pomoc-odeslání logu

[motji]

Kde jste to zase vzal
otestujte na www.virustotal.com
c:\windows\system32\Drivers\atapi.sys
-Do okénka zkopírujte cestu k souboru , pokud napíše, že soubor byl už testován, dejte otestovat znovu.
Sem vložte link s výsledky.

[frantkurina]

kde se to tam vzalo nevím postupuji podle Vašeho návodu -zatím veliké díky -budu pokračovat

[motji]

Otestujte ho a uvidíme , hlavně ho nemažte , je to systémový soubor, bez toho Vám počítač fungovat nebude .

Používáte daemon nebo alcohol?

[frantkurina]

Soubor atapi.sys přijatý 2010.02.08 14:57:12 (UTC)
Současný stav: Dokončeno
Výsledek: 1/40 (2.5%)
Formátované
Vytisknout výsledky Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.02.08 -
AhnLab-V3 5.0.0.2 2010.02.08 -
AntiVir 7.9.1.160 2010.02.08 -
Antiy-AVL 2.0.3.7 2010.02.08 -
Authentium 5.2.0.5 2010.02.08 -
Avast 4.8.1351.0 2010.02.08 -
AVG 9.0.0.730 2010.02.08 -
BitDefender 7.2 2010.02.08 -
CAT-QuickHeal 10.00 2010.02.08 -
ClamAV 0.96.0.0-git 2010.02.08 -
Comodo 3863 2010.02.08 -
DrWeb 5.0.1.12222 2010.02.08 -
eSafe 7.0.17.0 2010.02.07 Win32.Rootkit
eTrust-Vet 35.2.7290 2010.02.08 -
F-Prot 4.5.1.85 2010.02.08 -
F-Secure 9.0.15370.0 2010.02.08 -
Fortinet 4.0.14.0 2010.02.08 -
GData 19 2010.02.08 -
Ikarus T3.1.1.80.0 2010.02.08 -
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.08 -
McAfee 5885 2010.02.07 -
McAfee+Artemis 5885 2010.02.07 -
McAfee-GW-Edition 6.8.5 2010.02.08 -
Microsoft 1.5406 2010.02.08 -
NOD32 4848 2010.02.08 -
Norman 6.04.03 2010.02.08 -
nProtect 2009.1.8.0 2010.02.08 -
Panda 10.0.2.2 2010.02.07 -
PCTools 7.0.3.5 2010.02.08 -
Prevx 3.0 2010.02.08 -
Rising 22.34.00.04 2010.02.08 -
Sophos 4.50.0 2010.02.08 -
Sunbelt 3.2.1858.2 2010.02.07 -
TheHacker 6.5.1.1.183 2010.02.08 -
TrendMicro 9.120.0.1004 2010.02.08 -
VBA32 3.12.12.1 2010.02.08 -
ViRobot 2010.2.8.2176 2010.02.08 -
VirusBuster 5.0.21.0 2010.02.08 -
Rozšiřující informace
File size: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): PE_Patch



VAROVÁNÍ: VirusTotal je služba poskytovaná zdarma společnosti Hispasec Sistemas. Kvalita výsledků není nijak zaručena. Výsledky jsou závislé na tvůrci daného produktu. Vysledky testů nemusí být 100% správné. Tyto výsledky nemusí znamenat, že daný soubor je infikován, nebo čistý!

[frantkurina]

daemon ani alcohol nepoužívám

[motji]

Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

Restore::
c:\windows\system32\Drivers\atapi.sys

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

stáhněte MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu


start-spustit
do okénka zkopírujte

Kód: Vybrat vše

"%userprofile%\plocha\mbr" -t

ok

vytvoří se log s názvem mbr.log, vložte ho zde

[frantkurina]

ComboFix 10-02-07.07 - franta 08/02/2010 16:46:00.4.1 - FAT32x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.767.482 [GMT 1:00]
Spuštěný z: c:\documents and settings\franta\Plocha\Potvora.com
Použité ovládací přepínače :: c:\docume~1\franta\Plocha\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Drivers\atapi.sys . . . je infikován!!

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-08 do 2010-02-08 )))))))))))))))))))))))))))))))
.

2010-02-05 15:20 . 2010-02-05 15:20 -------- d-----w- c:\program files\trend micro
2010-02-02 15:32 . 2010-02-02 15:32 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-02 10:04 . 2010-02-02 10:04 -------- d-----r- c:\documents and settings\LocalService\Oblíbené položky
2010-01-27 17:40 . 2010-01-27 17:40 -------- d-----w- c:\windows\SHELLNEW
2010-01-27 17:40 . 2010-01-27 17:40 -------- d-----w- c:\program files\Microsoft.NET
2010-01-27 17:37 . 2010-01-27 17:37 -------- d-----r- C:\MSOCache
2010-01-27 17:02 . 2010-01-27 17:02 -------- d-----w- c:\program files\Disk Cleaner
2010-01-25 15:32 . 2010-01-25 15:32 -------- d-----w- c:\program files\Defraggler
2010-01-24 11:40 . 2010-01-24 11:40 -------- d-----w- c:\program files\DiskCheckerXP
2010-01-24 11:07 . 2010-01-24 11:07 -------- d-----w- c:\program files\IObit
2010-01-23 17:32 . 2010-01-23 17:32 -------- d-----w- c:\program files\Argente Software
2010-01-09 17:07 . 2010-01-09 17:07 -------- d-----w- c:\program files\Lark Anti-Spyware

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-22 17:06 . 2009-08-18 16:42 737280 ----a-w- c:\windows\iun6002.exe
2010-01-07 15:07 . 2009-05-05 16:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-05-05 16:16 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-06 17:20 . 2010-01-06 17:20 -------- d-----w- c:\program files\PhotoFiltre
2010-01-05 11:18 . 2010-01-05 11:18 -------- d-----w- c:\program files\Foxit Software
2010-01-04 15:56 . 2010-01-04 15:56 -------- d-----w- c:\program files\Free Window Registry Repair
2010-01-02 10:21 . 2010-01-02 10:21 -------- d-----w- c:\program files\Sunbelt Software
2010-01-01 16:42 . 2010-01-01 16:42 249592 ----a-w- c:\windows\system32\cssdll32.dll
2009-12-29 15:49 . 2009-07-26 18:16 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-28 15:48 . 2009-12-28 15:48 -------- d-----w- c:\program files\Avira
2009-12-22 10:15 . 2009-12-22 10:15 -------- d-----w- c:\program files\MSECache
2009-12-21 19:08 . 2001-10-25 11:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-18 15:20 . 2009-12-18 15:20 -------- d-----w- c:\program files\WebKeySoft
2009-12-18 11:08 . 2009-12-18 11:08 -------- d-----w- c:\program files\Quick Startup
2009-12-17 18:54 . 2001-10-25 11:00 92702 ----a-w- c:\windows\system32\perfc005.dat
2009-12-17 18:54 . 2001-10-25 11:00 457296 ----a-w- c:\windows\system32\perfh005.dat
2009-12-17 16:26 . 2006-01-25 18:22 33393 ----a-w- c:\windows\mozver.dat
2009-12-14 18:12 . 2009-12-14 18:12 -------- d-----w- c:\program files\Auslogics
2009-11-21 16:03 . 2001-10-25 11:00 471552 ----a-w- c:\windows\AppPatch\AcLayers.dll
2009-08-24 11:17 . 2009-08-24 11:13 80 --sh--r- c:\windows\system32\B722219E98.dll
2007-10-28 18:04 . 2007-10-28 18:04 274 --sha-w- c:\windows\system32\drivers\0261AF.DAT
2007-10-28 18:00 . 2007-10-28 18:00 200 --sha-w- c:\windows\system32\drivers\0261A4.DAT
2007-10-28 18:00 . 2007-10-28 18:00 200 --sha-w- c:\windows\system32\drivers\1201A5.DAT
2007-10-28 18:14 . 2007-10-28 18:14 200 --sha-w- c:\windows\system32\drivers\02635.DAT
2007-10-28 18:14 . 2007-10-28 18:14 200 --sha-w- c:\windows\system32\drivers\27f36.DAT
2007-10-28 18:14 . 2007-10-28 18:14 200 --sha-w- c:\windows\system32\drivers\ba137.DAT
2007-10-28 18:00 . 2007-10-28 18:00 200 --sha-w- c:\windows\system32\drivers\6e61A6.DAT
2007-10-28 18:04 . 2007-10-28 18:04 274 --sha-w- c:\windows\system32\drivers\5ae1B0.DAT
2007-10-28 18:04 . 2007-10-28 18:04 274 --sha-w- c:\windows\system32\drivers\0cb1B1.DAT
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-01 4112384]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuSubFolders"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"NoPrinters"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoChangeAnimation"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SeaMonkey Quick Launch"="c:\program files\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe"
"UnlockerAssistant"="d:\instalace\Unlocker\UnlockerAssistant.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Opera\\opera.exe"=

R0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [26/11/2008 19:28 26680]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [28/12/2009 16:48 108289]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [15/01/2010 17:28 135664]
.
Obsah adresáře 'Naplánované úlohy'

2010-02-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-15 16:28]

2010-02-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-15 16:28]
.
.
------- Doplňkový sken -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
mWindow Title = Microsoft Internet Explorer
uInternet Settings,ProxyOverride = localhost
IE: E&xportovat do aplikace Microsoft Excel - d:\instal~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{230D1201-7607-4CF6-A11F-9E4BF0A333E0} - {0DB13731-CEFD-43CF-A8FD-B61DCBC4D5B8} - d:\instalace\Verdict free\etnxp.dll
IE: {{2C73F784-D2DE-4422-B070-2E3332FE5744} - {0320AC26-52C8-4316-B2C4-24BB6FA73C9A} - d:\instalace\Verdict free\etnxp.dll
DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-08 16:54
Windows 5.1.2600 Service Pack 3 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(772)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\drivers\KodakCCS.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\ScsiAccess.EXE
c:\windows\system32\wscntfy.exe
c:\progra~1\MOZILLA.ORG\SEAMON~1\SEAMON~1.EXE
.
**************************************************************************
.
Celkový čas: 2010-02-08 16:59:49 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-08 15:59
ComboFix2.txt 2010-02-08 14:26
ComboFix3.txt 2010-02-08 11:06
ComboFix4.txt 2010-02-08 10:21

Před spuštěním: Volných bajtů: 50 357 436 416
Po spuštění: Volných bajtů: 50 313 330 688

- - End Of File - - C55F63942AFCFC9F267C5D98C5CA03E6

[frantkurina]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK

[motji]

Do systemlook zadejte tento příkaz

Kód: Vybrat vše

:filefind
atapi.sys

[frantkurina]

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 17:51 on 08/02/2010 by franta (Administrator - Elevation successful)

========== filefind ==========

Searching for "atapi.sys"
C:\WINDOWS\ERDNT\cache\atapi.sys --a--- 96512 bytes [10:18 08/02/2010] [19:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\ServicePackFiles\i386\atapi.sys ------ 96512 bytes [15:28 25/01/2006] [19:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\system32\drivers\atapi.sys ------ 96512 bytes [11:00 25/10/2001] [19:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674

-=End Of File=-

[motji]

Zazálohujte si důležitá data, pro jistotu


Z přílohy si stahněte soubor v raru, rozbalte ho a uložte na disk C, tak aby cesta k němu byla
C:\atapi.sys

Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

FCOPY::
C:\atapi.sys | C:\WINDOWS\system32\drivers\atapi.sys

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

[frantkurina]

ComboFix 10-02-07.07 - franta 09/02/2010 10:47:55.5.1 - FAT32x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.767.484 [GMT 1:00]
Spuštěný z: c:\documents and settings\franta\Plocha\Potvora.com
Použité ovládací přepínače :: c:\docume~1\franta\Plocha\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
--------------- FCopy ---------------

c:\atapi.sys --> c:\WINDOWS\system32\drivers\atapi.sys
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-09 do 2010-02-09 )))))))))))))))))))))))))))))))
.

2010-02-09 09:39 . 2008-04-13 22:10 96512 ------w- C:\atapi.sys
2010-02-05 15:20 . 2010-02-05 15:20 -------- d-----w- c:\program files\trend micro
2010-02-02 15:32 . 2010-02-02 15:32 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-02 10:04 . 2010-02-02 10:04 -------- d-----r- c:\documents and settings\LocalService\Oblíbené položky
2010-01-27 17:40 . 2010-01-27 17:40 -------- d-----w- c:\windows\SHELLNEW
2010-01-27 17:40 . 2010-01-27 17:40 -------- d-----w- c:\program files\Microsoft.NET
2010-01-27 17:37 . 2010-01-27 17:37 -------- d-----r- C:\MSOCache
2010-01-27 17:02 . 2010-01-27 17:02 -------- d-----w- c:\program files\Disk Cleaner
2010-01-25 15:32 . 2010-01-25 15:32 -------- d-----w- c:\program files\Defraggler
2010-01-24 11:40 . 2010-01-24 11:40 -------- d-----w- c:\program files\DiskCheckerXP
2010-01-24 11:07 . 2010-01-24 11:07 -------- d-----w- c:\program files\IObit
2010-01-23 17:32 . 2010-01-23 17:32 -------- d-----w- c:\program files\Argente Software

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-22 17:06 . 2009-08-18 16:42 737280 ----a-w- c:\windows\iun6002.exe
2010-01-09 17:07 . 2010-01-09 17:07 -------- d-----w- c:\program files\Lark Anti-Spyware
2010-01-07 15:07 . 2009-05-05 16:16 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-05-05 16:16 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-06 17:20 . 2010-01-06 17:20 -------- d-----w- c:\program files\PhotoFiltre
2010-01-05 11:18 . 2010-01-05 11:18 -------- d-----w- c:\program files\Foxit Software
2010-01-04 15:56 . 2010-01-04 15:56 -------- d-----w- c:\program files\Free Window Registry Repair
2010-01-02 10:21 . 2010-01-02 10:21 -------- d-----w- c:\program files\Sunbelt Software
2010-01-01 16:42 . 2010-01-01 16:42 249592 ----a-w- c:\windows\system32\cssdll32.dll
2009-12-29 15:49 . 2009-07-26 18:16 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-28 15:48 . 2009-12-28 15:48 -------- d-----w- c:\program files\Avira
2009-12-22 10:15 . 2009-12-22 10:15 -------- d-----w- c:\program files\MSECache
2009-12-21 19:08 . 2001-10-25 11:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-18 15:20 . 2009-12-18 15:20 -------- d-----w- c:\program files\WebKeySoft
2009-12-18 11:08 . 2009-12-18 11:08 -------- d-----w- c:\program files\Quick Startup
2009-12-17 18:54 . 2001-10-25 11:00 92702 ----a-w- c:\windows\system32\perfc005.dat
2009-12-17 18:54 . 2001-10-25 11:00 457296 ----a-w- c:\windows\system32\perfh005.dat
2009-12-17 16:26 . 2006-01-25 18:22 33393 ----a-w- c:\windows\mozver.dat
2009-12-14 18:12 . 2009-12-14 18:12 -------- d-----w- c:\program files\Auslogics
2009-11-21 16:03 . 2001-10-25 11:00 471552 ----a-w- c:\windows\AppPatch\AcLayers.dll
2009-08-24 11:17 . 2009-08-24 11:13 80 --sh--r- c:\windows\system32\B722219E98.dll
2007-10-28 18:04 . 2007-10-28 18:04 274 --sha-w- c:\windows\system32\drivers\0261AF.DAT
2007-10-28 18:00 . 2007-10-28 18:00 200 --sha-w- c:\windows\system32\drivers\0261A4.DAT
2007-10-28 18:00 . 2007-10-28 18:00 200 --sha-w- c:\windows\system32\drivers\1201A5.DAT
2007-10-28 18:14 . 2007-10-28 18:14 200 --sha-w- c:\windows\system32\drivers\02635.DAT
2007-10-28 18:14 . 2007-10-28 18:14 200 --sha-w- c:\windows\system32\drivers\27f36.DAT
2007-10-28 18:14 . 2007-10-28 18:14 200 --sha-w- c:\windows\system32\drivers\ba137.DAT
2007-10-28 18:00 . 2007-10-28 18:00 200 --sha-w- c:\windows\system32\drivers\6e61A6.DAT
2007-10-28 18:04 . 2007-10-28 18:04 274 --sha-w- c:\windows\system32\drivers\5ae1B0.DAT
2007-10-28 18:04 . 2007-10-28 18:04 274 --sha-w- c:\windows\system32\drivers\0cb1B1.DAT
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-01 4112384]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuSubFolders"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"NoPrinters"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoChangeAnimation"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SeaMonkey Quick Launch"="c:\program files\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe"
"UnlockerAssistant"="d:\instalace\Unlocker\UnlockerAssistant.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Opera\\opera.exe"=

R0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [26/11/2008 19:28 26680]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [28/12/2009 16:48 108289]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [15/01/2010 17:28 135664]
.
Obsah adresáře 'Naplánované úlohy'

2010-02-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-15 16:28]

2010-02-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-15 16:28]
.
.
------- Doplňkový sken -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
mWindow Title = Microsoft Internet Explorer
uInternet Settings,ProxyOverride = localhost
IE: E&xportovat do aplikace Microsoft Excel - d:\instal~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{230D1201-7607-4CF6-A11F-9E4BF0A333E0} - {0DB13731-CEFD-43CF-A8FD-B61DCBC4D5B8} - d:\instalace\Verdict free\etnxp.dll
IE: {{2C73F784-D2DE-4422-B070-2E3332FE5744} - {0320AC26-52C8-4316-B2C4-24BB6FA73C9A} - d:\instalace\Verdict free\etnxp.dll
DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-09 10:52
Windows 5.1.2600 Service Pack 3 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="AE5B94BEBC99FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A9C6AECB7A5D1407A6171C11EC38DE3D5D575E7D6A3B98083A045C20E5BA7D111FC2C827A92CA8FA6D6B0FA2A199A95C7160B9E7E190E3CD1E9C50EB67036F5ED0732AC7999F72F8A014D37E6F0514984364061D1241FBCE7DA92E259D275C16A98105CBE3E692F5C4A5B283CE07D67C148C0559C51C77FA5ACAB823AAE12E9E124FCE78639473D74AE9F103F2A679897FA6ED99283E221096F1B7ACD3058F155815FE80154EC23607FCDABEB2FECDF405D37CCC89560B01FB657600017771C72D5F13101B4F715C3850BB6D0A416329860AEE58DD2A0475B741C5CDC0B008BB260D8CC4BBE4344CF9A866BB95AD91C14D1307133D12A6465873F7BA42BECB27BC516EB06071843A4F9D2FC69A9D7112038D8C49E3794C03D33FE561DB4477F54E354158976B1F8E9E1EF0A2FDFB629EB86A493AB0E194ED813B6BCC05730D471C1413B793DD85E433E88856CC488522DFEF8C9BA75DE27D1F5166FEDB98506FCB9D74BCA8E57D8FB91358DCB314420952372914F116DD5CCBC23B6D218EC875E656F8C7D1360F13458545A40789C0F4C92E74BFD9C7F0688C9F538038C8C2945B153AB02D9587264C7E3912BD6171BC6617C9305143CB35C8CF1715AB4BCDBD7885D441FC5E78B6AA8CA2FAF16C85E72B8789E7696C6009CE0EF9FBA82FBF1375A7E8B5A4FDB7E31C16722A630D72357F6892DEDCBA675E4D686C7BFEA1AEECEBCF1A42B176DC8445539EDEF33A7215AE79CF02063C5B63D9C2674BA36578D5D7A5938B4F5F461FAA519F4D2B0106AE68CA2931658F7AFAEC54661A304EBC0E9CA4802DCF621570B86FF49BB3FE6BDA40C20D3F1D6949BA61A6E907E0465F88FD9B91B32ABDAD693DE49EE4DC68AC272D1BEF75F7120EEEF8977428964A086E25AFFB21F7C339AF68B82338190491D38BE1488FDF66541557DC0D85D6EBA499A0D8776CF65A251BD3480C987F2DA85819F70FBDE556EADF06FA429D4BD0E299E16241FD88FCA336784467FBCBD2445EF9934324BCE665B4EF4E21E0BE31B9333DEB9AB633382844B4B1C6CF5BF8FAC1B63FE9DA3EAE1A30E6833DB3A3DA5FDB6DE8476521AF6D38CAE7BEF0B237A693B858866CE3D9A6209D1EAFEF0E2FCF428EA28F521F18EE3C61956A33F6B6E41C5190A65ACE2B6685AEF61362B7234CC2A2B241B6203EEEA903BA66DD74B9985233ECD698C2F4FE9894B608CBFB41D8F20F8AAC40B9FDF2159E2CD42C9891676574C8A98E28A0D743315CB1E1DDA4BC191E6DA512254B43BF0513DACB78A53BB6925037980A299A25C7BA374D81008431FAF1064142AB6C246DEA2360C971435A6C861A871920B78F8179452A2E99816BB806"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(1588)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-02-09 10:54:56
ComboFix-quarantined-files.txt 2010-02-09 09:54
ComboFix2.txt 2010-02-08 15:59
ComboFix3.txt 2010-02-08 14:26
ComboFix4.txt 2010-02-08 11:06
ComboFix5.txt 2010-02-09 09:45

Před spuštěním: Volných bajtů: 50 308 349 952
Po spuštění: Volných bajtů: 50 263 523 328

- - End Of File - - 75AB325ADFCA21545FD60A49F1923713

[motji]

Ještě otestujte na www.virustotal.com
c:\windows\system32\B722219E98.dll
-dáte procházet a do spodního okénka zkopírujete cestu k souboru.

jak to vypadá s počítačem?

[frantkurina]

Soubor B722219E98.dll přijatý 2010.02.09 14:20:34 (UTC)
Současný stav: Dokončeno
Výsledek: 0/41 (0%)
Formátované
Vytisknout výsledky Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.50 2010.02.09 -
AhnLab-V3 5.0.0.2 2010.02.09 -
AntiVir 7.9.1.160 2010.02.09 -
Antiy-AVL 2.0.3.7 2010.02.09 -
Authentium 5.2.0.5 2010.02.09 -
Avast 4.8.1351.0 2010.02.09 -
AVG 9.0.0.730 2010.02.09 -
BitDefender 7.2 2010.02.09 -
CAT-QuickHeal 10.00 2010.02.09 -
ClamAV 0.96.0.0-git 2010.02.09 -
Comodo 3875 2010.02.09 -
DrWeb 5.0.1.12222 2010.02.09 -
eSafe 7.0.17.0 2010.02.09 -
eTrust-Vet 35.2.7292 2010.02.09 -
F-Prot 4.5.1.85 2010.02.09 -
F-Secure 9.0.15370.0 2010.02.09 -
Fortinet 4.0.14.0 2010.02.09 -
GData 19 2010.02.09 -
Ikarus T3.1.1.80.0 2010.02.09 -
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.969 2010.02.08 -
Kaspersky 7.0.0.125 2010.02.09 -
McAfee 5886 2010.02.08 -
McAfee+Artemis 5886 2010.02.08 -
McAfee-GW-Edition 6.8.5 2010.02.09 -
Microsoft 1.5406 2010.02.09 -
NOD32 4850 2010.02.09 -
Norman 6.04.03 2010.02.09 -
nProtect 2009.1.8.0 2010.02.09 -
Panda 10.0.2.2 2010.02.07 -
PCTools 7.0.3.5 2010.02.09 -
Prevx 3.0 2010.02.09 -
Rising 22.34.01.01 2010.02.09 -
Sophos 4.50.0 2010.02.09 -
Sunbelt 3.2.1858.2 2010.02.09 -
Symantec 20091.2.0.41 2010.02.09 -
TheHacker 6.5.1.1.185 2010.02.09 -
TrendMicro 9.120.0.1004 2010.02.09 -
VBA32 3.12.12.1 2010.02.08 -
ViRobot 2010.2.9.2178 2010.02.09 -
VirusBuster 5.0.21.0 2010.02.09 -
Rozšiřující informace
File size: 80 bytes
MD5...: 56c4965d5095a57cf1a7dc6610196305
SHA1..: f04b1789c2f0f0acabb29af351c0e7e03ea5c7e4
SHA256: 4fa649667c2b3865479f83f5d168032bc92b8449dc6770d1d3a173527b0ae854
ssdeep: 3:slGtB/lFl6E3oj0TLOI/Y5Y4:EGTM0feV
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: MS Flight Simulator Aircraft Performance Info (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned



VAROVÁNÍ: VirusTotal je služba poskytovaná zdarma společnosti Hispasec Sistemas. Kvalita výsledků není nijak zaručena. Výsledky jsou závislé na tvůrci daného produktu. Vysledky testů nemusí být 100% správné. Tyto výsledky nemusí znamenat, že daný soubor je infikován, nebo čistý!

VirusTotal © Hispasec Sistemas - Blog - Kontakt: info@virustotal.com - Terms of Service & Pr

s počítačem to vypadá dobře-co s tím souborem rozbaleném na C:atapi.sys?

[motji]

Ten atapi na C už můžete smazat

Odinstalujte combofix přes
Start >> Spustit zkopírujte do okénka:

ComboFix /Uninstall

stiskněte Enter
-To odinstaluje ComboFix a smaže s ním související soubory a složky.



Stáhněte T-Cleaner
http://sweb.cz/Marinus/T-Cleaner.exe

-Spusťte,pro potvrzení volby mačkejte klávesu A, Enter
-po použití prográmek vymažte.Pozor,antiviry ho mohou falešně označit za vir


Stahněte OTC a použijte
http://oldtimer.geekstogo.com/OTC.exe



Stáhněte Ccleaner,viz můj podpis
-nainstalujte a vyčištěte dočasné soubory, i registry

Vložte nový log ze RSIT a řekněte co počítač, jak se chová, už je vše v pořádku?