Žádost o kontrolu logu z ComboFixu

[Jasek]

Dobrý den,
před časem jsem měl problémy s nefunkčností webové aplikace vytvořené v ASP.NET. Po vyčištění PC ComboFixem aplikace začala korektně fungovat. Další aplikace (též v ASP.NET) se zase chová divně. Technická podpora mi tvrdí, že je problém v mém počítači. Ještě jsem si všiml, že se mi nezobrazuje ikona Avastu v systémové liště, přesto, že se má dle nastavení zobrazovat. Děkuji za pomoc.

[Rudy]

Zdravím!
Jšětě dočistíme. Otevřte poznámkový blok a zkopírujte do něj:

KillAll::

Collect::
c:\documents and settings\Guest\Nabˇdka Start\Programy\Po spuçtŘnˇ\
prf33.tmp

Driver::
Akamai

Firefox::
FF - ProfilePath - c:\documents and settings\uzivatel\Data aplikací\Mozilla\Firefox\Profiles\NovyProfil\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.cz/ig
FF - prefs.js: keyword.URL - hxxp://www.crawler.com/search/dispatcher.aspx? ... 61005&qkw=
FF - Ext: České slovníky pro kontrolu pravopisu: cs@dictionaries.addons.mozilla.org - %profile%\extensions\cs@dictionaries.addons.mozilla.org
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: TV-Fox: {2f17f610-5e97-4fed-828f-9940b7b577a4} - %profile%\extensions\{2f17f610-5e97-4fed-828f-9940b7b577a4}
FF - Ext: DAEMON Tools Toolbar: DTToolbar@toolbarnet.com - %profile%\extensions\DTToolbar@toolbarnet.com
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\program files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: 602XML Filler: xmlfiller@software602.cz - c:\program files\Mozilla Firefox\extensions\xmlfiller@software602.cz
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Click to call with Skype: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Crawler Toolbar: {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - c:\progra~1\Crawler\firefox
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: FiddlerHook: fiddlerhook@fiddler2.com - c:\program files\Fiddler2\FiddlerHook
FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\Alwil Software\Avast5\WebRep\FF

Uložte na plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.

[Jasek]

Zdravím, udělal jsem, co jste mi poradil, ale před spuštěním ComboFixu jsem zapomněl zastavit rezidentní štíty Avastu. To byla asi fatální chyba. Bylo třeba taky vypnout nástroj obnovení systému? ComboFix sice poznal, že štíty nejsou vypnuté, ale když jsem je tedy vypnul, bylo už možná pozdě pro hladký průběh. Už si nepamatuju všechny hlášky, které se mi objevovaly:

- při vytváření bodu obnovení: ?(snad) soubor nelze uložit, bylo jich asi 14, dal jsem vždy OK
- ComboFix hlásil nějaké syntaktické chyby, ale pokračoval
- koš je poškozený: vysypal jsem jej
- všech 50 fází bylo dokončeno
- nezdařil se restart v režii ComboFixu, zmizely všechny ikony na ploše, tak jsem restartoval sám, i když jsem věděl, že je asi zle
- pak zase nějaké hlášky, už si nepamatuju, ale Windows nemohly nastartovat nějaký proces, viděl jsem tam slovo Rootkit...
- nakonec Windows ohlásily zotavení systému z těžké chyby
- ještě v nějaké fázi to hlásilo, že byl odepřen přístup k nějakým položkám registru

Vyzkoušel jsem pak, co jsem mohl, zdá se, že vše funguje stejně jako před spuštěním dočištění. Ikona Avastu se stále nezobrazuje na liště a ta webová aplikace taky nefunguje. Nevím, jestli jsem něco nepokazil. Dá se s tím ještě něco dělat, abych měl jistotu, že je to v pořádku? Děkuji.

[Jasek]

Zdravím ještě jednou, udělal jsem ještě scan RootkitRevealerem, prosím o zkouknutí výstupu. Děkuji.

HKU\S-1-5-21-1606980848-1644491937-839522115-1004\Console 10.8.2011 19:35 0 bytes Security mismatch.
HKU\S-1-5-21-1606980848-1644491937-839522115-1004\Software\Adobe\MediaBrowser\MRU\illustrator\ApplicationPath 8.4.2010 9:30 91 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 15.3.2007 13:41 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 15.3.2007 13:41 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 15.3.2007 13:36 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 16.2.2011 9:56 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Swearware\backup\winsock2 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000012 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000013 16.4.2010 8:29 0 bytes Security mismatch.
HKLM\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{3EB1155E-1E3D-4159-8DFE-762E9F706663}\Icon 5.3.2010 18:04 45 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 5.10.2010 14:43 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet003\Control\StillImage\Events\STIProxyEvent\{3EB1155E-1E3D-4159-8DFE-762E9F706663}\Icon 5.3.2010 18:04 45 bytes Data mismatch between Windows API and raw hive data.

[Rudy]

Návodu se musíte držet přesně. Log RR vypadá OK. Zkuste při úvodních postech tiskněte F8 a vyberte posledí známou funkční konfiguraci. Je sice málo pravděpodobné, že se to podaří, ale zkusit se to musí.

[Jasek]

Zkusil jsem F8, ale nepomohlo to. Před chvílí jsem ještě zkoušel zmíněnou ASP.NET aplikaci na jiném PC, tam to korektně fungovalo. Tak nevím, co s tím...Děkuji.

[Rudy]

Oprava systému z instal. média, nebo reinstal systému. To je důsledek toho, že jste se nedržel přesně návodu.

[Jasek]

Dobrý den, děkuji, že jste se mi věnoval. Avast jsem vyřešil reinstalací. Ještě jsem provedl úspěšně sken Eset on-line skenerem. Reinstalaci systému dělat nebudu kvůli jedné nefunkční aplikaci. Navrhujete také opravu systému, jak to vlastně přesně funguje, jestli se mohu zeptat? Budou pak např fungovat automatické aktualizace? Jak je to se servisními balíčky? Mám teď SP3. Nerad bych si vygeneroval nové potíže. Děkuji.

[Rudy]

Oprava systému z instel. media je de facto totéž, jako instalace OS, jen s tím rozdílem, že bude přepsána již existující instalace a bude zachováno původní nastavení systému. Pokud není stejná verze, co se týká SP, bude systém obnoven v té verzi, v níž je existující instal. médium a případný vyšší SP musí pak být doinstalován. Občas se stane, že budou muset být reinstalovány některé ovladače hw.

[Jasek]

Takže vše zůstane, jako bylo před reinstalací včetně instalovaných programů... Zvládne to i průměrný uživatel PC? Děkuji.

[Rudy]

Takže vše zůstane, jako bylo před reinstalací včetně instalovaných programů... Zvládne to i průměrný uživatel PC? Děkuji.

Měl by, pokud se nestane něco nepředvídatelného.