PC-HELP.CZ

Zdarek.Mam problem s timhle Win32:Vibpack [Wrm]
Z niceho nic sem chytnul vir.Pocitac se vyrazne zpomalil.Potom ho nasel ad-aware6 a pohoda.Asi za hodinu jsem chytnul tohle a je to zase v pr.... Vyuziti CPU skoro 100% a strankovaci soubor(taky nevim co to je:) je 387MB.Prosim o tu kontrolu v hijackthis.Kdyz to zkopiruju na ty stranky tak mi to stejne ukaze veci kterym nerozumim:(



------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 0:44:15, on 16.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\oaDial\OADSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Visual Networks\Visual IP InSight\CZ\IPMon32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MRSOFT\ANTIDIALER\antidialer.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Sony Ericsson\Mobile\File Manager\fmgrsrv.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sony Ericsson\Mobile\File Manager\fmobxsrv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Documents and Settings\Eduard Mikulčík\Plocha\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hledani.tiscali.cz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\Visual Networks\Visual IP InSight\CZ\IPMon32.exe"
O4 - HKLM\..\Run: [avast!] C:\Program Files\Alwil Software\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SP2 Connection Patcher] "C:\Program Files\SP2 Connection Patcher\SP2ConnPatcher.exe" -n=200
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: MRSOFT ANTIDIALER.lnk = C:\Program Files\MRSOFT\ANTIDIALER\antidialer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.cz
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8471A82-F98F-4AB1-9FED-F3964EF8D60A}: NameServer = 194.228.2.1 194.228.41.113
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = volny.cz,
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = volny.cz,
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OADSRV - SODATSW spol. s r.o. - C:\Program Files\oaDial\OADSRV.EXE

Diky moooooooccccccc

Projel jsem google jenze neumim moc dobre anglicky:(
jo a ten Win32:Vibpack [Wrm] je ve slozce C:Program Files/winupdate
a taky v Temp

Připoj se na Jotti scan a zkontroluj si tyto soubory:
C:\Program Files\Sony Ericsson\Mobile\File Manager\fmobxsrv.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Visual Networks\Visual IP InSight\CZ\IPMon32.exe
C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe
Zajímalo by mě, jestli děláš nějaké práce pro CNC stroje a jestli ten soft ( Brother Industries Ltd nebo tak nějak) potřebuješ k práci. Možná bys potom měl všechny soubory tohoto softu raději zkontrolovat na Jotti. Jinak jej raději odinstaluj.
Ve správci úloh bys měl zastavit ty procesy, které ti Jotti označí jako infekci a odinstaluj ty programy, ke kterým patří. Vymaž Tempy, vysyp koš a restartuj. Potom pošli nový log.

Na webu jsem našel odkaz na Ewido security suite, které by si s tím mělo poradit. Má to i online scan, ale jen pro IE.

Diky uz jdu na to.Ten Brother je tiskarna a scanner.

AntiVir Trojan/Spy.Bancos.HA.1580
ArcaVir X
Avast Win32:Bancos-BC
AVG Antivirus PSW.Banker.GMK
BitDefender GenPack:Trojan.Banker.VB.B0EA36B1
ClamAV X
Dr.Web BackDoor.Generic.1105
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus Trojan-Spy.Win32.Bancos.ha
NOD32 Win32/Spy.Bancos.U
Norman Virus Control X
UNA X
VBA32 Trojan-Spy.Win32.Bancos.ha

Tohle bylo jenom v tom brother!!
Jinak je skoro v kazdym neco.Sober atd.
Co stim?

Tolik havěti v kompu vyléčí snad jen hoši z Al-Kajdy s dynamitem. Takže budeš muset ten Brother odinstalovat - myslím, že instalační CD by mohlo být čisté a ty soubory se nakazily až sekundárně. Ale zkus i to CD -jestli to máš přepalované, kdo ví co tam může být.

Když tak pročítám ten log, zjišťuju, že ten komp nemáš vůbec chráněný. Avast je dobrý, ale sám to nemůže ochránit. Chybí ti firewall (ten ve Windows je jen čajíček), nemáš žádné antispyware. Takže si pokud možno už včera nainstaluj něco z tohoto:

Antiviry:
Avast ten už máš - aktualizovat!!!
AntiVir - ten mám já a jsem spokojen - měl bys mít jen jeden z nich.
BitDefender - můžeš jej mít jako druhý, protože nemá rezidentní štít
A-squared - rovněž lze použít jako druhý,

Toto nainstaluj OKAMŽITĚ a proskenuj PC:
Antispy:
Microsoft Antispyware
Ad-aware
Spybot

Tyto 3 můžeš mít nainstalované zároveň, nezávisle na antivirech

Firewall:
Kerio PF - sice letos končí, ale chránit může i dál.
OutpostPF - zde mám pocit, že s XPčkama možná dobře nespolupracuje - třeba se ozve někdo, kdo ho má.
ZoneAlarm - anglicky, ale dobrý
Všechno toto je zadarmo!!, tak toho využij!


Na pozadí si nainstaluj Spywareblaster, který hlídá škodlivé programy a nepustí je k instalaci a WinPatrol, který dělá něco podobného - přitom se navzájem nehádají.
Můžeš mít v PC i CWShredder, na odstraňování havěti, kterou ti označí antiviry a antispyware, ale nemohou ji z určitých důvodů odstranit.

jj.Diky moc!!!!!!!.To ale bohuzel neni vsechno:)
Avast se mi aktualizuje automaticky kdyz jsem na netu.Jinak mam ad-Aware SE 6,ten Spybot mam taky.Potom mam ruzny cistice registru atd.Nekdo mi nekde rikal ze muzu mit neco s nejakyma tema portama nebo co.Jo mrknes na tohle?Jak jsi mi daval ten odkaz na ewido tak mi to naslo tohle.-(connection)nejaka jina IP adresa atd.
----------------- + Created on: 17:05:48, 16.11.2005
+ Report-Checksum: 2D312CA7

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 83.208.161.251:1554 64.12.24.212:5190 ESTABLISHED
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1027 127.0.0.1:1028 ESTABLISHED
TCP 127.0.0.1:1028 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:1076 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445
UDP 0.0.0.0:500
UDP 0.0.0.0:1029
UDP 0.0.0.0:1030
UDP 0.0.0.0:4500
UDP 83.208.161.251:123
UDP 127.0.0.1:123
UDP 127.0.0.1:1075
--------------------------------------------------------------
ewido security suite - Process report
---------------------------------------------------------

+ Created on: 17:07:19, 16.11.2005
+ Report-Checksum: 911E4073

0: System Process
4: System Process
152: C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
388: C:\Program Files\Visual Networks\Visual IP InSight\CZ\IPMon32.exe
396: \SystemRoot\System32\smss.exe
400: C:\Program Files\Alwil Software\Avast4\ashDisp.exe
424: C:\windows\System32\alg.exe
476: C:\windows\AGRSMMSG.exe
480: \??\C:\windows\system32\csrss.exe
504: \??\C:\windows\system32\winlogon.exe
548: C:\windows\system32\services.exe
552: C:\Program Files\ICQLite\ICQLite.exe
560: C:\windows\system32\lsass.exe
696: C:\windows\system32\svchost.exe
788: C:\windows\system32\svchost.exe
800: C:\windows\system32\ctfmon.exe
848: C:\windows\System32\svchost.exe
896: C:\windows\System32\svchost.exe
920: C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
956: C:\windows\System32\svchost.exe
1052: C:\WINDOWS\system32\brsvc01a.exe
1076: C:\WINDOWS\system32\brss01a.exe
1084: C:\windows\system32\spoolsv.exe
1196: C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
1216: C:\Program Files\Alwil Software\Avast4\ashServ.exe
1236: C:\WINDOWS\system32\Brmfrmps.exe
1288: C:\windows\system32\nvsvc32.exe
1304: C:\Program Files\oaDial\OADSRV.EXE
1416: C:\windows\System32\svchost.exe
1464: C:\WINDOWS\system32\wdfmgr.exe
1604: C:\Program Files\Brother\ControlCenter2\brctrcen.exe
1644: C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
1676: C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
1788: C:\windows\Explorer.EXE
2108: C:\Program Files\MRSOFT\ANTIDIALER\antidialer.exe
2144: C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
2372: C:\Program Files\Mozilla Firefox\firefox.exe
3440: C:\Program Files\ewido\security suite\ewidoguard.exe
3476: C:\Program Files\ewido\security suite\ewidoctrl.exe
3548: C:\Program Files\ewido\security suite\SecuritySuite.exe
----------------------------------------------------------
ewido security suite - Startup report
---------------------------------------------------------

+ Created on: 17:06:51, 16.11.2005
+ Report-Checksum: 7C9AAC47

Reg\HKLM\Run NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Reg\HKLM\Run nwiz nwiz.exe /install
Reg\HKLM\Run IPInSightMonitor 01 "C:\Program Files\Visual Networks\Visual IP InSight\CZ\IPMon32.exe"
Reg\HKLM\Run avast! C:\Program Files\Alwil Software\Avast4\ashDisp.exe
Reg\HKLM\Run CloneCDElbyCDFL "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
Reg\HKLM\Run AGRSMMSG AGRSMMSG.exe
Reg\HKLM\Run SSBkgdUpdate "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
Reg\HKLM\Run PaperPort PTD C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
Reg\HKLM\Run IndexSearch C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
Reg\HKLM\Run SetDefPrt C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe
Reg\HKLM\Run ControlCenter2.0 C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
Reg\HKLM\Run DataLayer C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
Reg\HKLM\Run ICQ Lite C:\Program Files\ICQLite\ICQLite.exe -minimize
Reg\HKLM\Run SunJavaUpdateSched C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
Reg\HKCU\Run CTFMON.EXE C:\windows\system32\ctfmon.exe
Reg\HKCU\Run SP2 Connection Patcher "C:\Program Files\SP2 Connection Patcher\SP2ConnPatcher.exe" -n=200
Reg\HKCU\RunOnce ICQ Lite C:\Program Files\ICQLite\ICQLite.exe -trayboot
Shell\CommonStartup Microsoft Office.lnk C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění\Microsoft Office.lnk
Shell\UserStartup MRSOFT ANTIDIALER.lnk C:\Documents and Settings\Eduard Mikulčík\Nabídka Start\Programy\Po spuštění\MRSOFT ANTIDIALER.lnk
-------------------
Trosku jsem to tu zasral
ale zajimalo by me jestli z toho neco nevyctes?
Jinak uz si instaluju ty veci co jsi psal.Fakt diky moc

Dobrá. Teď počkáme, až si nainstaluješ ty Microsoft AntiSpyware, Spywareblaster a CWShredder, proskenuješ to, ať se vyčistí co nejvíce toho bordelu. Potom budeme pokračovat. Spybot má v sobě funkce Tea timer a SDHelper, které se logu HJT zobrazují, ale ty je tam nemáš! Měl bys je v nastavení nástrojů Spybotu povolit!
Pardon - SDHelper tam je!

Na zjištění těch adres a portů si stáhni Active Ports, ať vidíš co tě kam připojuje. Toho Brothera jsi odinstaloval? V posledním logu je vidět už jen pár jeho procesů. Můžeš zkusit také CallerIP na zjištění, co se k tobě pokouší přes ty trojany dostat.