VIRY.CZ

Ano, radeji je vypnete...

ComboFix 11-02-17.01 - mattey 17.02.2011 22:27:34.2.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2046.1420 [GMT 1:00]
Spuštěný z: c:\documents and settings\mattey\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\mattey\Plocha\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sunbelt Personal Firewall *Enabled* {BFD080F6-3BF0-40E1-9507-9CA969C35870}
* Vytvořen nový Bod Obnovení

FILE ::
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Data aplikací\eCpNcGe08513
c:\documents and settings\All Users\Data aplikací\eCpNcGe08513\eCpNcGe08513
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GUPDATE
-------\Service_gupdate

((((((((((((((((((((((((( Soubory vytvořené od 2011-01-17 do 2011-02-17 )))))))))))))))))))))))))))))))
.

2011-02-17 18:55 . 2011-02-17 18:56 -------- d-----w- C:\rsit
2011-02-17 18:55 . 2011-02-17 18:56 -------- d-----w- c:\program files\trend micro
2011-02-17 17:31 . 2011-02-17 17:31 -------- d-----w- c:\documents and settings\mattey\Data aplikací\Malwarebytes
2011-02-17 17:31 . 2011-02-17 17:31 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-02-17 17:31 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-17 17:31 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-17 17:31 . 2011-02-17 17:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-02-14 15:41 . 2011-02-14 15:41 -------- d-----w- c:\program files\Western Digital
2011-02-14 15:41 . 2009-02-13 10:02 11520 ----a-w- c:\windows\system32\drivers\wdcsam.sys
2011-02-14 15:40 . 2011-02-14 15:40 -------- d-----w- c:\documents and settings\mattey\Local Settings\Data aplikací\Western Digital

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-13 08:47 . 2010-08-30 07:59 38848 ----a-w- c:\windows\avastSS.scr
2011-01-13 08:47 . 2007-10-21 21:01 188216 ----a-w- c:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2008-04-09 21:56 294608 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2007-10-21 21:02 47440 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2007-10-21 21:01 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2007-10-21 21:01 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2007-10-21 21:02 23632 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2007-10-21 21:01 29392 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-01-13 08:37 . 2008-04-09 21:56 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-03-18 630784]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 16116224]
"nwiz"="nwiz.exe" [2006-03-17 1519616]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-17 7561216]
"NvMediaCenter"="NvMCTray.dll" [2006-03-17 86016]
"WheelMouse"="c:\program files\A4Tech\Mouse\Amoumain.exe" [2006-02-17 163840]
"MagicKey"="c:\progra~1\KLAVES~1\MEDIAK~1\MagicKey.exe" [2004-03-15 45056]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"CorelDRAW Graphics Suite 11b"="c:\program files\Corel\Corel Graphics 12\Languages\CZ\Programs\Registration.exe" [2004-06-22 729088]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1957888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\mattey\Nabˇdka Start\Programy\Po spuçtŘnˇ\

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-8-25 1205840]
TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2008-2-5 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXNhggh]
[BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet32]
[BU]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ICQ Service"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ZZZ_Gamesy\\OpenArena\\ioquake3.x86.exe"=
"c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"7785:TCP"= 7785:TCP:Services
"7786:TCP"= 7786:TCP:Services
"9396:TCP"= 9396:TCP:Services
"9397:TCP"= 9397:TCP:Services
"6036:TCP"= 6036:TCP:Services
"6037:TCP"= 6037:TCP:Services
"6442:TCP"= 6442:TCP:Services
"6443:TCP"= 6443:TCP:Services

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18.11.2007 21:23 685816]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [9.4.2008 22:56 294608]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [26.4.2007 10:21 302000]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [26.4.2007 10:21 72624]
R1 UGURU;UGURU;c:\windows\system32\drivers\uGuru.sys [10.10.2007 23:02 14592]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [9.4.2008 22:56 17744]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe [26.4.2007 10:21 1234480]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:\windows\system32\drivers\Amps2prt.sys [9.5.2006 9:27 13824]
R3 MouseCap;MouseCapture Driver;c:\windows\system32\drivers\MouseCap.sys [8.8.2005 13:44 6640]
S2 ELOADER;General Purpose USB Driver (adildr.sys);c:\windows\system32\drivers\adildr.sys [18.8.2008 20:48 56088]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [14.2.2011 16:41 11520]
S4 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [29.8.2008 16:26 222456]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
DPF: {0A6112F2-F9D1-4FBF-A6EC-B67B22915873}
FF - ProfilePath - c:\documents and settings\mattey\Data aplikací\Mozilla\Firefox\Profiles\oe4268xj.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.cz/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

BHO-{288A232E-4AC3-4EED-86D5-07CEB38B89A1} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-17 22:38
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3908)
c:\program files\RocketDock\RocketDock.dll
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSCS.DLL
c:\windows\system32\wpdshext.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\Audiodev.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system32\nvwddi.dll
c:\windows\system32\Amhooker.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Nero 7\InCD\InCDsrv.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\Tablet.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RunDLL32.exe
c:\windows\system32\rundll32.exe
c:\progra~1\KLAVES~1\MEDIAK~1\OSD.exe
c:\windows\ALCFDRTM.EXE
.
**************************************************************************
.
Celkový čas: 2011-02-17 22:44:26 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-02-17 21:44
ComboFix2.txt 2011-02-17 20:35

Před spuštěním: 1 721 815 040
Po spuštění: 1 704 054 784

- - End Of File - - 6CD85554ACC062F691F8F182CBEF34B9

Stahnete OTM (viz muj podpis)

Pokud pouzivate Win Vista ci W7, kliknete na OTM pravym a dejte Run As Administrator ci Spustit jako spravce
Do leveho okna Paste Instructions for Items to be Moved (pod zlutou caru) vlozte obsah, ktery mate nize

Kód: Vybrat vše

:commands
[RESETHOSTS]
[EMPTYTEMP]
[EMPTYFLASH]
[CREATERESTOREPOINT]

:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):"msv1_0"

:files
C:\WINDOWS\system32\qoMdbabc.*
C:\WINDOWS\system32\qoMdbabc
%windir%\system32\*.tmp.dll /s
%windir%\system32\SET*.tmp /s
%windir%\*.tmp /s

Kliknete na cervene tlacitko MoveIt!
Budete vyzvani na restart, dejte Yes, log pote najdete C:\_OTM\MovedFiles, obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

All processes killed
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: mattey
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5941534 bytes
->Java cache emptied: 59025941 bytes
->FireFox cache emptied: 161734714 bytes
->Flash cache emptied: 502830 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2148726 bytes
%systemroot%\System32 .tmp files removed: 4370888 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 13824 bytes
Windows Temp folder emptied: 159647 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 223,00 mb

Restore point Set: OTM Restore Point (0)
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa\\"Authentication Packages"|hex(7):"msv1_0" /E : value set successfully!
========== FILES ==========
File/Folder C:\WINDOWS\system32\qoMdbabc.* not found.
File/Folder C:\WINDOWS\system32\qoMdbabc not found.
File/Folder C:\WINDOWS\system32\*.tmp.dll not found.
File/Folder C:\WINDOWS\system32\SET*.tmp not found.
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP10.tmp folder moved successfully.
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP156.tmp folder moved successfully.
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP1D4.tmp folder moved successfully.
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP24C.tmp folder moved successfully.
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP2B4.tmp folder moved successfully.
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP2E5.tmp folder moved successfully.
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP314.tmp folder moved successfully.
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP3C.tmp folder moved successfully.
C:\WINDOWS\Installer\MSI3.tmp moved successfully.
C:\WINDOWS\Installer\MSI6.tmp moved successfully.
C:\WINDOWS\Installer\MSI8.tmp moved successfully.
C:\WINDOWS\Installer\MSI81.tmp moved successfully.
C:\WINDOWS\Installer\MSIC.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\0ef983140dac4bebf959fd55dec28b84\BIT6.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\19702c1d3c6273fda6f68e38e255f329\BIT7.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\444b99ae36ca4f43fa1c780e7bd0fc15\BIT3.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\51c1957c3925de225dd9960fc74fb074\BIT5.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\daf6462a9e66fc383a4d4a0ae0f63852\BIT4.tmp moved successfully.

OTM by OldTimer - Version 3.1.17.2 log created on 02172011_230403

Files moved on Reboot...
File C:\Documents and Settings\mattey\Local Settings\Temp\IMG4.tmp not found!
File move failed. C:\WINDOWS\temp\3c88eb52 scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\e344e11f scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Při restartování se to zaseklo na vypínání Windows. Trvalo to strašně dlouho, tak jsem PC natvrdo resetoval. Potom to naběhlo normálně. Zatím jsem neověřil, jestli se bude problém s vypínáním opakovat.
A na ploše se mi objevil nový soubor Thumbs.db, který tam předtím nebyl - to ale asi nebude důležité... Možná to souvisí s tím ,že na plochu ukládám všechny ty logy.

Ten tam nechte, OTM jej odryl, pak zmizi az pouklize po utilitach...

Ze zacatku jsme delali SystemLook - jeste jeden skript pro nej - log pak sem

Kód: Vybrat vše

:filefind
*qoMdbabc*.*

:regfind
*qoMdbabc*

:folderfind
*qoMdbabc*

Zkuste znovu restart ci se bude problem opakovat

Ja pro dnesek koncim - pokracovani zitra - dekuji za pochopeni

Problém s vypínáním Windows podruhé nenastal.

SystemLook mi teď vždycky spadne - viz hlášku:
V aplikaci SystemLook.exe došlo k problému a je třeba ji zavřít. Omlouváme se za vzniklé potíže.

Ještě jeden problém: touhle dobou mi večer občas vypadne net. Osobně nemám jak to nahodit a musím případně počkat do dalšího dne (složitá situace). Kdyby se to náhodou stalo, najdu Vás tu zítra odpoledne?

ok, plně chápu:-)
Díky moc a dobrou noc.

Ja tu dneska budu asi az vecer...Zkuste kontaktovat providera netu, ze mate problemy se stabilitou, havet by v PC jiz byt nemela.

Odinstalujte Combofix

Start - Spustit (nebo pouzijte klavesobou zkratku Win+R)
Napiste ComboFix /Uninstall
Stisknete Enter
Tohle smaze Combofix a jeho slozky

T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe

Stahnete a spustte
Pro potvrzeni volby mackejte A, Enter
Po pouziti utilitu smazte
Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

OTC http://oldtimer.geekstogo.com/OTC.exe

Stahnete a spustte
Kliknete na CleanUp a potvrdte YES
Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

Stahnete a spustte
Kliknete na Start a potvrdte OK
Program uklidi a restartuje pc
Po pouziti utilitu smazte

Stahnete Ccleaner (viz muj podpis)
Panel čistič

Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

dejte Hledej problémy
nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za 14 dni

Dejte novy log z RSIT

Postupoval jsem podle návodu, mám pár dotazů a informací:

Odinstalovala se s ComboFixem i Konzola pro zotavení? Nevím přesně k čemu slouží, takže ji asi nebudu používat. A tak ji myslím ani nemusím mít v počítači.

Program OTC se po skončení vymazal sám?

Po spuštění TFC při restartu se opět zasekly Windows při vypínání. Restartoval jsem natvrdo. Pro jistotu jsem TFC spustil ještě jednou. Problém se opakoval. Samotný program ale snad proběhnul úspěšně. Na zkoušku jsem to restartoval jen tak a bylo to bez problému. Takže problém s vypínáním nastává asi jen po určitých programech, což není tak hrozné. Běžně se mi to nestává, tak snad to bude tak i nadále.

CCleaner

panel čistič
- dal jsem to Analyzovat
- mezi soubory k vymazání to našlo mj. Adobe reader 8.0, Media Player Classic, Winamp a SpyBot Search and Destroy. Ten Reader je asi starý, ale ostatní bych si radši nechal. Radši jsem tedy nespustil Cleaner. Co byste mi prosím poradil?

panel registry
- dal jsem Hledat problémy
- Některé nalezené problémy se mi nelíbí. Např. mezi nepoužívanými koncovkami souborů jsou takové , které přímo neotvírám jako uživatel , ale určitě je běžně otvírají programy, které používám. Např. koncovky .sub, .bak. U těchto dvou to vím na 100%, ale takových ovšem může být i víc. A potom jsou tam i třeba .php a .xvid. Co se stane když dám tyto problémy opravit?
Co znamená zastaralý klíč k softwaru? Je to napsané např u programu Wakan. Ten je už starší (jeho vývoj byl ukončen), ale stále jej občas využívám. Můžu dát některé problémy ignorovat - aby je to příště nenašlo?
- zatím jsem nic nedal Opravit

Současný log z RSIT:

Logfile of random's system information tool 1.08 (written by random/random)
Run by mattey at 2011-02-18 18:13:24
Systém Microsoft Windows XP Professional Service Pack 3
System drive C: has 6 GB (8%) free of 76 GB
Total RAM: 2046 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:13:32, on 18.2.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\KLAVES~1\MEDIAK~1\MagicKey.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\KLAVES~1\MEDIAK~1\OSD.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\mattey\Plocha\RSIT.exe
C:\Program Files\trend micro\mattey.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ˙ţ127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {288A232E-4AC3-4EED-86D5-07CEB38B89A1} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [MagicKey] C:\PROGRA~1\KLAVES~1\MEDIAK~1\MagicKey.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\CZ\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=030211 serial=DR12CRS-1856478-QKB lang=CZ
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0A6112F2-F9D1-4FBF-A6EC-B67B22915873} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: byXNhggh - Invalid registry found
O20 - Winlogon Notify: cryptnet32 - Invalid registry found
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 8379 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{288A232E-4AC3-4EED-86D5-07CEB38B89A1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-03-09 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-03-09 79648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll [2008-06-12 958712]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-01-30 16116224]
"nwiz"=nwiz.exe /installquiet []
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-03-17 7561216]
"NvMediaCenter"=NvMCTray.dll,NvTaskbarInit []
"WheelMouse"=C:\Program Files\A4Tech\Mouse\Amoumain.exe [2006-02-17 163840]
"MagicKey"=C:\PROGRA~1\KLAVES~1\MEDIAK~1\MagicKey.exe [2004-03-15 45056]
"SmartSync - ScheduleSync"=C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE [2005-10-21 45056]
"ISUSPM Startup"=C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe [2004-06-16 221184]
"ISUSScheduler"=C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe [2004-06-16 81920]
"CorelDRAW Graphics Suite 11b"=C:\Program Files\Corel\Corel Graphics 12\Languages\CZ\Programs\Registration.exe [2004-06-23 729088]
"JMB36X IDE Setup"=C:\WINDOWS\RaidTool\xInsIDE.exe [2007-03-20 36864]
"36X Raid Configurer"=C:\WINDOWS\system32\xRaidSetup.exe [2007-05-25 1957888]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"=C:\Program Files\RocketDock\RocketDock.exe [2007-03-18 630784]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ICQ Service"=2

C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe

C:\Documents and Settings\mattey\Nabídka Start\Programy\Po spuštění

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byXNhggh]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=1
"NoDriveAutoRun"=67108863
"NoDriveTypeAutoRun"=323
"NoDrives"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe"="C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI"
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\Program Files\totalcmd\TOTALCMD.EXE"="C:\Program Files\totalcmd\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\Program Files\ICQ6\ICQ.exe"="C:\Program Files\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\ZZZ_Gamesy\OpenArena\ioquake3.x86.exe"="C:\Program Files\ZZZ_Gamesy\OpenArena\ioquake3.x86.exe:*:Enabled:ioquake3.x86"
"C:\Program Files\Google\Google Earth\plugin\geplugin.exe"="C:\Program Files\Google\Google Earth\plugin\geplugin.exe:*:Enabled:Google Earth"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======File associations======

.scr - open - "C:\WINDOWS\notepad.exe" "%1"
.scr - install -
.scr - config -

======List of files/folders created in the last 1 months======

2011-02-18 18:13:24 ----D---- C:\rsit
2011-02-18 17:38:08 ----D---- C:\Program Files\CCleaner
2011-02-17 23:04:35 ----SHD---- C:\RECYCLER
2011-02-17 21:16:44 ----A---- C:\Boot.bak
2011-02-17 21:16:36 ----RASHD---- C:\cmdcons
2011-02-17 19:55:47 ----D---- C:\Program Files\trend micro
2011-02-17 18:31:13 ----D---- C:\Documents and Settings\mattey\Data aplikací\Malwarebytes
2011-02-17 18:31:04 ----D---- C:\Documents and Settings\All Users\Data aplikací\Malwarebytes
2011-02-17 18:31:04 ----A---- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011-02-17 18:31:01 ----A---- C:\WINDOWS\system32\drivers\mbam.sys
2011-02-17 18:31:00 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2011-02-17 17:54:53 ----D---- C:\WINDOWS\CSC
2011-02-16 19:06:36 ----A---- C:\WINDOWS\ntbtlog.txt
2011-02-14 16:41:19 ----D---- C:\Program Files\Western Digital
2011-02-14 16:41:19 ----A---- C:\WINDOWS\system32\drivers\wdcsam.sys

======List of files/folders modified in the last 1 months======

2011-02-18 18:13:20 ----D---- C:\WINDOWS\Prefetch
2011-02-18 17:38:08 ----D---- C:\Program Files
2011-02-18 17:17:58 ----D---- C:\WINDOWS\Temp
2011-02-18 17:06:56 ----D---- C:\WINDOWS\system32\CatRoot2
2011-02-18 17:05:34 ----D---- C:\WINDOWS\system32
2011-02-18 17:01:51 ----A---- C:\WINDOWS\SchedLgU.Txt
2011-02-18 16:19:15 ----SHD---- C:\System Volume Information
2011-02-18 16:19:15 ----D---- C:\WINDOWS\system32\Restore
2011-02-18 16:14:59 ----D---- C:\WINDOWS\Minidump
2011-02-18 16:14:20 ----D---- C:\WINDOWS
2011-02-18 16:09:02 ----D---- C:\WINDOWS\system32\drivers
2011-02-17 23:04:47 ----SHD---- C:\WINDOWS\Installer
2011-02-17 23:04:04 ----D---- C:\WINDOWS\system32\drivers\etc
2011-02-17 22:37:10 ----A---- C:\WINDOWS\system.ini
2011-02-17 22:34:47 ----D---- C:\WINDOWS\system32\config
2011-02-17 22:33:32 ----SD---- C:\WINDOWS\Tasks
2011-02-17 22:31:44 ----D---- C:\WINDOWS\AppPatch
2011-02-17 22:31:42 ----D---- C:\Program Files\Common Files
2011-02-17 21:16:44 ----RASH---- C:\boot.ini
2011-02-17 20:49:27 ----D---- C:\Program Files\Mozilla Firefox
2011-02-17 17:51:29 ----A---- C:\WINDOWS\win.ini
2011-02-16 22:09:09 ----A---- C:\WINDOWS\NeroDigital.ini
2011-02-14 16:41:23 ----D---- C:\Config.Msi
2011-02-14 16:41:19 ----HD---- C:\WINDOWS\inf
2011-02-14 16:41:19 ----DC---- C:\WINDOWS\system32\DRVSTORE
2011-02-14 15:09:04 ----HD---- C:\WINDOWS\$hf_mig$
2011-02-05 03:20:36 ----D---- C:\Documents and Settings\mattey\Data aplikací\Skype
2011-02-05 00:05:51 ----D---- C:\Documents and Settings\mattey\Data aplikací\skypePM
2011-02-01 18:47:25 ----D---- C:\Documents and Settings\mattey\Data aplikací\OpenOffice.org2
2011-01-22 18:01:53 ----A---- C:\WINDOWS\system32\MRT.exe
2011-01-22 18:01:46 ----RSHDC---- C:\WINDOWS\system32\dllcache
2011-01-22 18:01:42 ----HDC---- C:\WINDOWS\$NtUninstallKB2419632$

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 JRAID;JRAID; C:\WINDOWS\system32\DRIVERS\jraid.sys [2007-05-24 49920]
R0 ohci1394;Hostitelský řadič IEEE 1394 dle standardu OHCI Texas Instruments; C:\WINDOWS\system32\DRIVERS\ohci1394.sys [2008-04-13 61696]
R0 PenClass;Pen Class; C:\WINDOWS\system32\Drivers\PenClass.sys [2001-04-09 8138]
R0 PxHelp20;PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys [2007-03-08 43528]
R0 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys [2007-11-18 685816]
R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2011-01-13 29392]
R1 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2011-01-13 23632]
R1 aswSP;aswSP; C:\WINDOWS\system32\drivers\aswSP.sys [2011-01-13 294608]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2011-01-13 47440]
R1 fwdrv;Firewall Driver; C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 302000]
R1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys [2006-11-10 31360]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys [2006-11-10 33792]
R1 intelppm;Řadič procesoru Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40192]
R1 kbdhid;Ovladač klávesnice standardu HID; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14592]
R1 khips;Kerio HIPS Driver; C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 72624]
R1 UGURU;UGURU; C:\WINDOWS\system32\drivers\uGuru.sys [2006-05-03 14592]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\drivers\aswFsBlk.sys [2011-01-13 17744]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2011-01-13 100176]
R2 irda;Protokol IrDA; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver; C:\WINDOWS\system32\DRIVERS\Amps2prt.sys [2006-05-09 13824]
R3 HDAudBus;Ovladač Microsoft UAA pro sběrnici High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Ovladač třídy standardu HID; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-01-30 4474368]
R3 MouseCap;MouseCapture Driver; C:\WINDOWS\System32\Drivers\MouseCap.sys [2005-08-08 6640]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-03-17 3655712]
R3 Rasirda;WAN Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2006-03-02 5888]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-12-14 85120]
R3 usbccgp;Obecný nadřazený ovladač Microsoft USB; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbuhci;Ovladač Microsoft univerzálního hostitelského řadiče USB od společnosti Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 vsbus;Virtual Serial Bus Enumerator; C:\WINDOWS\system32\DRIVERS\vsb.sys [2005-11-30 15264]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys [2006-11-10 102912]
S2 ELOADER;General Purpose USB Driver (adildr.sys); C:\WINDOWS\System32\Drivers\adildr.sys [2007-02-07 56088]
S3 actser;actser; C:\WINDOWS\system32\drivers\actser.sys [2005-11-30 29440]
S3 adiusbaw;USB ADSL WAN Adapter; C:\WINDOWS\system32\DRIVERS\adiusbaw.sys [2007-02-07 118552]
S3 an5d1ib8;an5d1ib8; C:\WINDOWS\system32\drivers\an5d1ib8.sys []
S3 Arp1394;Protokol 1394 ARP Client; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 Memctl;Memctl; \??\C:\Program Files\U-ABIT\FlashMenu\Memctl.sys []
S3 Moufiltr;Mouse Test Driver; C:\WINDOWS\system32\DRIVERS\Moufiltr.sys [2005-08-06 9661]
S3 mouhid;Ovladač myši standardu HID; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-24 12160]
S3 MSIRCOMM;Microsoft IR Communications Driver; C:\WINDOWS\system32\DRIVERS\MSIRCOMM.sys [2008-04-13 22016]
S3 NIC1394;1394 Net Driver; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 STIrUsb;SigmaTel USB-IrDA Dongle; C:\WINDOWS\system32\DRIVERS\irstusb.sys [2001-08-17 26624]
S3 usbscan;Ovladač skeneru USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 vserial;ELTIMA Virtual Serial Ports Driver; C:\WINDOWS\System32\DRIVERS\vserial.sys [2005-11-30 47744]
S3 WDC_SAM;WD SCSI Pass Thru driver; C:\WINDOWS\system32\DRIVERS\wdcsam.sys [2009-02-13 11520]
S3 Winflash;WINFLASH; \??\C:\Program Files\U-ABIT\FlashMenu\WinFlash.sys []
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aawservice;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-07-07 611664]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2011-01-13 40384]
R2 InCDsrv;InCD Helper; C:\Program Files\Nero 7\InCD\InCDsrv.exe [2006-11-10 859136]
R2 Irmon;Sledování infračerveného přenosu; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2010-03-09 153376]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2006-10-19 61440]
R2 SPF4;Sunbelt Personal Firewall 4; C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe [2007-04-26 1234480]
R2 TabletService;TabletService; C:\WINDOWS\system32\Tablet.exe [2005-10-19 749568]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-03-17 143426]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2006-12-23 262144]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 ICQ Service;ICQ Service; C:\Program Files\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Omlouvam se za zdrzeni

Konzola pro zotaveni Vam tam zustala - projevuje se tak ze na 2 vteriny pri spusteni PC naskoci tabulka jetsli chcete spustit Konzolu nebo Windows, pokud nic nedate, spustite se automaticky windows. Ja bych ji tam nechal, da se pouzit pokud je PC hodne nakazeno nebo spadne system.

Odinstalujte ICQ Toolbar

TFC takhle bohuzel obcas blbne

OTC - uklidilo po pouzitych utilitach a pak smazlo i samo sebe

CCleaner

Ja jej pouzivam uz nekolik lep a zatim jsem s nim zcela spokojen, stejne jako kolegove
Panel cistic
- To co Vam vypsal jsou jen docasne soubory a temp soubory
- V zadnem pripade nemaze nejake dokumenty apod
Panel registry
- Ztaim se mi nestalo ze by CCleaner smazal nejaky potrebny klic v registru
- Maze jen nepotrebne ci nepouzivane klice
- Navic vytvari jejich zalohu, takze neni problem je v pripade nutnosti obnovit
Pouzil bych CCleaener v jeho vychozim nastaveni tak jak je, jak jsem psal, zatim se mi nestalo ze by mi neco "pokazil"

Doporucuji odinstalovat Spybot - Search & Destroy a taktez Ad-Aware- programy maji uz nejlepsi leta davno za sebou a posledni cca 3 roky nejsou schopny celit aktualnim hrozbam

Vhodni nahradnici:
- Spyware Terminator - info o nem http://www.viry.cz/forum/viewtopic.php?f=29&t=44730
- SuperAntiSpyare - info o nem http://www.viry.cz/forum/viewtopic.php?f=29&t=51359
Samozrejme pouzivejte jen jeden z nich
Osobne doporucuji SuperAntiSpyware

Otevrete si poznamkovy blok

Start->spustit->notepad
Vlozte text nize

Kód: Vybrat vše

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byXNhggh]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{855F3B16-6D32-4fe6-8A56-BBB695989046}"=-

Soubor ulozte jako oprava.reg
Pri ukladani dejte ulozit jako typ Vsechny soubory (nastevni je uvedeno na obrazku nize)
Zavrit notepad a spustit dvojklikem oprava.reg
Pripadny dotaz na zmenu registru potvrdte
Okno jen problikne a opravi regsitry - soubor muzete smazat

Zdržení nevadí

Provedení Vašich posledních instrukcí mi zabralo dost času (odinstaloval jsem taky pár zbytečností atd.), tak píšu taky se zpožděním. Bezprostřední hrozba je nejspíš zažehnána. Jsem rád, že mi pomáháte ještě doladit detaily, na čase mi už tolik nesejde.

Ta konzola pro zotavení problikne asi moc rychle. Něco nového jsem při spouštění zaregistroval, ale nestihnu skoro nic přečíst a už je to běží dál. Netrvá to ani celou vteřinu. Nepovedlo se mi vygooglit, jak ta úvodní obrazovka konzoly vypadá (nebo jsem to na těch stránkách možná nepochopil), tak ani nevím jestli je to ono. Jde to zastavit, když zmáčknu Pause na klávesnici? (Radši jsem to nezkoušel.) Ne, že bych se v tom chtěl hrabat. Ale když už tam ta konzola je, tak ať ji umím aspoň zapnout, kdyby bylo potřeba.

ICQ už delší čas nepoužívám. ICQ Toolbar je po pravdě jedna z nejotravnjších věcí na ICQ. Jen mě nikdy nenapadlo :-/ že je to samostatná aplikace a dá se odinstalovat nezávisle.
Odinstaloval jsem ICQ Toolbar i ICQ v CCleaneru. Nejdřív jsem dal Spustit odinstalování, proběhla klasická odinstalace. ICQ samotné tam ale zůstalo. Znovu odinstalovat to nešlo, tak jsem to dal Vymazat.

CCleaner
Dal jsem na Vás, to co píšete jsou celkem dobré reference. Položky k opravení, které se mi předtím nezdály, nebyly nic vážného. Jejich oprava nic nepoškodila, což jsem si ověřil - vše funguje, jak má.

Spybot-S&D a Ad-Aware - mám je něco přes tři roky, takže jste to celkem vystihnul;-) Měl jsem v plánu se na lepší alternativu zeptat, takže díky za radu. Nainstaloval jsem si nejdřív Spyware Terminator, protože má ve free verzi průběžnou ochranu. Ale pár věcí se mi na tom nelíbilo, tak jsem to odinstaloval a zkusil SUPERAntiSpyware. Pracuje se mi s ním lépe. Až budu mít přebytečnou pětistovku, koupím asi plnou verzi.

Oprava registru
Trochu mě překvapilo, že je v tom kódu Windows NT. Pro jistotu jsem před spuštěním vytvořil bod obnovení. Žádné problémy nenastaly.

Ta obrazovka vypada nejak takto - akorat misto Ubuntu je tam Recovery Console - da se tam dostat pokud po startu budete mackat sipku dolu
Obrázek

Ja taky radeji mam SuperAntiSpyware - pokud byste Terminatora pouzival tak by stejne bylo potreba rezidentni stit (ochranu v realnem case) vypnout, jelikoz by mohlo dochazet ke kolizi s antivirem...

PC je tedy jinak v poradku

VIRY.CZ

trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů

Re: trojan System Tool - prosím o kontrolu logů