Moc prosím o kontrolu logu

[fredik]

#Krok1:
Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
O4 - HKLM\..\Run: [nqrflhqs] rundll32.exe "C:\WINDOWS\TEMP\vgaslbelr.nls" WLEntryPoint
po zaškrtnutí klikni na tlačítko Fix Checked

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
#Krok2:
Odinstaluj AVPTool stáhni si aktuální verzi a nainstaluj ji zpět. Projeď s ní Pc a vlož se z něho log. Pokud by byl opět velký, tak sem vlož jen následující řádky z něho:
Vše co bude pod sekcí

Detected (na začátku logu)
--------
Status Object

a pak pod sekcí

Events
------
Time Name Status Reason
---- ---- ------ ------

vyhledej všechny položky, které začínají tímto řetězcem: Startup object: a vlož sem celý řádek, který obsahuje uvedený řetězec.
Vlož sem pak obě části.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
#Krok3:
Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře:
command
- otevře se ti okno a tam napiš postupně tyto příkazy zvýrazněné modře:
cd\ (dej <enter>)
swreg null delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D55C3C11-C38F-42A9-B461-1791DCA47211}" (dej <enter>)
exit (dej <enter>)
-dej pozor ať opíšeš přesně syntaxi tak jak je napsaná
- mezi Shell a Extensionsje mezera a patří to celé na jeden řádek za sebe, ne jak se to zobrazuje na dvou.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
#Krok4:
Použij pak znovu GMER stačí když si ho nastavíš podle obrázku (zruš zatržení u položek jak je na obrázku, ostatní nech jak jsou), proveď Scan a vlož sem pak log.

gmer.JPG (6.34 KiB) Zobrazeno 912 x

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
#Krok5:
Stáhni si Silent Runners klikni pravým tlačítkem myši zde a dej Uložit odkaz jako... a ulož si ho na plochu.
- spusť ho a budeš dotázán na Do you want to skip supplementary searches? tak zvol Ne
- pak budeš dotázán Are you Sure? tak zvol Ano
- program se spustí, během jeho chodu nic nedělej, zhruba tak za pár minut budeš informován o ukončení programu (pokud nebudeš u Pc během testu tak se může stát že oznámení o ukončení běhu programu neuvidíš, protože zůstane zobrazeno jen chvíli).
Vlož sem pak log (uložený na ploše), který se vytvoří.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

V následujícím příspěvku sem vlož tyto logy/výsledky:
- log AVPTool
- log z GMER
- log z Silent Runners
- případně log z Registry Search viz. Poznámka:

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Poznámka:
pokud by se ti i nadále objevovaly ty hlášky, opiš si názvy těch souborů co budou v těch hláškách a použij znovu Registry Search (viz. již zmíněný návod ) s tím rozdílem že si ho uprav. Pod položku [Search] dej názvy těch souborů z chyb. hlášek bez přípony. Takže podle následujících chyb, které jsi poslal by skript vypadal následovně:
RegSearch Options File

[Search]
mmcdb
vgaslbelr
msxmlg

[Exclude]

[Options]
Filter=KVDLUI
a použij ho už známým postupem.

[štefy]

Detected
--------
Status Object
------ ------
deleted: virus Email-Worm.Win32.Locksky.dm File: C:\WINDOWS\system32\cdfkcolkm.sys
deleted: virus Email-Worm.Win32.Locksky.dm File: C:\WINDOWS\system32\wuapckimc.nls
deleted: virus Email-Worm.Win32.Locksky.dm File: C:\WINDOWS\TEMP\wuapckimc.nls

[štefy]

Log z gmer

[štefy]

Log ze silent runners

[štefy]

Mam ted takovy problem zpusobeny ciste mou hlouposti
Tady to vlakno sem taknak letos v dubnu opustil aniz bych to dotahnul do konce protoze pocitac problemy nedelal a tak...
Ted k problemu: Tenkrat 25 dubna ste mi nak radili a mimo jine sem mel vytvorit soubor zalreg.reg(asi 100MB)
no a ja nanej vcera kliknul a reklo to prejete si pridat polozky do registru ja dal ano(fakt nevim co me to napadlo) pocitac zasrotoval a vyhodil asi deset hlasek C/WINDOWS/TEMP/VGAIKQCMJ.NLS uvedeny modul nebyl nalezen
Zadny exac nejde pustit (internet explorel ale funguje)
kdyz dam nouzovy rezim tak se pocitac restartuje takze do nouzovyho rezimu se asi nedostanu(zkousel sem to asi trikrat)
Pocitac s nejvetsi pravdepodobnosti nemam zavirovany jen sem neco pridal do registru a ted mi nechodi exace a tak

[fredik]

Pokud by jsi měl některý ze zde jmenovaných programů ještě od minula, tak si je stáhni znovu.

Deckard's Association File Tool (DAFT)
- vytvoř si na disku C nový adresář/složku a pojmenuj ho jako: abc (C:\abc)
- zkopíruj tam soubor daft.exe, který sis stáhl
* přejmenuj v tom adresáři tento soubor:
daft.exe na daft.com
- pak ho spusť.
- Klikni na tlačítko Scan a počkej až proběhne.
- pokud by vypsal nějakou chybnou asociaci tak před ní zatrhni ten čtvereček a klikni na tlačítko Fix
Pak znovu spusť Scan a po jeho proběhnutí klikni na tlačítko Save Log, ulož si log a dej sem jeho obsah.

Případně zkus použít druhou variantu:
Stáhni si System Repair Engineer - přes tlačítko Local Download
- Vytvoř si na disku adresář, a vybal do něj obsah archivu sreng2.zip
- Spusť program (SREngLdr.EXE), zvol System Repair
- Na záložce File Associations zatrhni čtvereček před položkou .EXE a pak klikni dole na tlačítko Repair
Pokud by nešel spustit tak přejmenuj soubor SREngLdr.exe na SREngLdr.com a spusť ho a proveď opravu.

Dej pak vědět jak to vypadá a můžeš sem pak vložit pro kontrolu i log z ComboFix. Odkaz na jeho stažení najdeš zde v tématu.

[štefy]

Pustil sem daft ukazal chybnou asociaci exe tak sem to fixnul, pak znova scan, zde je log
DAFT Log saved on 2008-11-07 15:29:03
-----------------------------------------------------------------------
All associations okay!

[štefy]

Zapomnel sem napsat ze mi vse funguje jako predtim. Jeste pro jistotu combofix...
ComboFix 08-11-06.01 - uživatel 2008-11-07 16:06:05.5 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.241 [GMT 1:00]
Spuštěný z: c:\documents and settings\uživatel\Plocha\ComboFix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
c:\documents and settings\uživatel\Data aplikací\inst.exe
c:\recycled\Recycled
c:\windows\jestertb.dll
c:\windows\system32\MSINET.oca

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GRANDE48


((((((((((((((((((((((((( Soubory vytvořené od 2008-10-07 do 2008-11-07 )))))))))))))))))))))))))))))))
.

2008-11-04 21:33 . 2008-11-04 21:33 393,414 --a------ c:\windows\system32\prfh0405.dat
2008-11-04 21:33 . 2008-11-04 21:33 69,836 --a------ c:\windows\system32\prfc0405.dat
2008-10-29 20:58 . 2008-11-04 21:34 <DIR> d-------- c:\documents and settings\uživatel\Data aplikací\uTorrent
2008-10-17 19:45 . 2008-10-19 18:43 <DIR> d-------- c:\program files\BitComet
2008-10-11 09:30 . 2008-10-11 09:30 <DIR> d-------- c:\documents and settings\uživatel\Data aplikací\InstallShield

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-04 20:23 --------- d-----w c:\program files\Torrents
2008-10-30 17:00 --------- d-----w c:\program files\Winamp
2008-10-29 20:39 --------- d-----w c:\program files\PeerGuardian2
2008-10-29 19:58 --------- d-----w c:\program files\uTorrent
2008-10-29 19:55 --------- d---a-w c:\documents and settings\All Users\Data aplikací\TEMP
2008-10-04 10:36 --------- d-----w c:\program files\Avast4
2008-10-03 13:07 --------- d-----w c:\program files\Azureus
2008-10-03 13:06 --------- d-----w c:\documents and settings\uživatel\Data aplikací\Azureus
2008-10-01 18:08 --------- d-----w c:\documents and settings\uživatel\Data aplikací\Vso
2008-09-11 15:09 --------- d-----w c:\documents and settings\All Users\Data aplikací\DVD Shrink
2008-09-11 15:07 --------- d-----w c:\program files\DVD Shrink
2008-09-11 13:51 --------- d-----w c:\documents and settings\uživatel\Data aplikací\dvdcss
2008-07-15 12:16 47,360 ----a-w c:\documents and settings\uživatel\Data aplikací\pcouffin.sys
2008-04-03 16:26 241 ----a-w c:\documents and settings\uživatel\SR.vbs
2008-04-03 16:26 241 ----a-w c:\documents and settings\uživatel\SR.vbs
2007-04-30 15:25 81,920 ----a-w c:\documents and settings\uživatel\Data aplikací\ezpinst.exe
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-01-20 11:29 945 --sha-w c:\windows\system32\mmf.sys
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2008-02-04 19:26 151,040 --sh--w c:\windows\system32\VistaUltm.dll
2008-05-10 21:16 4,868,128 --sha-w c:\windows\system32\drivers\fidbox.dat
.

------- Sigcheck -------

2005-03-14 02:17 359936 6129e70f3d2f1e60860c930ebeaf92c2 c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
2001-10-25 13:00 327168 e7774698bb0d14b0710a9a31e209f9b6 c:\windows\$NtServicePackUninstall$\tcpip.sys
2004-08-03 22:14 359040 9f4b36614a0fc234525ba224957de55c c:\windows\$NtUninstallKB893066$\tcpip.sys
2004-08-03 22:14 359040 9f4b36614a0fc234525ba224957de55c c:\windows\ServicePackFiles\i386\TCPIP.SYS
2005-03-14 01:55 359808 0e66b538096a6529d1ac66e78eb0d5c8 c:\windows\SoftwareDistribution\Download\465d74f489a08daa339a96fd1eedeb4e\sp2gdr\tcpip.sys
2005-03-14 02:17 359936 6129e70f3d2f1e60860c930ebeaf92c2 c:\windows\SoftwareDistribution\Download\465d74f489a08daa339a96fd1eedeb4e\sp2qfe\tcpip.sys
2008-01-24 15:21 359808 f91e8f4c501f2128d7a92f723b6d6577 c:\windows\system32\dllcache\TCPIP.SYS
2008-01-24 15:21 359808 f91e8f4c501f2128d7a92f723b6d6577 c:\windows\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-01-28 885760]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-03-20 213936]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-03-20 86960]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2006-03-20 213936]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"COMODO Firewall Pro"="c:\program files\Comodo\Firewall\CPF.exe" [2008-04-21 1115728]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)
"MemCheckBoxInRunDlg"= 0 (0x0)
"NoAutoTrayNotify"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2005-12-20 21:57 176128 c:\progra~1\WindowBlinds\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll
"VIDC.I420"= i420vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"VIDC.X264"= x264vfw.dll
"msacm.ac3filter"= ac3filter.acm
"msacm.divxa32"= divxa32.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^GPRSpeed Plus Client.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\GPRSpeed Plus Client.lnk
backup=c:\windows\pss\GPRSpeed Plus Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^uživatel^Nabídka Start^Programy^Po spuštění^RollerCoaster Tycoon 3 Registration.lnk]
path=c:\documents and settings\uživatel\Nabídka Start\Programy\Po spuštění\RollerCoaster Tycoon 3 Registration.lnk
backup=c:\windows\pss\RollerCoaster Tycoon 3 Registration.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^uživatel^Nabídka Start^Programy^Po spuštění^Ubisoft register.lnk]
path=c:\documents and settings\uživatel\Nabídka Start\Programy\Po spuštění\Ubisoft register.lnk
backup=c:\windows\pss\Ubisoft register.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
--a------ 2008-07-19 15:38 78008 c:\program files\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-17 14:49 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 c:\program files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreeRAM XP]
--a------ 2006-03-22 23:13 1591808 c:\program files\FreeRAM XP Pro\FreeRAM XP Pro.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
--a------ 2004-01-28 22:42 565248 c:\windows\sm56hlpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-09-16 13:39 69632 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NOD32krn"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Program Files\\InterVideo\\DVD8\\WinDVD.exe"=
"c:\\Program Files\\FirefoxPortable\\FirefoxPortable.exe"=
"c:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\Hry\\Worms Armageddon\\wa.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Program Files\\SopCast\\sopvod.exe"=
"c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"44724:TCP"= 44724:TCP:pan port
"61541:TCP"= 61541:TCP:@xpsp2res.dll,-22004
"23892:TCP"= 23892:TCP:BitComet 23892 TCP
"23892:UDP"= 23892:UDP:BitComet 23892 UDP
"57333:TCP"= 57333:TCP:BitComet 57333 TCP
"57333:UDP"= 57333:UDP:BitComet 57333 UDP
"17222:TCP"= 17222:TCP:@xpsp2res.dll,-22004
"21285:TCP"= 21285:TCP:@xpsp2res.dll,-22004
"18784:TCP"= 18784:TCP:@xpsp2res.dll,-22004
"11935:TCP"= 11935:TCP:@xpsp2res.dll,-22004
"5307:TCP"= 5307:TCP:@xpsp2res.dll,-22004

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 LicCtrlService;LicCtrl Service;rundll32.exe c:\windows\mmfs.dll,Service [ ]
R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [2008-05-08 2368]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2004-08-03 69120]
R3 usbhub;Ovladač standardního rozbočovače USB;c:\windows\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
S1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [ ]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);c:\windows\system32\DRIVERS\adusbmdm65.sys [2005-05-02 64896]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);c:\windows\system32\DRIVERS\adusbser65.sys [2005-05-02 64896]
S3 aswArKrn;aswArKrn;c:\docume~1\UIVATE~1\LOCALS~1\Temp\aswArKrn.sys [ ]
S3 DrvFltIp;DrvFltIp;c:\documents and settings\uživatel\Local Settings\TEMP\DrvFltIp [ ]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [ ]
S3 usb2vcom;USB Data Cable;c:\windows\system32\DRIVERS\usb2vcom.sys [2005-08-06 28704]
S3 usbccgp;Obecný nadřazený ovladač Microsoft USB;c:\windows\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB;c:\windows\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f72c2d0d-4fbc-11db-8aa0-0011098da354}]
\Shell\AutoRun\command - H:\autorun.exe
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKLM-Run-egui - c:\program files\ESET\ESET NOD32 Antivirus\egui.exe
HKLM-Explorer_Run-mshgm - c:\windows\system32\ctlaicmbc.sys
MSConfigStartUp-AVG7_CC - c:\progra~1\Grisoft\AVG Free\avgcc.exe
MSConfigStartUp-InCD - c:\program files\Nero\Nero 7\InCD\InCD.exe
MSConfigStartUp-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe
MSConfigStartUp-RoxWatchTray - c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
MSConfigStartUp-SecurDisc - c:\program files\Nero\Nero 7\InCD\NBHGui.exe
MSConfigStartUp-Trickler - c:\program files\divx\divx pro codec\gain_trickler_3202.exe


.
------- Doplňkový sken -------
.
FireFox -: Profile - c:\documents and settings\uživatel\Data aplikací\Mozilla\Firefox\Profiles\whjwj3pz.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - http://www.google.com" onclick="window.open(this.href);return false;
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net" onclick="window.open(this.href);return false;
Rootkit scan 2008-11-07 16:07:46
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\ASFWHide]
"ImagePath"="\??\c:\documents and settings\uživatel\Local Settings\TEMP\ASFWHide"

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\DrvFltIp]
"ImagePath"="\??\c:\documents and settings\uživatel\Local Settings\TEMP\DrvFltIp"
.
Celkový čas: 2008-11-07 16:08:36
ComboFix-quarantined-files.txt 2008-11-07 15:08:32

Před spuštěním: Volných bajtů: 12,539,625,472
Po spuštění: Volných bajtů: 12,522,827,776

218

[fredik]

Vlož sem ještě prosím tě log z HijackThis.

Momentálně by jsi tam měl mít Avasta, nemáš problémy s tím, že se ti při startu neobjeví jeho ikona v system tray (vedle hodin)?

[štefy]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:15:09, on 10.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896" onclick="window.open(this.href);return false;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: (no name) - {70DE7956-479D-4eb7-8641-2B45774C350E} - (no file)
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.05\AMVConverter\grab.html
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C" onclick="window.open(this.href);return false;:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.05\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab" onclick="window.open(this.href);return false;
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - C:\Program Files\Ad-Aware 2007\aawservice.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
O23 - Service: Eset Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - rundll32.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - Unknown owner - C:\WINDOWS\system32\oodag.exe (file missing)

--
End of file - 6000 bytes



Jo s tim avastem mas pravdu nepusti se pri startu windows.

[fredik]

Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře ComboFix /u a dej Ok.
- mezi ComboFix a /u musí být mezera
- počkej až proběhne, bude tě o tom informovat.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\\Program Files\\Avast4\\ashDisp.exe"

Pak dej Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: fix.reg
Uložit jako typ: tak tam vyber Všechny soubory
Ulož si daný soubor na plochu
Na ploše by se měl objevit soubor fix.reg
- spusť ho vyskočí hláška kde odklikni Ano poté je další hláška kde odklikni OK
Pokud by ti na podruhé vyhodil chybovou hlášku tak udělej toto:

Spusť Avast a až se ti objeví okno aplikace tak vlevo nahoře klikni na ikonu šipky směřující nahoru (Menu) tam zvol Nastavení...
- v nově otevřeném okně zvol poslední možnost dole Řešení problémů tam zatrhni možnost: Vypnout sebeobranné mechanismy programu Avast! a potvrď přes Ok
- ukáže se ti hláška Avastu tak zvol Ano
- zavři Avast
Pak použij znovu ten soubor fix.reg a mělo by to proběhnout všechno v pořádku. Restartuj Pc a po najetí zpět do Win. si opačným postupem zapni sebeobranu v Avastu.

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Doporučil bych ti aktualizovat Javu:
- Stáhni si poslední verzi Java SE Runtime Environment (JRE) 6 Update 10
- Posuň se dolů kde je napsáno Java SE Runtime Environment (JRE) 6 Update 10 a klikni na tlačítko Download
- Načte se ti nová stránka
- Pod nadpisem Select Platform and Language for your download:
* u položky Platform: vyber OS který používáš
* zatrhni možnost kde je napsáno: I agree to the Java SE Runtime Environment 6 License Agreement
* klikni na tlačítko Continue >>
- Načte se ti nová stránka
- Klikni na odkaz pro stažení pod položkou: Windows Offline Installation a ulož si ho na disk

- Ukonči běžící programy které máš spuštěné, hlavě webový prohlížeč
- Jdi přes Start -> Ovládací panely -> Přidat nebo odebrat programy a odinstaluj všechny staré verze Javy
- Podívej se po položkách s názvem Java Runtime Environment (JRE or J2SE)
* příklady starých verzí v Přidat nebo odebrat programy:

• J2SE Runtime Environment 5.0
  J2SE Runtime Environment 5.0 Update 8
  Java 2 Runtime Environment, SE v1.4.2

- Odinstaluj je přes tlačítko Změnit nebo odebrat nebo Odebrat
- Odinstaluj postupně po sobě případné všechny staré verze Javy
- Po skončení odinstalovaní restartuj Pc.
- Pak už jen spusť instalaci poslední verze ze souboru jre-6u10-windows-i586-p.exe, který sis stáhl na začátku

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Jinak tam máš pozůstatky po některých programech. Pokud jsi je odinstaloval a nebudeš je nadále využívat tak by se daly do-odstranit.
Nod
O&O defrag
Ad-Aware...

[štefy]

Tak sem udelal vsechno podle navodu pak jeste procistil registry CCleanerem ale porad to neni ono.
Po prihlaseni cekam tak 2 minuty. Pak mi to hodi okno 'chyba aplikace svchost.exe aplikace odkazovala na adresu bla bla' Po odkliknuti zamrzne startka a nepustim zadnej program(chybu to ale nehlasi)