Avast hlásí - Příliš mnoho stejných e-mailů ...

[lerak73]

Avast mi neustále hlásí "Příliš mnoho stejných e-mailů v daném časovém rozmezí". Zkoušel jem různé antiviry, ale nic nenachází. Přikládám výpis z HijackThis, snad mi někdo pomůže. Díky moc. Lerak.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:54, on 9.1.2010
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\VirusKeeper 2009 Pro Trial\vk_service.exe
C:\Program Files\Maxthon\Maxthon.exe
D:\Instal\Antiviry\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program

Files\Spybot - Search & Destroy 2010\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe"

/minimized
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\VirusKeeper 2009 Pro Trial\VirusKeeper.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy

2010\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat

7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot

- Search & Destroy 2010\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration -

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy

2010\SDHelper.dll
O15 - Trusted Zone: http://www.mapy.cz
O15 - Trusted Zone: http://www.seznam.cz
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} -

http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program

Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program

Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program

Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Program

Files\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program

Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Hostitel zařízení UPnP upnphostNtmsSvc (upnphostNtmsSvc) - Unknown owner -

C:\WINDOWS\System32\1029x.exe (file missing)
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program

Files\VirusKeeper 2009 Pro Trial\vk_service.exe

--
End of file - 4349 bytes

[zombux]

to máš nainstalovanej NOD32, Avast, AVG a dokonce ještě WinClamAV naráz? do toho ještě Ad-Aware, Spyware Terminator a jakejsi VirusKeeper... jsi blázen? nedivím se že se to nechová jak má. na zabezpečení systému je potřeba PRÁVĚ JEDEN antivir, eventuelně antispyware.

[lerak73]

To je jen následek zoufalé snahy zbavit se toho svinstva. Jinak samozřejmě vím, že víc antivirů dohromady je nesmysl (a někdy i škodlivé). A taky jsem původně měl jen ten Avast, který ale doteď mám jako jediný na rezidentní ochranu. Ostatní jsem použil pouze na detekci virů, některé něco našly (ale stejně to nepomohlo), většina nenašla nic.

[Stano K.]

Len tak na okraj Avast je známy práve tím že má často falešné "alarmy".

[jan.svoboda]

Ahoj, zajímavé... viděl jsem u mnoho lidí už třeba dva AV, ale 4 AV + 3 AS vidím poprvé
Vlož ještě log z ComboFixu, ať se podíváme, jestli tam je ještě nějaký svinstvo. Ale předem odinstaluje všechny AV + AS, nech jen jeden + jeden. A mít více antivirů je škodlivé vždy, ne jen někdy. Nehledě k tomu, že to řádně za*ere celej systém a sotva se spustí OS. A hlavně odinstaluj ten VirusKeeper (nebo jak se to jmenuje, je to pochybný software a v PC bych ho skutečně nenechával a hodil bych tam třeba ESET NOD32 apod., protože jak tu psal kolega, Avast má skutečně mnoho falešných hlášení)

Stahni si ComboFix
( http://download.bleepingcomputer.com/sUBs/ComboFix.exe , http://www.forospyware.com/sUBs/ComboFix.exe ) na plochu,

beta: http://download.bleepingcomputer.com/sU ... ttyFix.exe

- ukoncete vsechna aktivni okna a spuste ho pod uctem administratora.
- potvrdte licencni podminky - klik na "Ano", pripadne dalsi vyzvy programu.
- zapiste si informace proc se ukoncil nebo co mu brani v provozu (sdelte radci)
- nechte stahnout i nainstalovat recovery konzolu (velmi doporucuji)
- behem skenu neklikejte do zobrazeneho okna, je mozne ze CF restartuje PC.
- sken by mel trvat max. 20 minut. Pokud ani do uvedene doby nedojde k jeho ukonceni, ukoncite ho, kdy uvedeny problem nahlaste radci.
- po ukonceni se otevre log (textovy soubor) - pokud se tak nestane lze log najit C:\ComboFix.txt - cely obsah logu zkopirujte do sveho prispevku

[lerak73]

Trochu problém: Při instalaci ComboFixu to napsalo: " Some installation files are corrupt. Please download a fresh copy and retry the instalation." Jinak jsem ještě předtím odinstaloval všechny antiviry a nechal jsem jen Avast.

[jan.svoboda]

Jak jsem psal, Avast bych v tomto případě nedoporučoval, z důvodu problémů jeho detekce, se kterou se možná potkávaš. ComboFix stáhni znovu a z jiného linku (jsou tam 3). Klidně můžeš tu beta verzi, měla by být stabilní.

[lerak73]

Asi jsem úplně blbej, ale nedokážu Avast vypnout, pouze pozastavit. Nikde tam volba "zavřít" není.

[jan.svoboda]

Já ho měl na mysli taky odinstalovat a používal bych něco od Esetu (NOD 32). Jenže je placený. Případně by zase nebyl problém Avast nainstalovat zpátky. Proveď ten ComboFix, jak jsem psal.

[lerak73]

Tady to je:

ComboFix 10-01-04.01 - Kunz 09.01.2010 18:10:22.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.0.1250.420.1029.18.223.0 [GMT 1:00]
Spuštěný z: c:\documents and settings\Kunz\Plocha\ComboFix.exe
.
/wow section - STAGE 4


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\qmgr.dll . . . je infikován!!

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-09 do 2010-01-09 )))))))))))))))))))))))))))))))
.

2010-01-09 15:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 15:55 . 2010-01-07 15:07 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 15:55 . 2010-01-09 15:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-09 10:19 . 2006-09-05 16:03 3968 ----a-w- c:\windows\system32\drivers\AvgAsCln.sys
2010-01-04 21:39 . 2001-10-25 12:00 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll
2010-01-04 21:39 . 2001-10-25 12:00 31360 -c--a-w- c:\windows\system32\dllcache\weitekp9.sys
2010-01-04 21:37 . 2001-10-25 12:00 70656 -c--a-w- c:\windows\system32\dllcache\korwbrkr.dll
2010-01-04 21:36 . 2001-10-25 12:00 9216 -c--a-w- c:\windows\system32\dllcache\authfilt.dll
2010-01-04 21:33 . 2001-10-25 12:00 73728 -c--a-w- c:\windows\system32\dllcache\icwtutor.exe
2010-01-04 21:33 . 2001-10-25 12:00 65536 -c--a-w- c:\windows\system32\dllcache\icwres.dll
2010-01-04 21:33 . 2001-10-25 12:00 57344 -c--a-w- c:\windows\system32\dllcache\icwconn.dll
2010-01-04 21:33 . 2001-10-25 12:00 45056 -c--a-w- c:\windows\system32\dllcache\icwutil.dll
2010-01-04 21:33 . 2001-10-25 12:00 40960 -c--a-w- c:\windows\system32\dllcache\trialoc.dll
2010-01-04 21:33 . 2001-10-25 12:00 24576 -c--a-w- c:\windows\system32\dllcache\icwrmind.exe
2010-01-04 21:33 . 2001-10-25 12:00 155648 -c--a-w- c:\windows\system32\dllcache\icwhelp.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-01-04 17:49 . 2010-01-09 17:16 767488 ----a-w- c:\windows\system32\drivers\tpppoylv.sys
2010-01-04 15:46 . 2001-10-25 12:00 83968 -c--a-w- c:\windows\system32\dllcache\mtxoci.dll
2010-01-04 15:45 . 2001-08-17 21:00 5632 ----a-w- c:\windows\system32\drivers\splitter.sys
2010-01-04 15:45 . 2001-08-17 20:59 50048 ----a-w- c:\windows\system32\drivers\DMusic.sys
2010-01-04 15:44 . 2001-10-24 10:58 56576 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-01-04 15:43 . 2001-10-24 11:22 4096 ----a-w- c:\windows\system32\ksuser.dll
2010-01-04 15:42 . 2001-08-18 05:38 37896 ----a-w- c:\windows\system32\drivers\termdd.sys
2010-01-04 15:42 . 2001-08-17 20:50 181632 ----a-w- c:\windows\system32\drivers\rdpdr.sys
2010-01-04 15:40 . 2001-10-25 12:00 696320 -c--a-w- c:\windows\system32\dllcache\sapi.dll
2010-01-04 15:40 . 2001-10-25 12:00 132096 ----a-w- c:\windows\system\WINSPOOL.DRV
2010-01-04 15:40 . 2001-10-25 12:00 10496 -c--a-w- c:\windows\system32\dllcache\irenum.sys
2010-01-04 15:40 . 2001-10-25 12:00 10496 ----a-w- c:\windows\system32\drivers\irenum.sys
2010-01-04 15:40 . 2001-10-24 11:25 71168 ----a-w- c:\windows\system32\storprop.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-04 22:06 . 2001-10-25 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-01-04 22:06 . 2001-10-25 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2010-01-04 21:34 . 2010-01-04 21:34 8738 ----a-w- c:\windows\PCHEALTH\HELPCTR\Config\Cntstore.bin
2010-01-04 21:34 . 2007-07-28 15:33 2698 ----a-w- c:\windows\PCHEALTH\HELPCTR\PackageStore\SkuStore.bin
2010-01-04 21:34 . 2010-01-04 21:34 80345 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2010-01-04 21:32 . 2007-07-28 15:31 22972 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-02 16:51 . 2009-05-02 16:51 1341 ----a-w- c:\program files\regtools.vbs
.

------- Sigcheck -------

[-] 2004-08-17 . 93F75FF033BAA186D08115D73BFE3D32 . 13824 . . [5.1.2600.2180] . . c:\windows\system32\wscntfy.exe

[-] 2004-08-17 . 9B835D4C64860B155A1701D5092EC9E4 . 129536 . . [5.1.2600.2180] . . c:\windows\system32\xmlprov.dll

[-] 2004-08-03 . 4448006B6BC60E6C027932CFC38D6855 . 29056 . . [5.1.2600.2180] . . c:\windows\system32\drivers\ip6fw.sys

[-] 2004-08-17 13:49 . E02E913B3841717A890A644EE167B9A5 . 52224 . . [9.0.1.56] . . c:\windows\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-01-09_16.41.45 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-09 17:04 . 2010-01-09 17:04 262144 c:\windows\system32\config\systemprofile\NtUser.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 68096]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2009-9-30 331776]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"CTFMON.EXE"=c:\windows\System32\ctfmon.exe
"updateMgr"=c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"SiSUSBRG"=c:\windows\SiSUSBrg.exe
"SoundMan"=SOUNDMAN.EXE

S2 RPEQAWFG;RPEQAWFG;\??\c:\windows\System32\rpeqawfg.smw --> c:\windows\System32\rpeqawfg.smw [?]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - tpppoylv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
DcomLaunch REG_MULTI_SZ DcomLaunch
.
.
------- Doplňkový sken -------
.
uLocal Page =
uStart Page = hxxp://www.seznam.cz/
Trusted Zone: mapy.cz \www
Trusted Zone: seznam.cz\www
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 18:16
Windows 5.1.2600 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RPEQAWFG]
"ImagePath"="\??\c:\windows\System32\rpeqawfg.smw"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tpppoylv]

.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

- - - - - - - > 'lsass.exe'(584)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(492)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Celkový čas: 2010-01-09 18:18:21 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-09 17:18

Před spuštěním: Volných bajtů: 76 041 244 672
Po spuštění: Volných bajtů: 76 016 128 000

- - End Of File - - A314474F530C2A404DB222FC464ED473

[jan.svoboda]

Například odtud stáhni soubor qmgr.dll - http://www.driverskit.com/dll/qmgr.dll/2985.html nebo http://www.dlldump.com/download-dll-fil ... nload.html ... Rozbal jej na plochu.

Otevři Poznámkový blok a vlož do něj tento skript (kromě Kód):

Kód: Vybrat vše

KillAll::

FCopy::
C:\Documents and Settings\Kunz\plocha\qmgr.dll | c:\windows\system32\qmgr.dll

File::
c:\windows\System32\rpeqawfg.smw

Driver::
RPEQAWFG
tpppoylv

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RPEQAWFG]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tpppoylv]

Ulož na plochu jako CFScript.txt. Pak jej myší přetáhni nad ikonu ComboFix a pusť. CF se spustí a vykoná příkazy ze skriptu. Vyskočí nový log a ten sem znovu vlož.

Plus sem vlož log z MBAMu - návod:
http://www.viry.cz/forum/viewtopic.php?f=29&t=67229 - Stáhni, nainstaluj, proveď aktualizaci, úplný sken, nic nemaž a výsledek z logu pošly sem.

[lerak73]

Zatím log z ComboFix, z MBAM zachvilku (nyní jede scan):

ComboFix 10-01-04.01 - Kunz 09.01.2010 18:49:47.3.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.0.1250.420.1029.18.223.114 [GMT 1:00]
Spuštěný z: c:\documents and settings\Kunz\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Kunz\Plocha\CFScript.txt

FILE ::
"c:\windows\System32\rpeqawfg.smw"
.
/wow section - STAGE 4


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

Nakažená kopie c:\windows\system32\qmgr.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\ERDNT\cache\qmgr.dll

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RPEQAWFG
-------\Legacy_TPPPOYLV
-------\Service_tpppoylv


((((((((((((((((((((((((( Soubory vytvořené od 2009-12-09 do 2010-01-09 )))))))))))))))))))))))))))))))
.

2010-01-09 17:33 . 2009-09-15 11:54 52368 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-01-09 17:33 . 2009-09-15 11:54 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-01-09 17:33 . 2009-09-15 11:53 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-01-09 17:33 . 2009-09-15 11:53 97480 ----a-w- c:\windows\system32\AvastSS.scr
2010-01-09 17:33 . 2009-09-15 11:55 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-01-09 17:33 . 2009-09-15 11:56 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-01-09 17:33 . 2009-09-15 11:56 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-01-09 17:32 . 2009-09-15 11:59 1279968 ----a-w- c:\windows\system32\aswBoot.exe
2010-01-09 17:32 . 2010-01-09 17:32 -------- d-----w- c:\program files\Alwil Software
2010-01-09 15:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 15:55 . 2010-01-07 15:07 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 15:55 . 2010-01-09 15:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-09 10:19 . 2006-09-05 16:03 3968 ----a-w- c:\windows\system32\drivers\AvgAsCln.sys
2010-01-04 21:39 . 2001-10-25 12:00 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll
2010-01-04 21:39 . 2001-10-25 12:00 31360 -c--a-w- c:\windows\system32\dllcache\weitekp9.sys
2010-01-04 21:37 . 2001-10-25 12:00 70656 -c--a-w- c:\windows\system32\dllcache\korwbrkr.dll
2010-01-04 21:36 . 2001-10-25 12:00 9216 -c--a-w- c:\windows\system32\dllcache\authfilt.dll
2010-01-04 21:33 . 2001-10-25 12:00 73728 -c--a-w- c:\windows\system32\dllcache\icwtutor.exe
2010-01-04 21:33 . 2001-10-25 12:00 65536 -c--a-w- c:\windows\system32\dllcache\icwres.dll
2010-01-04 21:33 . 2001-10-25 12:00 57344 -c--a-w- c:\windows\system32\dllcache\icwconn.dll
2010-01-04 21:33 . 2001-10-25 12:00 45056 -c--a-w- c:\windows\system32\dllcache\icwutil.dll
2010-01-04 21:33 . 2001-10-25 12:00 40960 -c--a-w- c:\windows\system32\dllcache\trialoc.dll
2010-01-04 21:33 . 2001-10-25 12:00 24576 -c--a-w- c:\windows\system32\dllcache\icwrmind.exe
2010-01-04 21:33 . 2001-10-25 12:00 155648 -c--a-w- c:\windows\system32\dllcache\icwhelp.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-01-04 17:49 . 2010-01-09 17:53 767488 ----a-w- c:\windows\system32\drivers\tpppoylv.sys
2010-01-04 15:46 . 2001-10-25 12:00 83968 -c--a-w- c:\windows\system32\dllcache\mtxoci.dll
2010-01-04 15:45 . 2001-08-17 21:00 5632 ----a-w- c:\windows\system32\drivers\splitter.sys
2010-01-04 15:45 . 2001-08-17 20:59 50048 ----a-w- c:\windows\system32\drivers\DMusic.sys
2010-01-04 15:44 . 2001-10-24 10:58 56576 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-01-04 15:43 . 2001-10-24 11:22 4096 ----a-w- c:\windows\system32\ksuser.dll
2010-01-04 15:42 . 2001-08-18 05:38 37896 ----a-w- c:\windows\system32\drivers\termdd.sys
2010-01-04 15:42 . 2001-08-17 20:50 181632 ----a-w- c:\windows\system32\drivers\rdpdr.sys
2010-01-04 15:40 . 2001-10-25 12:00 696320 -c--a-w- c:\windows\system32\dllcache\sapi.dll
2010-01-04 15:40 . 2001-10-25 12:00 132096 ----a-w- c:\windows\system\WINSPOOL.DRV
2010-01-04 15:40 . 2001-10-25 12:00 10496 -c--a-w- c:\windows\system32\dllcache\irenum.sys
2010-01-04 15:40 . 2001-10-25 12:00 10496 ----a-w- c:\windows\system32\drivers\irenum.sys
2010-01-04 15:40 . 2001-10-24 11:25 71168 ----a-w- c:\windows\system32\storprop.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-04 22:06 . 2001-10-25 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-01-04 22:06 . 2001-10-25 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2010-01-04 21:34 . 2010-01-04 21:34 8738 ----a-w- c:\windows\PCHEALTH\HELPCTR\Config\Cntstore.bin
2010-01-04 21:34 . 2007-07-28 15:33 2698 ----a-w- c:\windows\PCHEALTH\HELPCTR\PackageStore\SkuStore.bin
2010-01-04 21:34 . 2010-01-04 21:34 80345 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2010-01-04 21:32 . 2007-07-28 15:31 22972 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-02 16:51 . 2009-05-02 16:51 1341 ----a-w- c:\program files\regtools.vbs
.

((((((((((((((((((((((((((((( SnapShot@2010-01-09_16.41.45 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-09 17:55 . 2010-01-09 17:55 16384 c:\windows\temp\Perflib_Perfdata_52c.dat
+ 2010-01-09 17:04 . 2010-01-09 17:04 262144 c:\windows\system32\config\systemprofile\NtUser.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 68096]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-09-15 81000]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2009-9-30 331776]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"CTFMON.EXE"=c:\windows\System32\ctfmon.exe
"updateMgr"=c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"SiSUSBRG"=c:\windows\SiSUSBrg.exe
"SoundMan"=SOUNDMAN.EXE

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [9.1.2010 18:33 114768]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - ASWUPDSV
*NewlyCreated* - AVAST!_ANTIVIRUS
*NewlyCreated* - AVAST!_MAIL_SCANNER
*NewlyCreated* - AVAST!_WEB_SCANNER

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
DcomLaunch REG_MULTI_SZ DcomLaunch
.
.
------- Doplňkový sken -------
.
uLocal Page =
uStart Page = hxxp://www.seznam.cz/
Trusted Zone: mapy.cz \www
Trusted Zone: seznam.cz\www
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 18:57
Windows 5.1.2600 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(520)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

- - - - - - - > 'lsass.exe'(576)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(1836)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
.
**************************************************************************
.
Celkový čas: 2010-01-09 19:00:04 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-09 18:00
ComboFix2.txt 2010-01-09 17:18

Před spuštěním: Volných bajtů: 75 911 323 648
Po spuštění: Volných bajtů: 75 908 034 560

- - End Of File - - DF94F4C6DB2BF8AE4D7F50B864E2610E

[lerak73]

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3527
Windows 5.1.2600
Internet Explorer 6.0.2600.0000

9.1.2010 19:14:16
mbam-log-2010-01-09 (19-14-10).txt

Typ kontroly: Kompletní kontrola (C:\|)
Zkontrolované objekty: 123239
Uplynulý čas: 11 minute(s), 27 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 7

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\System Volume Information\_restore{68CC70FD-7E0D-4150-A6B4-177C550FAA8A}\RP6\A0003769.sys (Malware.Trace) -> No action taken.
C:\System Volume Information\_restore{68CC70FD-7E0D-4150-A6B4-177C550FAA8A}\RP6\A0003893.sys (Malware.Trace) -> No action taken.
C:\System Volume Information\_restore{68CC70FD-7E0D-4150-A6B4-177C550FAA8A}\RP6\A0004114.sys (Malware.Trace) -> No action taken.
C:\System Volume Information\_restore{68CC70FD-7E0D-4150-A6B4-177C550FAA8A}\RP6\A0004220.sys (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\tpppoylv.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\Kunz\Data aplikací\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Kunz\Data aplikací\wiaservg.log (Malware.Trace) -> No action taken.

[jan.svoboda]

OK, ještě jendou proveď to se skriptem u ComboFixu, ale nyní použij tento skript:

Kód: Vybrat vše

KillAll::

RootKit::
C:\WINDOWS\system32\drivers\tpppoylv.sys

Driver::
tpppoylv

File::
C:\Documents and Settings\Kunz\Data aplikací\wiaservg.log

Plus smaž všechny body obnovení systému tím, že jej deaktivuješ, potvrdíš, restartuješ PC a znovu zapneš.

[lerak73]

Projel jsem ComboFixem, akorát teď nevím jak deaktivovat (smazat) body obnovení systému. A co výsledky z MBAMu? To co našel se odstranilo?

[jan.svoboda]

Ne, neodstranilo. Přečti si ještě jednou, co máš udělat. Znovu použij návod k vytvoření skriptu, ale použij poslední zmíněný skript. Vlož sem aktuální log po provedení. Pak použij T-cleaner.

Návod:
Stáhněte T-Cleaner http://sweb.cz/Marinus/T-Cleaner.exe -Spusťte,pro potvrzení volby mačkejte klávesu A (všechno odsouhlas), Enter -po použití prográmek vymažte.Pozor,antiviry ho mohou falešně označit za vir T-cleaner uklidí po Mwawu

[lerak73]

log je zde + použil jsem pak i ten T-cleaner.

ComboFix 10-01-04.01 - Kunz 09.01.2010 19:34:42.4.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.0.1250.420.1029.18.223.117 [GMT 1:00]
Spuštěný z: c:\documents and settings\Kunz\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Kunz\Plocha\CFScript.txt

FILE ::
"c:\documents and settings\Kunz\Data aplikací\wiaservg.log"
.
/wow section - STAGE 4


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Kunz\Data aplikací\wiaservg.log
c:\windows\system32\drivers\tpppoylv.sys

Nakažená kopie c:\windows\system32\qmgr.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\ERDNT\cache\qmgr.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-09 do 2010-01-09 )))))))))))))))))))))))))))))))
.

2010-01-09 17:32 . 2010-01-09 17:32 -------- d-----w- c:\program files\Alwil Software
2010-01-09 15:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 15:55 . 2010-01-07 15:07 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 15:55 . 2010-01-09 15:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-09 10:19 . 2006-09-05 16:03 3968 ----a-w- c:\windows\system32\drivers\AvgAsCln.sys
2010-01-04 21:39 . 2001-10-25 12:00 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll
2010-01-04 21:39 . 2001-10-25 12:00 31360 -c--a-w- c:\windows\system32\dllcache\weitekp9.sys
2010-01-04 21:37 . 2001-10-25 12:00 70656 -c--a-w- c:\windows\system32\dllcache\korwbrkr.dll
2010-01-04 21:36 . 2001-10-25 12:00 9216 -c--a-w- c:\windows\system32\dllcache\authfilt.dll
2010-01-04 21:33 . 2001-10-25 12:00 73728 -c--a-w- c:\windows\system32\dllcache\icwtutor.exe
2010-01-04 21:33 . 2001-10-25 12:00 65536 -c--a-w- c:\windows\system32\dllcache\icwres.dll
2010-01-04 21:33 . 2001-10-25 12:00 57344 -c--a-w- c:\windows\system32\dllcache\icwconn.dll
2010-01-04 21:33 . 2001-10-25 12:00 45056 -c--a-w- c:\windows\system32\dllcache\icwutil.dll
2010-01-04 21:33 . 2001-10-25 12:00 40960 -c--a-w- c:\windows\system32\dllcache\trialoc.dll
2010-01-04 21:33 . 2001-10-25 12:00 24576 -c--a-w- c:\windows\system32\dllcache\icwrmind.exe
2010-01-04 21:33 . 2001-10-25 12:00 155648 -c--a-w- c:\windows\system32\dllcache\icwhelp.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 13312 ----a-w- c:\windows\system32\irclass.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll
2010-01-04 21:27 . 2001-10-25 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll
2010-01-04 15:46 . 2001-10-25 12:00 83968 -c--a-w- c:\windows\system32\dllcache\mtxoci.dll
2010-01-04 15:45 . 2001-08-17 21:00 5632 ----a-w- c:\windows\system32\drivers\splitter.sys
2010-01-04 15:45 . 2001-08-17 20:59 50048 ----a-w- c:\windows\system32\drivers\DMusic.sys
2010-01-04 15:44 . 2001-10-24 10:58 56576 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-01-04 15:43 . 2001-10-24 11:22 4096 ----a-w- c:\windows\system32\ksuser.dll
2010-01-04 15:42 . 2001-08-18 05:38 37896 ----a-w- c:\windows\system32\drivers\termdd.sys
2010-01-04 15:42 . 2001-08-17 20:50 181632 ----a-w- c:\windows\system32\drivers\rdpdr.sys
2010-01-04 15:40 . 2001-10-25 12:00 696320 -c--a-w- c:\windows\system32\dllcache\sapi.dll
2010-01-04 15:40 . 2001-10-25 12:00 132096 ----a-w- c:\windows\system\WINSPOOL.DRV
2010-01-04 15:40 . 2001-10-25 12:00 10496 -c--a-w- c:\windows\system32\dllcache\irenum.sys
2010-01-04 15:40 . 2001-10-25 12:00 10496 ----a-w- c:\windows\system32\drivers\irenum.sys
2010-01-04 15:40 . 2001-10-24 11:25 71168 ----a-w- c:\windows\system32\storprop.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-04 22:06 . 2001-10-25 12:00 46196 ----a-w- c:\windows\system32\perfc005.dat
2010-01-04 22:06 . 2001-10-25 12:00 309990 ----a-w- c:\windows\system32\perfh005.dat
2010-01-04 21:34 . 2010-01-04 21:34 8738 ----a-w- c:\windows\PCHEALTH\HELPCTR\Config\Cntstore.bin
2010-01-04 21:34 . 2007-07-28 15:33 2698 ----a-w- c:\windows\PCHEALTH\HELPCTR\PackageStore\SkuStore.bin
2010-01-04 21:34 . 2010-01-04 21:34 80345 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2010-01-04 21:32 . 2007-07-28 15:31 22972 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-02 16:51 . 2009-05-02 16:51 1341 ----a-w- c:\program files\regtools.vbs
.

((((((((((((((((((((((((((((( SnapShot@2010-01-09_16.41.45 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-09 17:55 . 2010-01-09 17:55 16384 c:\windows\temp\Perflib_Perfdata_52c.dat
+ 2010-01-09 17:04 . 2010-01-09 18:31 262144 c:\windows\system32\config\systemprofile\NtUser.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 68096]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2009-9-30 331776]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"CTFMON.EXE"=c:\windows\System32\ctfmon.exe
"updateMgr"=c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"servises"=c:\windows\System32\servises.exe
"SiSUSBRG"=c:\windows\SiSUSBrg.exe
"SoundMan"=SOUNDMAN.EXE


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
DcomLaunch REG_MULTI_SZ DcomLaunch
.
.
------- Doplňkový sken -------
.
uLocal Page =
uStart Page = hxxp://www.seznam.cz/
Trusted Zone: mapy.cz \www
Trusted Zone: seznam.cz\www
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 19:41
Windows 5.1.2600 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(516)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

- - - - - - - > 'lsass.exe'(580)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(128)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Celkový čas: 2010-01-09 19:43:22 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-09 18:43
ComboFix2.txt 2010-01-09 18:00
ComboFix3.txt 2010-01-09 17:18

Před spuštěním: Volných bajtů: 75 995 566 080
Po spuštění: Volných bajtů: 75 993 358 336

- - End Of File - - FF0D36522DC6FD1DE758F01F72496668

[jan.svoboda]

Vyskytla se malá komplikace, stále je nakažený jeden systémový soubor.

Například odtud stáhni soubor qmgr.dll - http://www.driverskit.com/dll/qmgr.dll/2985.html nebo http://www.dlldump.com/download-dll-fil ... nload.html ... Rozbal jej na disk C:/

Dle návodu http://www.viry.cz/forum/viewtopic.php?t=19832 použij Avenger s tímto skriptem:

Kód: Vybrat vše

Files to move:
c:\qmgr.dll | c:\windows\system32\qmgr.dll

Vlož sem z něho log !

[zombux]

použij Avenger s tímto skriptem:

nebylo by nejrozumnější pro jistotu ten Avenger spustit v nouzáku?

[jan.svoboda]

použij Avenger s tímto skriptem:

nebylo by nejrozumnější pro jistotu ten Avenger spustit v nouzáku?

Tak může to zkusit, ale on (Avenger) by měl vykonat fyzicky tu akci až v průběhu restartování, takže myslím, že by to nemělo mít vliv. Ale jistě to nevím, takže by tím nic neuškodil. Kdyžtak přesuneme pomocí GMERu, popř. Konzolí pro zotavení, nebo ještě jednou variantou, kde se automaticky obnoví všechny nakažené systémové soubory (v praxi neotestováno u mě, ale dle zkušeností funguje, tak by byl pokusný králík no )