VIRY.CZ

Prosím o kontrolu logu z ComboFix. Počítač se samovolně restartuje při zatížení (vypalování dvd, SolidWorks apod.). Díky.

ComboFix 11-11-22.03 - Michael 27.11.2011 13:39:07.1.4 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3326.2827 [GMT 1:00]
Spuštěný z: c:\documents and settings\Michael\Plocha\ComboFix.exe
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\iun6002.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\_000115_.tmp.dll
c:\windows\system32\TZLog.log
c:\windows\system32\WinSys.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-10-27 do 2011-11-27 )))))))))))))))))))))))))))))))
.
.
2011-11-26 22:20 . 2011-11-26 22:20 -------- d-----w- c:\documents and settings\Michael\Local Settings\Data aplikací\OCCT
2011-11-22 17:29 . 2011-11-22 17:30 -------- d-----w- c:\windows\system32\NtmsData
2011-11-21 16:41 . 2011-11-21 16:41 -------- d-----w- c:\documents and settings\All Users\Data aplikací\nView_Profiles
2011-11-15 16:44 . 2011-07-15 13:29 456320 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2011-11-15 16:14 . 2009-11-27 16:09 48128 -c----w- c:\windows\system32\dllcache\iyuv_32.dll
2011-11-15 16:14 . 2009-11-27 16:09 8704 -c----w- c:\windows\system32\dllcache\tsbyuv.dll
2011-11-15 16:14 . 2009-11-27 17:14 17920 -c----w- c:\windows\system32\dllcache\msyuv.dll
2011-11-15 16:08 . 2010-12-09 15:14 2194944 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2011-11-15 16:07 . 2010-12-09 15:14 2029056 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2011-11-15 16:07 . 2010-12-09 15:14 2150912 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2011-11-15 16:05 . 2008-06-14 17:35 272128 -c----w- c:\windows\system32\dllcache\bthport.sys
2011-11-15 16:05 . 2008-06-14 17:35 272128 ------w- c:\windows\system32\drivers\bthport.sys
2011-11-15 16:05 . 2011-11-15 16:51 -------- d--h--w- c:\windows\$hf_mig$
2011-11-15 16:05 . 2011-11-15 16:05 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2011-11-15 16:00 . 2011-11-15 16:00 -------- d-----w- c:\windows\$968930Uinstall_KB968930$
2011-11-15 16:00 . 2011-11-15 16:00 -------- d-----w- c:\windows\system32\winrm
2011-11-15 16:00 . 2011-11-15 16:00 -------- d-----w- c:\windows\system32\GroupPolicy
2011-11-15 15:49 . 2009-08-06 18:24 22232 ----a-w- c:\windows\system32\wucltui.dll.mui
2011-11-15 15:49 . 2009-08-06 18:24 44768 ----a-w- c:\windows\system32\wups2.dll
2011-11-15 15:49 . 2009-08-06 18:24 18136 ----a-w- c:\windows\system32\wuaueng.dll.mui
2011-11-15 15:49 . 2009-08-06 18:24 15072 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2011-11-15 15:49 . 2009-08-06 18:24 15072 ----a-w- c:\windows\system32\wuapi.dll.mui
2011-11-11 16:15 . 2011-11-11 16:17 -------- d-----w- c:\documents and settings\Michael\Local Settings\Data aplikací\Adobe
2011-11-06 21:53 . 2011-11-06 21:53 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-11-06 20:52 . 2011-11-06 20:52 -------- d-----w- c:\windows\system32\AGEIA
2011-11-06 20:52 . 2011-11-06 20:52 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2011-11-06 20:52 . 2011-11-06 20:54 -------- d-----w- c:\windows\NV21082112.TMP
2011-11-06 20:51 . 2011-11-06 20:51 -------- d-----w- C:\NVIDIA
2011-11-06 13:55 . 2011-11-06 13:55 -------- d-----w- c:\documents and settings\Michael\Local Settings\Data aplikací\DassaultSystemes
2011-11-06 13:55 . 2011-11-06 13:55 -------- d-----w- c:\documents and settings\Michael\Data aplikací\DassaultSystemes
2011-11-06 13:55 . 2011-11-06 13:55 -------- d-----w- c:\documents and settings\All Users\Data aplikací\DassaultSystemes
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-26 21:52 . 2011-09-16 17:06 16608 ----a-w- c:\windows\gdrv.sys
2011-10-10 14:22 . 2011-09-16 16:50 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-09-17 15:51 . 2011-09-17 15:51 436792 ----a-w- c:\windows\system32\drivers\sptd.sys
2011-09-16 17:06 . 2011-09-16 17:06 315392 ----a-w- c:\windows\HideWin.exe
2011-09-06 14:10 . 2008-04-14 12:00 1858944 ----a-w- c:\windows\system32\win32k.sys
2011-09-05 13:56 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2011-09-05 13:56 . 2008-04-14 12:00 668160 ----a-w- c:\windows\system32\wininet.dll
2011-09-05 13:56 . 2008-04-14 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2011-09-05 13:55 . 2008-04-14 12:00 370176 ----a-w- c:\windows\system32\html.iec
2011-08-31 15:00 . 2011-09-17 15:48 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2010-08-23 . 8A72A30FDC803DC06755D3B36D966F31 . 1054208 . . [6.0] . . c:\windows\WinSxS\InstallTemp\9760217\comctl32.dll
[-] 2010-08-23 . 0A3195A99FD4732C7FE203E6A747EB66 . 617472 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2010-08-23 . 0A3195A99FD4732C7FE203E6A747EB66 . 617472 . . [5.82] . . c:\windows\system32\dllcache\comctl32.dll
[-] 2010-08-23 . EC452209C9E3F9CA04EDFAEABAFF1CC0 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
[7] 2008-04-14 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
[7] 2008-04-14 . D7B7AE36A2EBA312AC4B53862019B3F5 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
.
[-] 2010-07-15 . 00CF8BC36A9BCC69737F06F5D1292C47 . 406016 . . [1.0420.2600.5969] . . c:\windows\$hf_mig$\KB981322\SP3QFE\usp10.dll
[-] 2010-07-15 . 9DE3DC38C66D5229FF720A7D9D78A0DE . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\usp10.dll
[-] 2010-07-15 . 9DE3DC38C66D5229FF720A7D9D78A0DE . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\dllcache\usp10.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="=" [X]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"nwiz"="nwiz.exe" [2009-01-15 1657376]
"WinSys2"="c:\windows\system32\winsys2.exe" [2007-10-30 208896]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 16860672]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2010-08-20 11:03 33120 ----a-w- c:\program files\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2009-06-17 10:13 2363392 ----a-w- c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Companion]
2009-06-18 08:04 772096 ----a-w- c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Vzdálená správa systému Windows
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17.9.2011 16:51 436792]
S3 CoordinatorServiceHost;SW Distributed TS Coordinator Service;h:\solid\SolidWorks\swScheduler\DTSCoordinatorService.exe [15.10.2009 5:51 87336]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [28.9.2011 2:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [28.9.2011 2:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [28.9.2011 2:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [28.9.2011 2:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [28.9.2011 2:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [28.9.2011 2:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [28.9.2011 2:24 109864]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\i:\ntglm7x.sys --> i:\NTGLM7X.sys [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [14.4.2008 13:00 14336]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [23.9.2005 6:01 2799808]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-06-17 10:11 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
.
------- Doplňkový sken -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.avast.com/go.php?verb=uninstall&lang=cze&prod=free
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Cool's_Codec_pack_4.12 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-27 13:42
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Celkový čas: 2011-11-27 13:44:38
ComboFix-quarantined-files.txt 2011-11-27 12:44
.
Před spuštěním: Volných bajtů: 54 198 358 016
Po spuštění: Volných bajtů: 68 464 476 160
.
- - End Of File - - 306E0E4FC55A5C4820F1F0AE83F9C87B

Dobrý den

Nebezpeči Combofixu

Program je primárně určený pro rádce,takže svévolným použitím ztrácíte nárok na pomoc
Maže stopy po veškeré havěti,takže když ho použijete sami,tak v RSITU nic nejde vidět
Výsledný log je potřeba doluštit a dočistit,protože Combofix neumí mazat vše
Combofix může mít chybu,zboří vám systém a pokud nevíte,kam ukládá své zálohy a jak je obnovit,tak vás čeká reinstall systému
Combofix nekontroluje důležité knihovny(například hall.dll)

Otevřeme si Poznámkový blok Obrázek

(stiskneme klávesovou kombinaci WIN+R a napíšeme ,,notepad,, bez úvozovek a dáme enter)

Vložíme do něj následující script:

Kód: Vybrat vše


Collect::
c:\windows\system32\winsys2.exe

DDS::
uInternet Connection Wizard,ShellNext = hxxp://www.avast.com/go.php?verb=uninst ... &prod=free

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"=-
"WinSys2"=-
"NvMediaCenter"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Companion]

Restore::
c:\windows\system32\comctl32.dll
c:\windows\system32\usp10.dll

File::
c:\windows\HideWin.exe

Folder::
c:\windows\NV21082112.TMP

Reboot::

Soubor uložíme na Plochu jako CFScript.txt
Poté tento soubor uchopíme levým tlačítkem myši a přetáhneme na ikonu Combofixu a upustíme
Poté Combofix provede všechny operace a udělá nový log,který sem vložte

Může se stát,že po aplikaci scriptu nenaběhne Windows běžným způsobem.V tomto případě restartujte počítač a při startu mačkejte F8 a zvolte možnost Poslední známá funkční konfigurace

Snad jsem nic nezkazil

ComboFix 11-11-22.03 - Michael 27.11.2011 20:30:39.2.4 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3326.2786 [GMT 1:00]
Spuštěný z: c:\documents and settings\Michael\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Michael\Plocha\CFScript.txt
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
FILE ::
"c:\windows\HideWin.exe"
.
file zipped: c:\windows\system32\winsys2.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\HideWin.exe
c:\windows\NV21082112.TMP
c:\windows\NV21082112.TMP\nv3d.chm
c:\windows\NV21082112.TMP\nvcpl.chm
c:\windows\NV21082112.TMP\nvdsp.chm
c:\windows\NV21082112.TMP\nvmob.chm
c:\windows\system32\winsys2.exe
.
Nakažená kopie c:\windows\system32\comctl32.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\WinSxS\InstallTemp\9760217\comctl32.dll
.
c:\windows\system32\usp10.dll . . . je infikován!!
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-10-27 do 2011-11-27 )))))))))))))))))))))))))))))))
.
.
2011-11-27 18:49 . 2011-11-27 19:33 -------- d-----w- c:\windows\SxsCaPendDel
2011-11-27 13:42 . 2011-11-27 13:44 -------- d-----w- C:\$WIN_NT$.~BT
2011-11-27 12:54 . 2011-11-27 12:54 -------- d-----w- c:\documents and settings\Michael\Local Settings\Data aplikací\Microsoft_Corporation
2011-11-26 22:20 . 2011-11-26 22:20 -------- d-----w- c:\documents and settings\Michael\Local Settings\Data aplikací\OCCT
2011-11-22 17:29 . 2011-11-22 17:30 -------- d-----w- c:\windows\system32\NtmsData
2011-11-21 16:41 . 2011-11-21 16:41 -------- d-----w- c:\documents and settings\All Users\Data aplikací\nView_Profiles
2011-11-15 16:44 . 2011-07-15 13:29 456320 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2011-11-15 16:14 . 2009-11-27 16:09 48128 -c----w- c:\windows\system32\dllcache\iyuv_32.dll
2011-11-15 16:14 . 2009-11-27 16:09 8704 -c----w- c:\windows\system32\dllcache\tsbyuv.dll
2011-11-15 16:14 . 2009-11-27 17:14 17920 -c----w- c:\windows\system32\dllcache\msyuv.dll
2011-11-15 16:08 . 2010-12-09 15:14 2194944 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2011-11-15 16:07 . 2010-12-09 15:14 2029056 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2011-11-15 16:07 . 2010-12-09 15:14 2150912 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2011-11-15 16:05 . 2008-06-14 17:35 272128 -c----w- c:\windows\system32\dllcache\bthport.sys
2011-11-15 16:05 . 2008-06-14 17:35 272128 ------w- c:\windows\system32\drivers\bthport.sys
2011-11-15 16:05 . 2011-11-15 16:51 -------- d--h--w- c:\windows\$hf_mig$
2011-11-15 16:05 . 2011-11-15 16:05 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2011-11-15 16:00 . 2011-11-15 16:00 -------- d-----w- c:\windows\$968930Uinstall_KB968930$
2011-11-15 16:00 . 2011-11-15 16:00 -------- d-----w- c:\windows\system32\winrm
2011-11-15 16:00 . 2011-11-15 16:00 -------- d-----w- c:\windows\system32\GroupPolicy
2011-11-15 15:49 . 2009-08-06 18:24 22232 ----a-w- c:\windows\system32\wucltui.dll.mui
2011-11-15 15:49 . 2009-08-06 18:24 44768 ----a-w- c:\windows\system32\wups2.dll
2011-11-15 15:49 . 2009-08-06 18:24 18136 ----a-w- c:\windows\system32\wuaueng.dll.mui
2011-11-15 15:49 . 2009-08-06 18:24 15072 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2011-11-15 15:49 . 2009-08-06 18:24 15072 ----a-w- c:\windows\system32\wuapi.dll.mui
2011-11-11 16:15 . 2011-11-11 16:17 -------- d-----w- c:\documents and settings\Michael\Local Settings\Data aplikací\Adobe
2011-11-06 21:53 . 2011-11-06 21:53 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-11-06 20:52 . 2011-11-06 20:52 -------- d-----w- c:\windows\system32\AGEIA
2011-11-06 20:52 . 2011-11-06 20:52 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2011-11-06 20:51 . 2011-11-06 20:51 -------- d-----w- C:\NVIDIA
2011-11-06 13:55 . 2011-11-06 13:55 -------- d-----w- c:\documents and settings\Michael\Local Settings\Data aplikací\DassaultSystemes
2011-11-06 13:55 . 2011-11-06 13:55 -------- d-----w- c:\documents and settings\Michael\Data aplikací\DassaultSystemes
2011-11-06 13:55 . 2011-11-06 13:55 -------- d-----w- c:\documents and settings\All Users\Data aplikací\DassaultSystemes
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-26 21:52 . 2011-09-16 17:06 16608 ----a-w- c:\windows\gdrv.sys
2011-10-10 14:22 . 2011-09-16 16:50 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-09-17 15:51 . 2011-09-17 15:51 436792 ----a-w- c:\windows\system32\drivers\sptd.sys
2011-09-06 14:10 . 2008-04-14 12:00 1858944 ----a-w- c:\windows\system32\win32k.sys
2011-09-05 13:56 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2011-09-05 13:56 . 2008-04-14 12:00 668160 ----a-w- c:\windows\system32\wininet.dll
2011-09-05 13:56 . 2008-04-14 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2011-09-05 13:55 . 2008-04-14 12:00 370176 ----a-w- c:\windows\system32\html.iec
2011-08-31 15:00 . 2011-09-17 15:48 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2010-07-15 . 00CF8BC36A9BCC69737F06F5D1292C47 . 406016 . . [1.0420.2600.5969] . . c:\windows\$hf_mig$\KB981322\SP3QFE\usp10.dll
[-] 2010-07-15 . 9DE3DC38C66D5229FF720A7D9D78A0DE . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\usp10.dll
.
((((((((((((((((((((((((((((( SnapShot@2011-11-27_12.42.55 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-14 12:00 . 2011-11-27 12:37 67312 c:\windows\system32\perfc009.dat
+ 2008-04-14 12:00 . 2011-11-27 18:46 67312 c:\windows\system32\perfc009.dat
- 2008-04-14 12:00 . 2011-11-27 12:37 77872 c:\windows\system32\perfc005.dat
+ 2008-04-14 12:00 . 2011-11-27 18:46 77872 c:\windows\system32\perfc005.dat
+ 2008-04-14 12:00 . 2011-11-27 18:46 432356 c:\windows\system32\perfh009.dat
- 2008-04-14 12:00 . 2011-11-27 12:37 432356 c:\windows\system32\perfh009.dat
- 2008-04-14 12:00 . 2011-11-27 12:37 428750 c:\windows\system32\perfh005.dat
+ 2008-04-14 12:00 . 2011-11-27 18:46 428750 c:\windows\system32\perfh005.dat
+ 2008-04-14 12:00 . 2010-08-23 16:12 1054208 c:\windows\system32\comctl32.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"nwiz"="nwiz.exe" [2009-01-15 1657376]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 16860672]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Vzdálená správa systému Windows
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17.9.2011 16:51 436792]
S3 CoordinatorServiceHost;SW Distributed TS Coordinator Service;h:\solid\SolidWorks\swScheduler\DTSCoordinatorService.exe [15.10.2009 5:51 87336]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [28.9.2011 2:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [28.9.2011 2:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [28.9.2011 2:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [28.9.2011 2:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [28.9.2011 2:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [28.9.2011 2:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [28.9.2011 2:24 109864]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\i:\ntglm7x.sys --> i:\NTGLM7X.sys [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [14.4.2008 13:00 14336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-27 20:33
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(780)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
.
- - - - - - - > 'explorer.exe'(3260)
c:\windows\system32\nview.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Celkový čas: 2011-11-27 20:34:34 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-11-27 19:34
ComboFix2.txt 2011-11-27 12:44
.
Před spuštěním: Volných bajtů: 73 273 995 264
Po spuštění: Volných bajtů: 73 280 004 096
.
- - End Of File - - 0F02E364348D51041E79537904F7F244

Malwarebytes' Anti-Malware Obrázek

Stáhneme,nainstalujeme a spustíme(pokud si nevíte rady jak,klikněte ZDE)
Vybereme Úplná kontrola a klikneme na tlačítko Prohledat
Program provede kontrolu počítače a na konci se vám objeví hláska,že bylo skenování dokončeno,tak potvrdíme tlačítkem OK
Objeví se vám log,který mi sem vložte
NIC NEMAZAT!!Program mívá občas falešné detekce,takže mazat budeme až po konzultaci

Sorry, ale smazal jsem jednu položku. kterou mbam našel. Ještě podotýkám, že ten kontrolovaný komp není připojený k internetu ani jiné síti.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Verze databáze: 5214

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

27.11.2011 22:04:07
mbam-log-2011-11-27 (22-04-07).txt

Typ kontroly: Úplný test (C:\|H:\|)
Testované objekty: 155833
Uplynulý čas: 10 minut, 3 sekund

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 0
Infikované hodnoty v registru: 0
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
h:\Prog\Solid\solidsquad\swexplorer\swexplorer2pdmworks_crk.exe (Trojan.Agent) -> Quarantined and deleted successfully.

V pořádku..

Ještě dočistíme od používaných programů:

Stiskněte klávesovou kombinaci WIN+R( nebo start-spustit ),čímž se vám otevře okno pro zadání příkazu pro spuštění a zkopírujte a vložte sem následujíci text: Combofix /Uninstall a dejte enter

T-Cleaner

Spustíme,zmáčkneme klávesu A a potvrdíme ENTER(některé antiviry mohou detekovat utilitu jako vir-jedá se o falešný poplach,proto IGNOROVAT nebo dočasně vypnout antivir )
po použití T-Cleaner smažte

TFC

Stáhneme a spustíme program
Klikneme na Start a potvrdíme OK
Program začne uklízet,poté restartuje pc
po použití program smažte

Údržba PC:

1)Čištění dočasných složek + neplatné registry

Ccleaner

Stáhneme a nainstalujeme program
Spustíme program
ČISTIČ
Windows zde necháme vše jak je (pokud používáme IE,tak odškrkneme jeho položky) a zaškrkneme položky Start Menu zástupci a Zástupci na ploše a odškrkneme volbu Zbytky souborů v paměti
Aplikace - necháme jak je,ale pokud používáme nějaký prohlížeč (Google chrome,Firefox,Opera..) tak odškrkneme jeho položky
>Stiskeneme tlačítko Analyzovat a poté Spustit Cleaner
Registry
>Stiskneme tlačítko Hledej problémy,program začne hledat neplatné registry..podé zvolíme Opravit vybrané problémy..
>Program se zeptá,zda chceme vytvořit zálohu registrů,zvolíme ano a uložíme si někde zálohu(kdyby byli po opravení registru s něčím problémy,tak zálohu obnovíme tak,že spustíme uloženou zálohu a potvrdíme ano),dále zvolíme Opravit všechny problémy a Zavřít
>opakujte dokud nebude registr bez problémů
Program používáme 1x 14dní (záleží na používání pc,můžeme i jednou týdně)

2)Defragmentace disku

Defraggler

Stáhneme a nainstalujeme program
Spustíme program
Vybereme disk ( C:,D:..prostě který používáme)
Pokud je ve sloupci Fragmentace více než 5% dejte Defragmentovat
Proveďte se všemi používanými disky
Provádíme 1x za měsíc

3)Aktualizace programů

FileHippo.com Update Checker

Stáhneme a nainstalujeme program(Při instalaci odškrkneme volbu Run at Startup )
Spustíme program
Program vyhledá nainstalované programy v PC a zjistí dostupné aktualizace
Poté se vám otevře internetová stránka,kde budou nabídnuté aplikace k aktualizování
>X Updates Detected..to jsou dostupné aktualizace..
> klikneme na zelenou šipečku a stáhneme program,poté nainstalujeme jeho aktuální verzi
> X Beta Updates Detected..tyto aktualizace nestahujte,jedná se o betaverze,které jsou ve vývoji a jsou nestabilní
Provádíme 1x za 14 dní nebo jednou za měsíc

Jak se chová PC

+ nový RSIT

Díky. To spustím až ráno. Ještě dotaz - může tahle havěť způsobovat restarty? Při vypalování dvd v Neru komp cca v polovině spadne, to samé při práci v SolidWorksu. Připadá mi zvláštní, aby 4jádrový procesor jel na 100% při vypalování dvd

Udělejte co jsem napsal...

havěť může dělat všelijakou paskůdu, ale v by jste již měl mít pc bez havěti.. takže bude asi problém někde jinde.. Takže nyní se vám stále restartuje pc?

Tak zatím to vypadá, že je všechno ok. Díky za rady

Rádo se stalo

hezký zbytek dne

VIRY.CZ

restarty xp

restarty xp

Re: restarty xp

Re: restarty xp

Re: restarty xp

Re: restarty xp

Re: restarty xp

Re: restarty xp

Re: restarty xp

Re: restarty xp

Re: restarty xp