Reset počítače při běhu některých programů

[ivanti]

Mám problém s resetováním počítače při běhu některých programů (converxtodvd, shrink, hra heroes3) včetně antiviru NOD32 a Superantispyware při kontrole počítače. Program běží několik minut a pak se restartuje sám počítač. Ostatní aplikace běží bez jakéhokoliv problému. Nevím zda je to může být způsobeno nějakým virem či něčím jiným. Prosím o kontrolu logu z HJT případně sdělení čím to může být. Děkuji a přikládám log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:43:38, on 23.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\rapget.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\GetRight\getright.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\totalcmd\TOTALCMD.EXE
c:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Rapget] C:\Program Files\rapget.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwa ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D096A752-B93E-4ED5-B84D-086A54AF34D7}: NameServer = 10.0.150.150,213.195.202.5
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 5357 bytes

[Ryan]

log je v pořádku, nicméně zkuste toto:

stahnete a ulozte na plochu ComboFix

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, klikněte na ANO

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se jedna a kolika soubory se skener bude muset prodirat), postupujte dle pokynu na obrazovce, behem skenu se nepokousejte spoustet zadne jine aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate Spyware Terminator, prepnete jeho rezidentni stit do Install Mode, pripadne jej po dobu skenu uplne deaktivujte, protoze se pri skenu Combofix pokousi infikovane soubory smazat a Spyware Terminator tomu muze branit


po restartu aplikace vytvori log, ulozeny na C:/Combofix.txt (pri opakovanem pouziti jsou logy oznaceny Combofix2.txt atd.), jeho obsah vlozte sem

[ivanti]

Díky, posílám log z ComboFix
ComboFix 08-02-17.2 - Ivan 2008-02-24 15:47:27.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1029.18.255 [GMT 1:00]
Running from: C:\Downloads\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-01-24 to 2008-02-24 )))))))))))))))))))))))))))))))
.

2008-02-24 14:35 . 2008-02-24 14:35 <DIR> d-------- C:\Program Files\Sega
2008-02-23 16:47 . 2008-02-23 16:51 <DIR> d-------- C:\Documents and Settings\Administrator\Data aplikací\Vso
2008-02-23 16:46 . 2007-09-14 17:31 <DIR> d-------- C:\Documents and Settings\Administrator\Plocha
2008-02-23 16:46 . 2007-09-14 17:31 <DIR> d--h----- C:\Documents and Settings\Administrator\Okolní tiskárny
2008-02-23 16:46 . 2007-09-14 17:31 <DIR> d--h----- C:\Documents and Settings\Administrator\Okolní síť
2008-02-23 16:46 . 2007-09-14 17:31 <DIR> d-------- C:\Documents and Settings\Administrator\Oblíbené položky
2008-02-23 16:46 . 2007-09-14 15:40 <DIR> d--h----- C:\Documents and Settings\Administrator\Šablony
2008-02-23 16:46 . 2007-09-14 17:31 <DIR> dr------- C:\Documents and Settings\Administrator\Nabídka Start
2008-02-23 16:46 . 2007-09-14 17:31 <DIR> d-------- C:\Documents and Settings\Administrator\Dokumenty
2008-02-23 16:46 . 2007-09-14 17:31 <DIR> dr-h----- C:\Documents and Settings\Administrator\Data aplikací
2008-02-22 15:30 . 2008-02-22 15:30 <DIR> d-------- C:\Karneval
2008-02-21 21:16 . 2008-02-21 21:16 <DIR> d-------- C:\Kabat - Zive (1992)
2008-02-21 21:16 . 2008-02-21 21:16 <DIR> d-------- C:\Kabat - Zeme plna trpasliku (1995)
2008-02-21 21:16 . 2008-02-21 21:16 <DIR> d-------- C:\Kabat - Orgasmus (Demo) (1990)
2008-02-21 21:16 . 2008-02-21 21:16 <DIR> d-------- C:\Kabat - MegaHu (1999)
2008-02-21 21:16 . 2008-02-21 21:16 <DIR> d-------- C:\Kabat - Ma ji motorovou (1991)
2008-02-21 21:16 . 2008-02-21 21:16 <DIR> d-------- C:\Kabat - Go satane go (2000)
2008-02-21 21:16 . 2008-02-21 21:16 <DIR> d-------- C:\Kabat - Devky ty to znaj (1993)
2008-02-18 16:38 . 2008-02-18 16:38 <DIR> d-------- C:\Blokada 3
2008-02-17 12:56 . 2008-02-17 13:12 <DIR> d-------- C:\Program Files\SUPERAntiSpyware
2008-02-17 12:56 . 2008-02-17 12:56 <DIR> d-------- C:\Documents and Settings\Ivan\Data aplikací\SUPERAntiSpyware.com
2008-02-17 12:56 . 2008-02-17 12:56 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\SUPERAntiSpyware.com
2008-02-17 12:55 . 2008-02-17 12:55 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-02-16 14:24 . 2008-02-16 14:24 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-16 14:24 . 2008-02-16 14:24 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-10 20:03 . 2008-02-10 20:03 11,341 --a------ C:\Program Files\tmp18918984.exe
2008-02-10 20:03 . 2008-02-10 20:03 10,240 --a------ C:\Program Files\tmp18904403.exe
2008-02-09 19:23 . 2008-02-09 19:23 11,949 --a------ C:\Program Files\tmp42410.exe
2008-02-09 19:23 . 2008-02-09 19:23 11,341 --a------ C:\Program Files\tmp42390.exe
2008-02-09 19:23 . 2008-02-09 19:23 10,240 --a------ C:\Program Files\tmp41439.exe
2008-02-09 19:23 . 2008-02-09 19:23 10,240 --a------ C:\Program Files\tmp40117.exe
2008-02-09 11:15 . 2008-02-09 11:15 <DIR> d-------- C:\Documents and Settings\Ivan\Data aplikací\ESET
2008-02-08 19:06 . 2008-02-08 19:06 10,469 --a------ C:\Program Files\tmp1884129.exe
2008-02-08 19:06 . 2008-02-08 19:06 10,240 --a------ C:\Program Files\tmp1883298.exe
2008-02-07 15:55 . 2008-02-07 15:55 17,144 --a------ C:\Documents and Settings\Ivan\Data aplikací\GDIPFONTCACHEV1.DAT
2008-02-07 15:39 . 2008-02-07 15:39 11,341 --a------ C:\Program Files\tmp44904.exe
2008-02-07 15:39 . 2008-02-07 15:39 10,240 --a------ C:\Program Files\tmp44924.exe
2008-02-07 15:39 . 2008-02-07 15:39 10,240 --a------ C:\Program Files\tmp43973.exe
2008-02-05 22:45 . 2008-02-05 22:45 11,341 --a------ C:\Program Files\tmp130257.exe
2008-02-05 22:45 . 2008-02-05 22:45 10,240 --a------ C:\Program Files\tmp128484.exe
2008-02-04 21:40 . 2008-02-04 21:40 11,341 --a------ C:\Program Files\tmp5461322.exe
2008-02-04 21:40 . 2008-02-04 21:40 10,240 --a------ C:\Program Files\tmp5458078.exe
2008-02-03 19:27 . 2008-02-03 19:27 <DIR> d-------- C:\Program Files\FDRLab
2008-01-29 22:31 . 2008-01-29 22:31 <DIR> d-------- C:\Program Files\Bethesda Softworks
2008-01-26 17:39 . 2008-01-26 17:39 <DIR> d-------- C:\Program Files\AML Products
2008-01-26 17:39 . 2008-01-26 17:39 2,535,424 --a------ C:\WINDOWS\system32\agsaamj.dll
2008-01-26 17:39 . 2002-01-05 06:48 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2008-01-26 17:39 . 2000-09-22 14:10 647,872 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX
2008-01-26 17:39 . 2008-01-26 17:39 610,304 --a------ C:\WINDOWS\system32\agsaamg.dll
2008-01-26 17:39 . 2002-01-05 05:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-01-26 17:39 . 2008-01-26 17:39 372,736 --a------ C:\WINDOWS\system32\agsaamc.dll
2008-01-26 17:39 . 2004-03-09 16:45 152,848 --a------ C:\WINDOWS\system32\Comdlg32.ocx
2008-01-26 17:39 . 2008-01-26 17:39 90,112 --a------ C:\WINDOWS\system32\agsaami.dll
2008-01-26 17:39 . 2008-01-26 17:39 53,760 --a------ C:\WINDOWS\system\ppacklib.dll
2008-01-26 17:39 . 2005-06-21 17:48 1 --a------ C:\WINDOWS\sslzdlt.dll
2008-01-26 17:30 . 2008-01-26 17:30 <DIR> d-------- C:\Program Files\gspot
2008-01-26 17:21 . 2008-01-26 17:21 <DIR> d-------- C:\Program Files\VirtualDubMod
2008-01-26 16:41 . 2008-01-26 16:41 <DIR> d-------- C:\Program Files\Sagasoft
2008-01-26 16:41 . 2008-01-26 16:44 3,082 --a------ C:\WINDOWS\system32\affv11952p1now.sys
2008-01-26 16:41 . 2008-01-26 16:58 5 --a------ C:\WINDOWS\system32\winvid.dat
2008-01-26 14:42 . 2008-01-26 14:42 <DIR> d-------- C:\Documents and Settings\Ivan\Data aplikací\Pegasys Inc
2008-01-26 14:41 . 2008-01-26 14:41 <DIR> d-------- C:\Program Files\Pegasys Inc
2008-01-26 14:22 . 2008-01-26 14:22 <DIR> d-------- C:\Mp3con
2008-01-26 14:21 . 2008-01-26 14:21 <DIR> d-------- C:\Program Files\easetech
2008-01-26 14:21 . 2008-01-26 17:08 5 --a------ C:\WINDOWS\system32\system1.dat
2008-01-26 14:12 . 2005-11-21 06:48 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-01-26 14:12 . 2005-11-21 06:48 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2008-01-26 14:11 . 2008-01-26 14:12 <DIR> d-------- C:\Program Files\4Musics MP3 to WAV Converter
2008-01-26 14:07 . 2008-01-26 17:33 209 --a------ C:\WINDOWS\IfoEdit.INI
2008-01-26 13:36 . 2008-01-26 13:36 <DIR> d-------- C:\Documents and Settings\Ivan\Data aplikací\Sony
2008-01-26 13:23 . 2008-01-26 13:23 <DIR> d-------- C:\Program Files\Sony Setup
2008-01-26 12:49 . 2008-01-27 10:31 <DIR> d-------- C:\Program Files\Magic Video Converter
2008-01-26 12:49 . 2008-01-26 12:49 81,920 --a------ C:\Documents and Settings\Ivan\Data aplikací\ezpinst.exe
2008-01-26 11:46 . 2008-01-26 11:46 <DIR> d-------- C:\Program Files\Video mp3 Extractor
2008-01-25 21:08 . 2008-01-25 21:08 <DIR> d-------- C:\Documents and Settings\Ivan\Data aplikací\Apple Computer
2008-01-24 20:13 . 2008-02-12 18:40 <DIR> d-------- C:\Program Files\ParadisePoker

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-24 14:45 --------- d-----w C:\Program Files\GetRight
2008-02-24 14:44 3,017 ----a-w C:\Program Files\rapget.ini
2008-02-24 13:38 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-02-24 13:38 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-23 18:25 14,304 ----a-w C:\Program Files\links.dat
2008-02-23 15:51 --------- d-----w C:\Documents and Settings\Ivan\Data aplikací\Vso
2008-02-03 12:03 98,304 ----a-w C:\WINDOWS\DUMP5d7e.tmp
2008-02-03 10:56 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\DVD Shrink
2008-01-26 11:49 47,360 ----a-w C:\Documents and Settings\Ivan\Data aplikací\pcouffin.sys
2008-01-22 18:14 --------- d-----w C:\Documents and Settings\Ivan\Data aplikací\Skype
2008-01-14 15:20 --------- d-----w C:\Program Files\Media Art
2008-01-08 17:12 --------- d-----w C:\Program Files\lang
2007-12-29 09:51 --------- d-----w C:\Program Files\Common Files\Adobe
2007-12-05 19:57 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-09-21 21:40 10,023 ----a-w C:\Program Files\readme_en.txt
2007-09-21 21:37 11,328 ----a-w C:\Program Files\readme_rus.txt
2007-09-21 21:32 171,520 ----a-w C:\Program Files\rapget.exe
2007-06-23 17:32 79,432 ----a-w C:\Program Files\base.rob
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 13:00 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-17 14:58 1667584]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 19:24 32768]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2004-12-14 17:57 458752]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2004-12-14 17:51 217088]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 14:28 577536 C:\WINDOWS\soundman.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Rapget"="C:\Program Files\rapget.exe" [2007-09-21 22:32 171520]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 08:21 1443072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 13:00 15360]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 09:17 1241088]

C:\Documents and Settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
GetRight - Tray Icon.lnk - C:\Program Files\GetRight\getright.exe [2007-09-14 19:50:51 4112384]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Adobe Reader Synchronizer.lnk]
path=C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
--a------ 2007-07-02 11:29 220544 C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
--a------ 2004-12-14 17:19 221184 C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OM2_Monitor]
--a------ 2007-05-28 16:59 95800 C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2007-06-18 14:10 271360 C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2007-12-21 08:21]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-18 13:00]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2005-11-21 06:48]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-24 15:49:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-02-24 15:50:05
ComboFix-quarantined-files.txt 2008-02-24 14:49:56
ComboFix2.txt 2008-02-17 13:00:32

[Ryan]

Otevři poznámkový blok --> do něj zkopíruj tento text:

File:
C:\WINDOWS\sslzdlt.dll

Rootkit:
C:\WINDOWS\system32\affv11952p1now.sys

--> ulož tento dokument jako CFScript.txt --> chytni texťák a přesuň ho nad ikonku ComboFixu --> pusť a spustí se ComboFIx --> pokračuj klasicky podle pokynů a ComboFix nákazu smaže --> pak pošli nový log který ComboFix vytvoří

[ivanti]

Zkusil jsem to, ale shazuje to pc při běhu ComboFixu

[Ryan]

proveď to v nouzovém režimu

[ivanti]

Shazuje to i v nouzovém režimu - před skenováním se objeví v ComboFixu hláška:
ComboFix has changed your clock settings.
Do not change it back. It shall be restored later.

Při samotném skenu se dostane asi na 41% a pak se objeví hláška C:ComboFix/Dir Root - nelze otevřít, používá ji jiná aplikace (toto nenní přesné znění)

[Ryan]

nevadí, zkuste toto: http://www.viry.cz/forum/viewtopic.php?t=16475

[ivanti]

díky, ale nepřineslo to úspěch, po restartu do normálního režimu nastal ihned zase reset kompu. Přikládám report ze SmitFraudFixu:
SmitFraudFix v2.294

Scan done at 19:00:48.99, 2008-02-24
Run from C:\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Verze 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D096A752-B93E-4ED5-B84D-086A54AF34D7}: NameServer=10.0.150.150,213.195.202.5
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D096A752-B93E-4ED5-B84D-086A54AF34D7}: NameServer=10.0.150.150,213.195.202.5
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D096A752-B93E-4ED5-B84D-086A54AF34D7}: NameServer=10.0.150.150,213.195.202.5


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

[Ryan]

pardon, udal jsem špatný link... mělo to být toto: http://www.viry.cz/forum/viewtopic.php?t=40395

[ivanti]

Vypadá to, že už si to snad vymýšlím, ale shodilo mi to komp při běhu programu SDFix v nouzovém režimu

[oyza]

mate vypnutio ve widlich auto restart? haze to bez autorestartu bluescreen a co na nem je za hlasku? jinak posledni zkusenost s jednim kompem, ktery restartoval pri hrach a video programech, byly blby ovladace pro grafarnu. zkusil jsem jiny a uz to slape

[Ryan]

dotyčný má v PC nákazu... zítra se ozvu a zkusíme na to jít ještě jinak. nic není ztraceno;-)

[ivanti]

grafikou to asi nebude, před cca 3-4 týdny to šlapalo ještě normálně a mezitím jsem neinstaloval nové ovladače. Jinak nevím kde mám nastavit auto restart. Jinak díky moc za pomoc

[Ryan]

Omlouvám se, byl jsem minule trochu pod vlivem a hned to na mých radách bylo znát... zopakujte postup s ComboFixem, ale proveďte to takto:

Otevři poznámkový blok --> do něj zkopíruj tento text:

File::
C:\WINDOWS\sslzdlt.dll

Rootkit::
C:\WINDOWS\system32\affv11952p1now.sys

--> ulož tento dokument jako CFScript.txt --> chytni texťák a přesuň ho nad ikonku ComboFixu --> pusť a spustí se ComboFIx --> pokračuj klasicky podle pokynů a ComboFix nákazu smaže --> pak pošli nový log který ComboFix vytvoří

[oyza]

grafikou to asi nebude, před cca 3-4 týdny to šlapalo ještě normálně a mezitím jsem neinstaloval nové ovladače. Jinak nevím kde mám nastavit auto restart. Jinak díky moc za pomoc

ovladaci panely-system-upresnit - spusteni a zotaveni*nastaveni tam to je

[ivanti]

to už jsme zkoušeli, bohužel mi to shazuje i ComboFix

tohle je jiná script... tam v tom prvním jsem zapomněl ještě jedny dvojtečky, dole už jsou... ale pokud to shazuje i tak, stáhni program Avenger z http://www.spyware.cz/spyware.cz/download/avenger.exe --> spusť --> zadej volbu Input script manually --> klik na lupu --> do nového okna vlož text:

Files to delete:
C:\WINDOWS\sslzdlt.dll
C:\WINDOWS\system32\affv11952p1now.sys

Drivers to unload:
affv11952p1now

--> klik na DONE --> klik na semafor --> vše potvrď --> po restartu zašli log, který ti program vyhodí.

VŠE DĚLEJ V NOUZOVÉM REŽIMU!

[oyza]

kdyz to tak ctu, neni nad to ten disk prsknout do jineho pc, ktery ma nejaky solidni av a projet to tam

[Ryan]

kdyz to tak ctu, neni nad to ten disk prsknout do jineho pc, ktery ma nejaky solidni av a projet to tam

na tohle jsou antiviry krátké... pokud znáš A co umí detekovvat a mazat rootkity na slušné úrovni, rád se nechám poučit

[ivanti]

Díky - ComboFix to shodilo i s touto změnou, zkusil jsem Avanger v nouzovém režimu, po jeho restartu to v přihlašovací tabulce windowsu opět restarovalo. Po vypnutí a následném zapnutí PC se objevil report Avaneru:
ALogfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qcfdjeba

*******************

Script file located at: \??\C:\Documents and Settings\^sscheed.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\sslzdlt.dll not found!
Deletion of file C:\WINDOWS\sslzdlt.dll failed!

Could not process line:
C:\WINDOWS\sslzdlt.dll
Status: 0xc0000034

File C:\WINDOWS\system32\affv11952p1now.sys deleted successfully.


Registry key \Registry\Machine\System\CurrentControlSet\Services\affv11952p1now not found!
Unload of driver affv11952p1now failed!

Could not process line:
affv11952p1now
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Ještě předtím než jsem dělal toto mi bylo doporučené, abych použil v Avangeru tento script:
Files to delete:
C:\WINDOWS\DUMP5d7e.tmp
C:\Program Files\tmp128484.exe
C:\Program Files\tmp130257.exe
C:\Program Files\tmp1883298.exe
C:\Program Files\tmp1884129.exe
C:\Program Files\tmp18904403.exe
C:\Program Files\tmp18918984.exe
C:\Program Files\tmp40117.exe
C:\Program Files\tmp41439.exe
C:\Program Files\tmp42390.exe
C:\Program Files\tmp42410.exe
C:\Program Files\tmp43973.exe
C:\Program Files\tmp44904.exe
C:\Program Files\tmp44924.exe
C:\Program Files\tmp5458078.exe
C:\Program Files\tmp5461322.exe

a pak projel skenem pomocí MWAV -
to jsem udělal, ale MWAV "pro změnu" restartoval i v nouzovém režimu,.ale stačil jsem opsat tyto hlášky o napadení :
Objekt "trojan-downloader.bat.ftp.ab Trojan Downloader"
Objekt "trojan-downloader.bat.ftp.ab Trojan Downloader"
Objekt "trojan-downloader.bat.ftp.ab Trojan Downloader"
Soubor C/avanger/backup.zip/avanger/tmp128484.exe//PE_Patch_PECompact/PecBundle/PECompact je infikován virem Trojan-Downloader.Win32.Alphabet.gen (některá lomítka jsou obrácená)
- toto bylo v nouzovém režimu, v normálním bylo ještě něco o viru Kazaa, bohužel to jsem nestačil zapsat

Jinak moc dík za čas, budu zkoušet všechno, doufám, že se to nakonec podaří