIVERS\tifsfilt.sys [2010-04-14 44384]
R3 amdkmdag;amdkmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2010-05-27 5550592]
R3 amdkmdap;amdkmdap; C:\Windows\system32\DRIVERS\atikmpag.sys [2010-05-27 176128]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller; C:\Windows\system32\DRIVERS\l160x86.sys [2007-10-31 46592]
R3 AtiHdmiService;ATI Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\AtiHdmi.sys [2010-03-09 104464]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-05-10 1775712]
R3 MSPCLOCK;Server proxy hodin datových proudů Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
R3 MSPQM;Server proxy správce kvality datových proudů Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys [2006-10-18 7680]
R3 VPCNetS2;Virtual Machine Network Services Driver; C:\Windows\system32\DRIVERS\VMNetSrv.sys [2008-02-05 59960]
R3 VRVD302;VRVD302; C:\Windows\system32\DRIVERS\VRVD302.sys [2008-08-31 11296]
S2 DgiVecp;DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [2007-08-13 41984]
S3 Amusbprt;A4Tech HID-compliant Mouse Driver; C:\Windows\system32\DRIVERS\Amusbprt.sys [2007-05-15 14336]
S3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2010-05-27 5550592]
S3 CrystalSysInfo;CrystalSysInfo; \??\e:\Program Files\MediaCoder\SysInfo.sys []
S3 drmkaud;Dekodér zvuků DRM jádra společnosti Microsoft; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 ENTECH;ENTECH; \??\C:\Windows\system32\DRIVERS\ENTECH.sys [2008-05-29 27672]
S3 esihdrv;esihdrv; \??\C:\Users\Milan\AppData\Local\Temp\esihdrv.sys []
S3 hamachi;Hamachi Network Interface; C:\Windows\system32\DRIVERS\hamachi.sys [2008-11-11 25280]
S3 HdAudAddService;Ovladač funkce Microsoft 1.1 UAA pro službu zvuku High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2009-04-11 236544]
S3 MSKSSRV;Server proxy služby datových proudů Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSTEE;Konvertor jímka-jímka typu T datových proudů Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 PSI;PSI; C:\Windows\system32\DRIVERS\psi_mf.sys [2009-06-17 12648]
S3 pwdrvio;pwdrvio; \??\C:\Windows\system32\pwdrvio.sys [2009-12-21 16456]
S3 pwdspio;pwdspio; \??\C:\Windows\system32\pwdspio.sys [2009-12-21 11088]
S3 StarOpen;StarOpen; C:\Windows\system32\drivers\StarOpen.sys [2009-11-12 7168]
S3 STIrUsb;SigmaTel USB-IrDA Dongle; C:\Windows\system32\DRIVERS\irstusb.sys [2008-01-21 30208]
S3 usb_rndisx;Adaptér USB RNDIS; C:\Windows\system32\DRIVERS\usb8023x.sys [2009-04-11 15872]
S3 usbscan;Ovladač skeneru USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
S3 WINUSB;Ovladač WinUsb; C:\Windows\system32\DRIVERS\WinUSB.SYS [2009-04-11 31616]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2009-10-01 40448]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]
S4 sptd;sptd; C:\Windows\System32\Drivers\sptd.sys [2008-08-30 717296]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 ACDaemon;ArcSoft Connect Daemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [2008-07-03 109056]
R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe [2008-03-06 427288]
R2 AMD External Events Utility;AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [2010-05-27 172032]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-06-28 40384]
R2 BthServ;@%SystemRoot%\System32\bthserv.dll,-101; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 cmdAgent;COMODO Internet Security Helper Service; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [2010-04-22 1769216]
R2 Irmon;@%SystemRoot%\System32\irmon.dll,-2000; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 NMSAccess;NMSAccess; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2010-03-04 71096]
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2010-03-03 75064]
R2 RapiMgr;@%windir%\WindowsMobile\rapimgr.dll,-104; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 TryAndDecideService;Acronis Try And Decide Service; C:\Program Files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe [2008-03-06 495936]
R2 UleadBurningHelper;Ulead Burning Helper; C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe [2004-12-13 49152]
R2 WcesComm;@%windir%\WindowsMobile\wcescomm.dll,-40079; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-06-28 40384]
R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-06-28 40384]
S2 gupdate1c9de051e6229f3;Google Update Service (gupdate1c9de051e6229f3); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-05-26 133104]
S3 aspnet_state;Stavová služba ASP.NET; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2009-03-30 31048]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]

-----------------EOF-----------------


Pc si myslím pracuje dobře. To se nezměnilo. Ale ty kontroly mě ujistili, že je čisto. Moc dík

Jen bych chtěl upozornit na reklamu ve flash jako je ta na on-line hru Farma (farmář). Na Některých webech (asi nezabezpečených...) může způsobit problém.
Ikdyž k serfování používám Operu, něco spustilo proces iexplore.exe a ten se usadil a sám se spouštěl v procesech a stahoval a pouštěl zvuk z flash na onu hru (farmář).
Nic na netu jsem o pdobném problému jsem nenašel.
Přes combofix se opravil IE a chyba se ztratila.
Dle mého úsudku je chyba IE ve spojení Flashplayerem od Adobe. Ten přehrává daný kód. Proč to tak činí je záhadou a možná je to chyba ojedinělá (mého systému).
Prosím proto kdyby to mohl někdo prozkoumat.

PS: nekamenujte mě za mou troufalost.

[motji]

Tu reklamu na hru Farma - to dělal Mbr rootkit, kterého jste se stal vlastníkem a combofix to opravil.
Problém bude ve škodlivém kodu, který se asi stahl do Vašeho pc z infikovaných stránek.



spusťte přejmenované HJT C:\Program Files\trend micro\Milan.exe , má tuto ikonku

- Klikněte na "Do a system scan only"
- U řádku
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

- Dejte fajfku do čtverečku a zmáčkněte Fix checked
- restartujte pc


Tuto IP adresu znáte, máte ji ve smlouvě s providerem?
NameServer = 212.71.128.9


Otevřete si Poznámkový blok a zkopírujte do něj text

Kód: Vybrat vše

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=-


 

-uložte jako (typ: všechny soubory) kde za název souboru zadáte "smazani.reg" bez uvozovek,
klikněte na uložit, pak na soubor standardně 2X klikněte a potvrďte dialogové okno.


Můžete odinstalovat a smazat
C:\HxD.exe
C:\HxD.ini


smažte
C:\Windows\system32\Dvbpws.dll

AVG antirootkit odinstalujte

do příkazového řádku napište
sc stop esihdrv
enter
sc delete esihdrv
enter

[sunv]

Tak HJT provedeno, ale nevím teda jak se to dostalo zpět, to jsem totiž fixnul hned jako první než jsem pouštěl ten combofix.
A stou IP fakt nevím tu už jsem taky fixnul, ale musel jsem to vrátit protože to odpojí od sítě. Já patřím pod Prostějov.
Ta ip paří Českým Budějovicím?

[motji]

http://en.utrace.de/?query=212.71.128.9
To by mohlo patřit Vašemu providerovi

[sunv]

No to taky :
http://www.whatismyip.com/tools/ip-address-lookup.asp
http://www.whatismyip.com.np/whois.php? ... utput=nice



Naštěstí jsem to našel, konečně. Je to Náhradní server DNS : 212.71.128.9 u poskytovatele pro Prostějov (nový)
Bez googlení se už ani nevysmrkám...

[motji]

Jsou ještě nějaké problémy?

[sunv]

Jo a jinak mám vše hotovo, ještě vyhodim AVG je stejně staré, ale taky našlo rootkit (před použitím combofix).
Nějak mi to nedá s tím rootkitem, myslím že mohlo vytvořit TuneUP nebo EasyBCD a ta kontrola to havěť mohla označit. Přišlo se na to díky té patálii s Farmou, nebo ta mohla něco stáhnout... Nic podobného jsem na google nenašel.