prosim o kontronu logu

[roman99]

Dobrý den, mám pc na kterém chvíli po spuštění win nejde nic spustit. Když ho pak chci vypnout nebo restartovat zamrzne.


ComboFix 10-03-24.02 - Administrator 25.03.2010 10:50:51.2.2 - FAT32x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1012.730 [GMT 1:00]
Spuštěný z: C:\ComboFix.exe
AV: avast! Antivirus *On-access scanning enabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Šárka\Local Settings\temp\RtkBtMnt.exe
.
---- Předchozí spuštění -------
.
D:\Autorun.inf

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-02-25 do 2010-03-25 )))))))))))))))))))))))))))))))
.

2010-03-25 09:45 . 2010-03-25 07:32 3899362 ----a-r- C:\ComboFix.exe
2010-03-25 09:07 . 2010-03-25 09:07 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-03-25 06:55 . 2010-03-25 06:55 -------- d-----w- c:\program files\CCleaner
2010-03-15 18:54 . 2010-03-09 11:12 162640 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-03-15 18:54 . 2010-03-09 11:08 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-03-15 18:54 . 2010-03-09 11:12 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-03-15 18:54 . 2010-03-09 11:09 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-03-15 18:54 . 2010-03-09 11:08 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-03-15 18:54 . 2010-03-09 11:08 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-03-15 18:54 . 2010-03-09 11:08 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-03-15 18:52 . 2010-03-09 11:24 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-03-15 18:52 . 2010-02-11 18:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-03-15 18:51 . 2010-03-15 18:51 -------- d-----w- c:\program files\Alwil Software
2010-03-08 15:19 . 2010-03-08 15:19 -------- d-----w- c:\program files\Real
2010-03-08 15:17 . 2010-03-08 15:17 -------- d-----w- c:\program files\Common Files\xing shared
2010-03-08 15:13 . 2010-03-08 15:13 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-03-08 15:13 . 2010-03-08 15:13 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-03-08 15:11 . 2010-03-08 15:11 -------- d-----w- c:\program files\Common Files\Real

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-09 15:16 . 2010-02-09 15:16 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-02-09 15:11 . 2010-02-09 15:11 -------- d-----w- c:\program files\Common Files\Skype
2010-02-09 15:11 . 2010-02-09 15:11 -------- d-----r- c:\program files\Skype
2010-02-08 14:19 . 2010-02-08 14:19 -------- d-----w- c:\program files\Common Files\DivX Shared
2010-02-07 19:57 . 2010-02-07 19:57 -------- d-----w- c:\program files\ICQ6Toolbar
2010-02-07 19:50 . 2010-02-07 19:50 -------- d-----w- c:\program files\ICQ6.5
2008-04-14 03:00 . 2008-11-29 23:32 161513 --sh--r- c:\windows\system32\hjxlme.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-15 16862720]
"AzMixerSel"="c:\program files\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-24 1044480]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-05-13 821768]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-11-30 24064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-11 34672]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PLFSetL"="c:\windows\PLFSetL.exe" [2007-07-05 94208]
"ProductReg"="c:\program files\Acer\WR_PopUp\ProductReg.exe" [2008-09-23 6144]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-03-08 202256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\ć rka\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Věýezy obrazovky a spuçtŘnˇ aplikace OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-8-23 101784]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2008-11-30 114688]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2453:TCP"= 2453:TCP:neomk

S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [15.3.2010 19:54 162640]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [15.3.2010 19:54 19024]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [7.2.2010 21:36 135664]
S2 hfcsoq;Server Image;c:\windows\system32\svchost.exe -k netsvcs [30.11.2008 0:32 14336]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [7.2.2010 20:57 222968]
S3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [30.11.2008 1:10 24064]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
hfcsoq
.
Obsah adresáře 'Naplánované úlohy'

2010-02-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cab61cc91fcf08.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 20:36]

2010-03-16 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-638971174-1445276385-955046455-1006.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-03-16 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-638971174-1445276385-955046455-1006.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://global.acer.com
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0405&s=0&o=xph&d=0509&m=aoa110
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-25 10:57
Windows 5.1.2600 Service Pack 3 FAT NTAPI

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hfcsoq]
"ServiceDll"="c:\windows\system32\hjxlme.dll"
.
Celkový čas: 2010-03-25 11:01:21
ComboFix-quarantined-files.txt 2010-03-25 10:01

Před spuštěním: 7 919 542 272
Po spuštění: 7 889 747 968

- - End Of File - - 31A71A22B6F43BAC5BC07358ED2D6A8E

[jan.svoboda]

Ahoj, ještě sem dej log z MBAMu, vidím tam havěť.

Stáhněte Malwarebytes' Anti-Malware - http://viry.cz/forum/viewtopic.php?f=29&t=67229
Dejte úplný sken C systém
Log sem, nic nemazat až po posouzení logu

[roman99]

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3510
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

25.3.2010 13:16:58
mbam-log-2010-03-25 (13-16-46).txt

Typ kontroly: Kompletní kontrola (C:\|)
Zkontrolované objekty: 142324
Uplynulý čas: 44 minute(s), 25 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 4

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\WINDOWS\system32\01.tmp (Worm.Conficker) -> No action taken.
C:\System Volume Information\_restore{2ED94076-DB0D-418E-9E4D-B4490E2D2A79}\RP0\A0000038.sys (Malware.Trace) -> No action taken.
C:\System Volume Information\_restore{2ED94076-DB0D-418E-9E4D-B4490E2D2A79}\RP0\A0000120.sys (Malware.Trace) -> No action taken.
C:\System Volume Information\_restore{2ED94076-DB0D-418E-9E4D-B4490E2D2A79}\RP0\A0000195.sys (Malware.Trace) -> No action taken.

[jan.svoboda]

Co našel MBAM smaž. Tohle ale nevypadá na virovou nákazu... Zamrzání PC způsobuje hodně věcí, např. přehřívání systému, nestabilita po OC, vadné RAM, ...

[roman99]

smazání jsem udělal ale problém se nevyřešil. Všechny testy jsem spouštěl v nouzovým režimu, v kterém je všechno v pořádku. V normálním režimu se dá spustit jakýkoli program jenom cca 5 -10 sekund po spuštění windows. Pak se dají jenom otvírat složky ale když chci neco spustit tak se nic nestane, nejde otevřít ani textový dokument.

[jan.svoboda]

Jo, smazání souboru to zřejmě neovlivní. Tak v tomto případě, pokud v Nouzovém režimu všechno funguje v pořádku, bych to vyděl možná na poškozený systémový soubor (nějaký ovladač apod.). Zkus Opravu systému z instalačního média. Ta nakopíruje nové soubory systému, ale soubory neztratíš.

[roman99]

tento problém mám na noteboku acer aspire one model zg5, který nemá cd mechaniku a žádnou usb cd mechaniku nemám k dispozici. dá se systém instalovat z flash paměti? nebo je nejaké řešení bez cd mechaniky?

[jan.svoboda]

Ano, instalovat (provést opravnou instalaci se zachováním dat) z flash paměti by mělo jít. Mrkni třeba sem :
http://www.mujeee.cz/2008-05-16/instala ... -klicenky/

[roman99]

Děkuji za pomoc už jsem ten odkaz našel v jiné sekci fóra, windows přeinstaloval a všechno beží jak má.

[jan.svoboda]

Ok, ještě prosím vlož aktuální log z ComboFixu. Omlouvám se, v předchozím logu jsem si nevšiml rootkita, který to pravděpodobně způsoboval. Opravnou instalací již byl asi zneškodněn, ale pro jistotu sem ten log dej. Díky.

[kilmal]

Na rootkity bych doporucil Gmer prip. mbr, CF mi neprijde jako vhodny skener vzhledem ke sve sile...

[jan.svoboda]

Kilmal: Neboj, takové skeny jistě znám... Ale dle mě je nyní pouze pro jistotu vhodný log z CF.

[kilmal]

Ja nepochybuji o tve neznalosti CF, jak jinak by jsi jej take mohl doporucovat, kdyz by jsi ho neznal - o tve neznalosti nepadlo z me strany ani slovo...CF ma v sobe sken gmer, ale je lepsi pouzity samotny gmer na rootkity - coz byl tvuj zamer - udelat test pouze na rootkity

[jan.svoboda]

Jo, OK. Souhlasím...

[kilmal]

Pokud tedy ma uzivatel zajem, muzeme test udelat - preventivne a pokud ma dost casu - gmer byva nekdy hooodne dlouhy

[jan.svoboda]

To je pravda Ačkoliv se mi zdá, že již po přeinstalaci Windows to nehodlá řešit