Pomoc: zavirovane PC?
Napsal: 26 úno 2010 19:25
Ahoj všichni, moc prosím o pomoc:
Určitě to znáte - kamarád kamaráda mi dal PC, že mu nejede...a já jsem ten jednooký král:) Tady je ve zkratce příběh:
PC vůbec nenaběhlo, nabootoval jsem z CD Window XP, zkusil jsem fixboot a fixmbr, nepomohlo. Kompletní checkdisk disku v jiném počítači byl OK. Tak jsem znova nabootoval a přeinstaloval ty existující XPčka,aby neztratili všechny ty věci, co tam maj nainstalovaný. Jak to nabootovalo, tak jsem se docela lek! Totální sajgón - x-člená rodina PC analfalbetů to poúživala po staletí bez nějaké údržby. Odinstaloval jsem co se dalo, pak jsem použil CCleaner, nainstaloval všechny aktualizace a pak tam hodil spybot. Ten běžel půl dne a odstranil spoustu hovadin v registrech. Pak jsem tam chtěl hodit nějakej antivir, nainstaloval jsem Avast 5 - při první instalaci to lehlo (modrá smrt), na podruhý se to nainstalovalo úspěšně, ale vůbec to nejde spustit. Po spuštění to řekne "Failed to load language dll" - zkouším to googlovat,ale zatím nic.
Symptom:
Po naběhnutí bez připojení k internetu se zdá bejt v procesech všechno OK, jakmile to připojím k netu, tak se tam oběví process schvost.exe, kterej neustále žere 100% procesoru a nikdy nepřestane (převlečenej vir?). A teď to nejzábavnější, když ho odstřelím, tak se oběví stará známá obrazovka s odpočtem jedné minuty, po které se PC vypne. Někde jsem vyčet, že na to pomáhá "shutdown /a", takže to teď používám:)
Takže to asi bude pořádně zasviněný virama, že. Navštívil jsem tedy viry.cz a početl si, zaregistroval se a jsem tu...
Pomůže mi moc prosím někdo? Předem děkuji.
Připojuji log z combofixu (mimochodem nechapu proc nejde prilozit txt soubor a musim to sem kopirovat...zda se mi to trosku divny:), nevesel se mi sem pak log z UPM).
ComboFix 10-02-25.02 - PC 26.02.2010 18:14:42.1.1 - x86
SpuÜtýnř z: c:\documents and settings\PC\Plocha\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( OstatnÝ vřmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\recycler\S-1-5-21-1004336348-926492609-1801674531-1003
c:\windows\srchasst\nls302en.lex
c:\windows\system32\driVERs\gqbcouh.sys
c:\windows\system32\ieuinit.inf
.
((((((((((((((((((((((((((((((((((((((( OvladaŔe/Slu×by )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_gqbcouh
-------\Service_gqbcouh
((((((((((((((((((((((((( Soubory vytvo°enÚ od 2010-01-26 do 2010-02-26 )))))))))))))))))))))))))))))))
.
2010-02-25 19:52 . 2010-02-25 19:52 -------- d-----w- c:\temp\_avast5_
2010-02-25 19:52 . 2010-02-11 18:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-25 19:52 . 2010-02-11 18:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-25 19:52 . 2010-02-11 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-25 19:52 . 2010-02-11 18:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-25 19:52 . 2010-02-11 18:38 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-25 19:52 . 2010-02-11 18:38 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-25 19:52 . 2010-02-11 18:38 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-02-25 19:51 . 2010-02-11 18:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-25 19:51 . 2010-02-11 18:53 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-25 19:51 . 2010-02-25 19:51 -------- d-----w- c:\program files\Alwil Software
2010-02-25 19:50 . 2010-02-25 20:06 -------- d-----w- c:\temp\_av_sfx.tm~a03552
2010-02-25 19:28 . 2010-02-25 19:28 -------- d-----w- c:\program files\XP Codec Pack
2010-02-25 19:23 . 2008-06-14 17:35 272128 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-02-25 19:21 . 2009-12-04 18:22 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-02-25 19:18 . 2009-08-04 17:29 2147328 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-02-25 19:18 . 2009-08-04 17:29 2025984 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-02-25 19:18 . 2009-08-04 17:29 2068224 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2010-02-25 18:34 . 2010-02-25 19:42 -------- d-----w- c:\temp\~nsu.tmp
2010-02-25 18:25 . 2010-02-25 18:33 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-24 22:11 . 2010-02-24 22:12 -------- d-----w- c:\program files\DiskCheckerXP
2010-02-24 22:08 . 2010-02-24 22:08 -------- d-----w- c:\windows\NLDRV
2010-02-24 21:56 . 2010-02-26 17:22 0 ----a-w- c:\windows\system32\drivers\plxtjp.sys
2010-02-24 21:49 . 2010-02-24 21:49 -------- d-----w- c:\program files\CCleaner
2010-02-24 21:28 . 2001-10-25 14:00 14848 -c--a-w- c:\windows\system32\dllcache\register.exe
2010-02-24 21:27 . 2008-04-14 06:51 8192 -c--a-w- c:\windows\system32\dllcache\httpmb51.dll
2010-02-24 21:15 . 2001-10-25 14:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-02-24 21:15 . 2001-10-25 14:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-02-24 21:15 . 2001-10-25 14:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-02-24 21:15 . 2001-10-25 14:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-02-24 20:04 . 2010-02-24 20:21 -------- d-----w- C:\Hry-ISO
2010-02-19 17:53 . 2010-02-19 17:53 -------- d-----w- c:\program files\Ubisoft
2010-02-18 20:34 . 2010-02-24 21:55 142 ----a-w- c:\windows\system32\fjhdyfhsn.bat
.
(((((((((((((((((((((((((((((((((((((((( Find3M vřpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-25 20:00 . 2002-09-23 12:00 78314 ----a-w- c:\windows\system32\perfc005.dat
2010-02-25 20:00 . 2002-09-23 12:00 429474 ----a-w- c:\windows\system32\perfh005.dat
2010-02-24 22:06 . 2010-01-21 19:38 -------- d-----w- c:\program files\GameShadow
2010-02-24 22:03 . 2007-09-17 09:38 -------- d-----w- c:\program files\Ahead
2010-02-24 22:03 . 2007-09-17 09:36 -------- d-----w- c:\program files\CyberLink
2010-02-24 22:03 . 2007-09-17 00:25 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-24 22:01 . 2010-01-21 19:43 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-24 21:44 . 2009-04-27 11:23 -------- d-----w- c:\program files\Graffiti Studio 2.0
2010-02-24 21:24 . 2007-09-16 23:44 22916 ----a-w- c:\windows\system32\emptyregdb.dat
2010-01-25 19:16 . 2010-01-21 19:28 -------- d-----w- c:\program files\Firefly Studios
2010-01-25 17:29 . 2010-01-25 17:29 -------- d-----w- c:\program files\Hry.cz
2010-01-22 20:12 . 2010-01-22 20:12 -------- d-----w- c:\program files\Wanadoo Edition
2010-01-21 20:19 . 2009-08-27 11:46 -------- d-----w- c:\program files\GameTop.com
2010-01-21 19:43 . 2008-05-05 13:15 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-01 13:16 . 2009-07-21 08:49 -------- d-----w- c:\program files\ICQ6.5
2009-12-31 16:50 . 2008-04-13 22:45 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 14:00 . 2009-12-25 09:44 -------- d-----w- c:\program files\Imperium Romanum
2009-12-22 05:09 . 2008-04-14 06:52 668160 ----a-w- c:\windows\system32\wininet.dll
2009-12-22 05:09 . 2008-04-14 06:51 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-12-17 07:42 . 2007-09-16 23:43 343552 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2008-04-14 06:51 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-04 18:22 . 2008-04-13 22:47 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.
------- Sigcheck -------
[-] 2008-06-12 . C71BB4782833750BF4C02AC30ED670B7 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( SpouÜtýcÝ body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznßmka* prßzdnÚ zßznamy a legitimnÝ vřchozÝ ˙daje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-15 2879488]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-10-26 77824]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 176128]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-28 61440]
"RTHDCPL"="RTHDCPL.EXE" [2006-12-17 16062464]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\PC\Nabídka Start\Programy\Po spuštění\
monnid32.exe [2008-4-14 27648]
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-6-8 393216]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Hry\\ Nove\\MOHAA\\MOHAA.exe"=
"c:\\Hry\\ Nove\\MOHAA + Breaktrougt + Spreadhead\\moh_spearhead.exe"=
"c:\\Hry\\ Nove\\MOHAA + Breaktrougt + Spreadhead\\moh_Breakthrough.exe"=
"c:\\Hry\\QUAKE\\quake3.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Empire Interactive\\FlatOut Ultimate Carnage\\Fouc.exe"=
"c:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Program Files\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25.2.2010 20:52 162512]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [5.5.2008 14:15 691696]
S2 aswFsBlk;aswFsBlk;aswFsBlk.sys --> aswFsBlk.sys [?]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe --> c:\program files\Spyware Doctor\svcntaux.exe [?]
--- OstatnÝ slu×by/ovladaŔe v pamýti ---
*Deregistered* - plxtjp
.
.
------- Dopl˛kovř sken -------
.
uStart Page = hxxp://www.seznam.cz/
DPF: {E001C731-5E37-4538-A5CB-8168736A2360} - hxxp://91.199.104.31/cab/ActiveQscan.cab
FF - ProfilePath - c:\documents and settings\PC\Data aplikacÝ\Mozilla\Firefox\Profiles\noo34k3t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.cz
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\documents and settings\PC\Data aplikacÝ\Mozilla\Firefox\Profiles\noo34k3t.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
---- NASTAVEN═ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATN╔ POLOÄKY ODSTRAN╠N╔ Z REGISTRU - - - -
HKCU-Run-GameShadow - c:\program files\GameShadow\GameShadow.exe
HKCU-RunOnce-Shockwave Updater - c:\windows\system32\Adobe\Shockwave 11\SwHelper_1150596.exe
AddRemove-KB923789 - c:\windows\system32\MacroMed\Flash\genuinst.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 18:20
Windows 5.1.2600 Service Pack 3 NTFS
skenovßnÝ skrytřch proces¨ ...
skenovßnÝ skrytřch polo×ek 'Po spuÜtýnÝ' ...
skenovßnÝ skrytřch soubor¨ ...
c:\documents and settings\PC\NabÝdka Start\Programy\Po spuÜtýnÝ\monnid32.exe 27648 bytes executable
sken byl ˙speÜný dokonŔen
skrytÚ soubory: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\plxtjp]
.
--------------------- ZAMKNUT╔ KL═╚E V REGISTRU ---------------------
[HKEY_USERS\S-1-5-21-790525478-329068152-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Knihovny navßzanÚ na bý×ÝcÝ procesy ---------------------
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2148)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ JinÚ spuÜtenÚ procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~2\rapimgr.exe
c:\program files\OpenOffice.org 2.2\program\soffice.exe
c:\program files\OpenOffice.org 2.2\program\soffice.BIN
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Celkovř Ŕas: 2010-02-26 18:38:39 - poŔÝtaŔ byl restartovßn
ComboFix-quarantined-files.txt 2010-02-26 17:38
P°ed spuÜtýnÝm: Volnřch bajt¨: 123á340á017á664
Po spuÜtýnÝ: Volnřch bajt¨: 123á226á791á936
WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 9733B929A11CF2656F3344485C4B0D1B
Určitě to znáte - kamarád kamaráda mi dal PC, že mu nejede...a já jsem ten jednooký král:) Tady je ve zkratce příběh:
PC vůbec nenaběhlo, nabootoval jsem z CD Window XP, zkusil jsem fixboot a fixmbr, nepomohlo. Kompletní checkdisk disku v jiném počítači byl OK. Tak jsem znova nabootoval a přeinstaloval ty existující XPčka,aby neztratili všechny ty věci, co tam maj nainstalovaný. Jak to nabootovalo, tak jsem se docela lek! Totální sajgón - x-člená rodina PC analfalbetů to poúživala po staletí bez nějaké údržby. Odinstaloval jsem co se dalo, pak jsem použil CCleaner, nainstaloval všechny aktualizace a pak tam hodil spybot. Ten běžel půl dne a odstranil spoustu hovadin v registrech. Pak jsem tam chtěl hodit nějakej antivir, nainstaloval jsem Avast 5 - při první instalaci to lehlo (modrá smrt), na podruhý se to nainstalovalo úspěšně, ale vůbec to nejde spustit. Po spuštění to řekne "Failed to load language dll" - zkouším to googlovat,ale zatím nic.
Symptom:
Po naběhnutí bez připojení k internetu se zdá bejt v procesech všechno OK, jakmile to připojím k netu, tak se tam oběví process schvost.exe, kterej neustále žere 100% procesoru a nikdy nepřestane (převlečenej vir?). A teď to nejzábavnější, když ho odstřelím, tak se oběví stará známá obrazovka s odpočtem jedné minuty, po které se PC vypne. Někde jsem vyčet, že na to pomáhá "shutdown /a", takže to teď používám:)
Takže to asi bude pořádně zasviněný virama, že. Navštívil jsem tedy viry.cz a početl si, zaregistroval se a jsem tu...
Pomůže mi moc prosím někdo? Předem děkuji.
Připojuji log z combofixu (mimochodem nechapu proc nejde prilozit txt soubor a musim to sem kopirovat...zda se mi to trosku divny:), nevesel se mi sem pak log z UPM).
ComboFix 10-02-25.02 - PC 26.02.2010 18:14:42.1.1 - x86
SpuÜtýnř z: c:\documents and settings\PC\Plocha\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( OstatnÝ vřmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\recycler\S-1-5-21-1004336348-926492609-1801674531-1003
c:\windows\srchasst\nls302en.lex
c:\windows\system32\driVERs\gqbcouh.sys
c:\windows\system32\ieuinit.inf
.
((((((((((((((((((((((((((((((((((((((( OvladaŔe/Slu×by )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_gqbcouh
-------\Service_gqbcouh
((((((((((((((((((((((((( Soubory vytvo°enÚ od 2010-01-26 do 2010-02-26 )))))))))))))))))))))))))))))))
.
2010-02-25 19:52 . 2010-02-25 19:52 -------- d-----w- c:\temp\_avast5_
2010-02-25 19:52 . 2010-02-11 18:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-25 19:52 . 2010-02-11 18:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-25 19:52 . 2010-02-11 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-25 19:52 . 2010-02-11 18:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-25 19:52 . 2010-02-11 18:38 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-25 19:52 . 2010-02-11 18:38 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-25 19:52 . 2010-02-11 18:38 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-02-25 19:51 . 2010-02-11 18:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-25 19:51 . 2010-02-11 18:53 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-25 19:51 . 2010-02-25 19:51 -------- d-----w- c:\program files\Alwil Software
2010-02-25 19:50 . 2010-02-25 20:06 -------- d-----w- c:\temp\_av_sfx.tm~a03552
2010-02-25 19:28 . 2010-02-25 19:28 -------- d-----w- c:\program files\XP Codec Pack
2010-02-25 19:23 . 2008-06-14 17:35 272128 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-02-25 19:21 . 2009-12-04 18:22 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-02-25 19:18 . 2009-08-04 17:29 2147328 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-02-25 19:18 . 2009-08-04 17:29 2025984 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-02-25 19:18 . 2009-08-04 17:29 2068224 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2010-02-25 18:34 . 2010-02-25 19:42 -------- d-----w- c:\temp\~nsu.tmp
2010-02-25 18:25 . 2010-02-25 18:33 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-24 22:11 . 2010-02-24 22:12 -------- d-----w- c:\program files\DiskCheckerXP
2010-02-24 22:08 . 2010-02-24 22:08 -------- d-----w- c:\windows\NLDRV
2010-02-24 21:56 . 2010-02-26 17:22 0 ----a-w- c:\windows\system32\drivers\plxtjp.sys
2010-02-24 21:49 . 2010-02-24 21:49 -------- d-----w- c:\program files\CCleaner
2010-02-24 21:28 . 2001-10-25 14:00 14848 -c--a-w- c:\windows\system32\dllcache\register.exe
2010-02-24 21:27 . 2008-04-14 06:51 8192 -c--a-w- c:\windows\system32\dllcache\httpmb51.dll
2010-02-24 21:15 . 2001-10-25 14:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-02-24 21:15 . 2001-10-25 14:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-02-24 21:15 . 2001-10-25 14:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-02-24 21:15 . 2001-10-25 14:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-02-24 20:04 . 2010-02-24 20:21 -------- d-----w- C:\Hry-ISO
2010-02-19 17:53 . 2010-02-19 17:53 -------- d-----w- c:\program files\Ubisoft
2010-02-18 20:34 . 2010-02-24 21:55 142 ----a-w- c:\windows\system32\fjhdyfhsn.bat
.
(((((((((((((((((((((((((((((((((((((((( Find3M vřpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-25 20:00 . 2002-09-23 12:00 78314 ----a-w- c:\windows\system32\perfc005.dat
2010-02-25 20:00 . 2002-09-23 12:00 429474 ----a-w- c:\windows\system32\perfh005.dat
2010-02-24 22:06 . 2010-01-21 19:38 -------- d-----w- c:\program files\GameShadow
2010-02-24 22:03 . 2007-09-17 09:38 -------- d-----w- c:\program files\Ahead
2010-02-24 22:03 . 2007-09-17 09:36 -------- d-----w- c:\program files\CyberLink
2010-02-24 22:03 . 2007-09-17 00:25 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-24 22:01 . 2010-01-21 19:43 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-24 21:44 . 2009-04-27 11:23 -------- d-----w- c:\program files\Graffiti Studio 2.0
2010-02-24 21:24 . 2007-09-16 23:44 22916 ----a-w- c:\windows\system32\emptyregdb.dat
2010-01-25 19:16 . 2010-01-21 19:28 -------- d-----w- c:\program files\Firefly Studios
2010-01-25 17:29 . 2010-01-25 17:29 -------- d-----w- c:\program files\Hry.cz
2010-01-22 20:12 . 2010-01-22 20:12 -------- d-----w- c:\program files\Wanadoo Edition
2010-01-21 20:19 . 2009-08-27 11:46 -------- d-----w- c:\program files\GameTop.com
2010-01-21 19:43 . 2008-05-05 13:15 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-01 13:16 . 2009-07-21 08:49 -------- d-----w- c:\program files\ICQ6.5
2009-12-31 16:50 . 2008-04-13 22:45 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 14:00 . 2009-12-25 09:44 -------- d-----w- c:\program files\Imperium Romanum
2009-12-22 05:09 . 2008-04-14 06:52 668160 ----a-w- c:\windows\system32\wininet.dll
2009-12-22 05:09 . 2008-04-14 06:51 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-12-17 07:42 . 2007-09-16 23:43 343552 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2008-04-14 06:51 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-04 18:22 . 2008-04-13 22:47 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.
------- Sigcheck -------
[-] 2008-06-12 . C71BB4782833750BF4C02AC30ED670B7 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( SpouÜtýcÝ body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznßmka* prßzdnÚ zßznamy a legitimnÝ vřchozÝ ˙daje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-15 2879488]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-10-26 77824]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 176128]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-28 61440]
"RTHDCPL"="RTHDCPL.EXE" [2006-12-17 16062464]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\PC\Nabídka Start\Programy\Po spuštění\
monnid32.exe [2008-4-14 27648]
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-6-8 393216]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Hry\\ Nove\\MOHAA\\MOHAA.exe"=
"c:\\Hry\\ Nove\\MOHAA + Breaktrougt + Spreadhead\\moh_spearhead.exe"=
"c:\\Hry\\ Nove\\MOHAA + Breaktrougt + Spreadhead\\moh_Breakthrough.exe"=
"c:\\Hry\\QUAKE\\quake3.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Empire Interactive\\FlatOut Ultimate Carnage\\Fouc.exe"=
"c:\\Program Files\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Program Files\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25.2.2010 20:52 162512]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [5.5.2008 14:15 691696]
S2 aswFsBlk;aswFsBlk;aswFsBlk.sys --> aswFsBlk.sys [?]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe --> c:\program files\Spyware Doctor\svcntaux.exe [?]
--- OstatnÝ slu×by/ovladaŔe v pamýti ---
*Deregistered* - plxtjp
.
.
------- Dopl˛kovř sken -------
.
uStart Page = hxxp://www.seznam.cz/
DPF: {E001C731-5E37-4538-A5CB-8168736A2360} - hxxp://91.199.104.31/cab/ActiveQscan.cab
FF - ProfilePath - c:\documents and settings\PC\Data aplikacÝ\Mozilla\Firefox\Profiles\noo34k3t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.cz
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\documents and settings\PC\Data aplikacÝ\Mozilla\Firefox\Profiles\noo34k3t.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
---- NASTAVEN═ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATN╔ POLOÄKY ODSTRAN╠N╔ Z REGISTRU - - - -
HKCU-Run-GameShadow - c:\program files\GameShadow\GameShadow.exe
HKCU-RunOnce-Shockwave Updater - c:\windows\system32\Adobe\Shockwave 11\SwHelper_1150596.exe
AddRemove-KB923789 - c:\windows\system32\MacroMed\Flash\genuinst.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 18:20
Windows 5.1.2600 Service Pack 3 NTFS
skenovßnÝ skrytřch proces¨ ...
skenovßnÝ skrytřch polo×ek 'Po spuÜtýnÝ' ...
skenovßnÝ skrytřch soubor¨ ...
c:\documents and settings\PC\NabÝdka Start\Programy\Po spuÜtýnÝ\monnid32.exe 27648 bytes executable
sken byl ˙speÜný dokonŔen
skrytÚ soubory: 1
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\plxtjp]
.
--------------------- ZAMKNUT╔ KL═╚E V REGISTRU ---------------------
[HKEY_USERS\S-1-5-21-790525478-329068152-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Knihovny navßzanÚ na bý×ÝcÝ procesy ---------------------
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2148)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ JinÚ spuÜtenÚ procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~2\rapimgr.exe
c:\program files\OpenOffice.org 2.2\program\soffice.exe
c:\program files\OpenOffice.org 2.2\program\soffice.BIN
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Celkovř Ŕas: 2010-02-26 18:38:39 - poŔÝtaŔ byl restartovßn
ComboFix-quarantined-files.txt 2010-02-26 17:38
P°ed spuÜtýnÝm: Volnřch bajt¨: 123á340á017á664
Po spuÜtýnÝ: Volnřch bajt¨: 123á226á791á936
WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 9733B929A11CF2656F3344485C4B0D1B
