Kontrolu logu - sám se vypíná pc + ps guard

[Jerry82]

Logfile of HijackThis v1.99.0
Scan saved at 14:12:59, on 26.1.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\AZPro\az_pro.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\kysela_jaroslav\Dokumenty\Záloha\SOFTWARE\ZÁLOHOVÁNO 11.1.06\hijackthis.exe
C:\Program Files\Lingea\Lex2000\lexicon.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.idnes.cz
O15 - Trusted Zone: http://www.warforum.cz
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8088372245
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8088723202
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meva.loc
O17 - HKLM\Software\..\Telephony: DomainName = meva.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE9D6178-6C26-4776-B729-7B948B5B98ED}: NameServer = 10.0.0.208,10.0.0.201
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meva.loc
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

/změna nadpisu
/mikel

[Reklama]

[Jidhash]

Log ti určitě zkontroluje Mijaja ( náš Master of Log ) hned jak se tady ukáže
zatím ti jen doporučím si připravit k instalaci alternatívní prohlížeč - firefox nebo operu, dále pak nějaký firewall,( např.kerio nebo [url=http://www.stahuj.cz/internet_a_site/bezpecnost/proxy_a_firewall/zonealarm/?xx[zuid]zonealarm[/url]) a hlavně XP SP2, a taky nikde nevidím žáden antispyware ( [url=http://www.stahuj.cz/internet_a_site/bezpecnost/ostatni/spybotsearchanddestroy/?xx[zuid]spybot[/url] a adaware), to všechno už tam mělo dávno být
zatím ale nic neinstaluj

[mijaja]

Ahoj. Vidím, že Jidhas už tě připravil a zase to přehnal. Tak to zkusme. Ale než se do tohohle pustíš, nainstaluj si SP2 pro Winy i IE, Firefox nebo Mozillu, firewall a antispyware - linky ti tam dal Jidhash. Jinak by tohle vše bylo zbytečné.

Nejdříve bys mohl projet soubor
C:\Program Files\AZPro\az_pro.exe na Jottiscanu - ať máme jistotu, že je zdravý.

Potom restartuj do Nouzového režimu. Spusť Hijackthis a fixni v něm položky:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html


Tyhle dvě jsou tvé oblíbené?
O15 - Trusted Zone: http://www.idnes.cz
O15 - Trusted Zone: http://www.warforum.cz - jestli ne, tak je taky fixni - myslím, že z Warezu by se ti komp mohl nakazit.

Tyhle mají něco společného s platebníma kartama, že? Využíváš to, nebo je to tam nedopatřením? Jestli to potřebuješ, nechej si to, jinak raději fixni. Já tuhle službu neznám a nevím, kam tě připojuje:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meva.loc
O17 - HKLM\Software\..\Telephony: DomainName = meva.loc
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meva.loc

V zásadě jde jen o ty 3 první řádky(R0-1) a doporučil bych fixnout i to Warfórum. Takže jak to označíš v Hijackthisu, zmáčkni Fix Checked.

Po fixaci (ještě stále v nouzáku) projeď komp antivirem (AVGčku bych ale dvakrát nevěřil) a restartuj do normálu. Udělej nový log. Pokud tam stále budou ty první tři řádky, znamená to, že šmejda máš i v Systému obnovy. Takže bys musel vypnout Obnovu systému a začít od začátku.
Píšeš v nadpisu o PSGuardu - Vyskakují ti okna, objevuje se ti na ploše? Popiš blíže, co ti dělá.

[Jerry82]

Díky za radu, ale předně, SP2 mi prostě nejde nainstalovat, vždycky napíše chyba aplikace *.exe
program ad aware mi stále nachází tyhle věci:

Malware.Psguard Object Recognized!
Type : Regkey
Data :
TAC Rating : 7
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\psguard.com



Tracking Cookie Object Recognized!
Type : IECache Entry
Data : kysela_jaroslav@please[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:kysela_jaroslav@ad2.billboard.cz/please/
Expires : 26.12.2006 7:50:08
LastSync : Hits:1
UseCount : 0
Hits : 1


co s tím, nevím kde začít, když mi nejde nainstalovat ten SP2, zkouším to občas už asi půl roku, ale vždycky mi to zahlásí tu chybu a konec...

[mijaja]

Co se týče PSGuardu, měl jsem s ním také trable. Sice mi nebránil v žádné instalaci, ale... Prostuduj si prosím tenhle odkaz. Mě to pomohlo a už i jiným. Zkoušel jsem to předtím na Viry.cz, ale tam měli řešení trochu krkolomné. Všiml jsem si že tam taky chodíš, oni se ti s tím nezabývali? Ale k problému. Stáhni si ten SmitRem, poklikej a někam ho rozbal. Nastartuj do nouzáku, otevři složku SmitRemu, poklepej na soubor RunThis.bat a nechej sken dojet do konce. V rootu systémovýho disku ti vznikne log jménem smitfiles.txt (např: C:\smitfiles.txt), nemaž ho, bude potřeba.
Pak restartuj do normálu a spusť online virus sken ActiveScan. Výsledky si nezapomeň uložit!
Poté sem pošli smitfiles.txt, ActiveScan log a novej HijackThis log. Jestli pozoruješ nějaký divný chování u compu, napiš to. Bylo by vhodné mít při skenování Smitremem odpojený net a vypnuté rezidentní štíty antivirů a antispy. Při skenu Pandou ten net samozřejmě zapni.

[Jerry82]

MĚL JSEM V NOUZOVÉM REŽIMU PROJET SMITREMEM, ALE NEMOHL JSEM SE V NOUZOVÉM REŽIMU PŘIHLÁSIT, PROTO POSÍLÁM LOG, PO PROJETÍ SMITREMEM ZA NORMÁLNÍHO STAVU + PRAVIDELNĚ POUŽÍVÁM AD-AWARE, JEHOŽ LOG JE NÍŽE TAKÉ.

HLAVNÍ PROBLÉM MÁM ALE V TOM, ŽE SE MI CO 2 HODINY SÁM OD SEBE RESTARTUJE POČÍTAČ...


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Verze 5.1.2600]

Running from
C:\Documents and Settings\kysela_jaroslav\Dokumenty\Z loha\SOFTWARE\smitRem
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 320 'explorer.exe'
Killing PID 320 'explorer.exe'
Killing PID 196 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Proces mezipaměti kategorií součástí"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)



AD-AWARE LOG:

Ad-Aware SE Build 1.06r1
Logfile Created on:9. února 2006 6:59:56
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R90 03.02.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):15 total references
Tracking Cookie(TAC index:3):4 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


9.2.2006 6:59:56 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 484
ThreadCreationTime : 9.2.2006 5:48:44
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 540
ThreadCreationTime : 9.2.2006 5:48:47
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 564
ThreadCreationTime : 9.2.2006 5:48:49
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 608
ThreadCreationTime : 9.2.2006 5:48:51
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Operační systém Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Services and Controller app
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Všechna práva vyhrazena.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 628
ThreadCreationTime : 9.2.2006 5:48:51
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 796
ThreadCreationTime : 9.2.2006 5:48:53
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 856
ThreadCreationTime : 9.2.2006 5:48:54
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 980
ThreadCreationTime : 9.2.2006 5:48:56
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1008
ThreadCreationTime : 9.2.2006 5:48:56
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1132
ThreadCreationTime : 9.2.2006 5:48:58
BasePriority : Normal
FileVersion : 5.1.2600.1699 (xpsp2.050610-1533)
ProductVersion : 5.1.2600.1699
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:11 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1260
ThreadCreationTime : 9.2.2006 5:49:04
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:12 [avgamsvr.exe]
FilePath : C:\PROGRA~1\Grisoft\AVG7\
ProcessID : 1316
ThreadCreationTime : 9.2.2006 5:49:05
BasePriority : Normal
FileVersion : 7,1,0,364
ProductVersion : 7.1.0.364
ProductName : AVG Anti-Virus System
CompanyName : GRISOFT, s.r.o.
FileDescription : AVG Alert Manager
InternalName : avgamsvr
LegalCopyright : Copyright © 2005, GRISOFT, s.r.o.
OriginalFilename : avgamsvr.EXE

#:13 [avgupsvc.exe]
FilePath : C:\PROGRA~1\Grisoft\AVG7\
ProcessID : 1328
ThreadCreationTime : 9.2.2006 5:49:05
BasePriority : Normal
FileVersion : 7,0,0,346
ProductVersion : 7.0.0.346
ProductName : AVG 7.0 Anti-Virus System
CompanyName : GRISOFT, s.r.o.
FileDescription : AVG Update Service
InternalName : avgupsvc
LegalCopyright : Copyright © 2005, GRISOFT, s.r.o.
OriginalFilename : avgupdsvc.EXE

#:14 [mdm.exe]
FilePath : C:\Program Files\Common Files\Microsoft Shared\VS7Debug\
ProcessID : 1380
ThreadCreationTime : 9.2.2006 5:49:05
BasePriority : Normal
FileVersion : 7.00.9064.9150
ProductVersion : 7.00.9064.9150
ProductName : Microsoft Development Environment
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1997-2000
OriginalFilename : mdm.exe

#:15 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1428
ThreadCreationTime : 9.2.2006 5:49:06
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:16 [outlook.exe]
FilePath : C:\Program Files\Microsoft Office\Office10\
ProcessID : 1996
ThreadCreationTime : 9.2.2006 5:50:31
BasePriority : Normal


#:17 [winword.exe]
FilePath : C:\Program Files\Microsoft Office\Office10\
ProcessID : 600
ThreadCreationTime : 9.2.2006 5:50:43
BasePriority : Normal


#:18 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1440
ThreadCreationTime : 9.2.2006 5:54:00
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Průzkumník Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Všechna práva vyhrazena.
OriginalFilename : EXPLORER.EXE

#:19 [iexplore.exe]
FilePath : C:\Program Files\Internet Explorer\
ProcessID : 1060
ThreadCreationTime : 9.2.2006 5:55:35
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
LegalCopyright : © Microsoft Corporation. Všechna práva vyhrazena.
OriginalFilename : IEXPLORE.EXE

#:20 [ad-aware.exe]
FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
ProcessID : 972
ThreadCreationTime : 9.2.2006 5:59:14
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Possible Browser Hijack attempt : S-1-5-21-1187956126-3989087272-3002280659-1115\Software\Microsoft\Internet Explorer\MainStart Pageseznam.cz

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : kysela_jaroslav@please[3].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:8
Value : Cookie:kysela_jaroslav@ad2.bbmedia.cz/please/
Expires : 8.1.2007 6:18:44
LastSync : Hits:8
UseCount : 0
Hits : 8

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : kysela_jaroslav@please[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:4
Value : Cookie:kysela_jaroslav@ad2.billboard.cz/please/
Expires : 7.1.2007 9:50:42
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : kysela_jaroslav@please[5].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:4
Value : Cookie:kysela_jaroslav@adarbo2.bbmedia.cz/please/
Expires : 7.1.2007 12:39:22
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : kysela_jaroslav@please[2].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:5
Value : Cookie:kysela_jaroslav@adidnes2.bbmedia.cz/please/
Expires : 7.1.2007 8:17:02
LastSync : Hits:5
UseCount : 0
Hits : 5

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 4
Objects found so far: 4



Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 4

Disk Scan Result for C:\WINDOWS\System32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 4

Disk Scan Result for C:\DOCUME~1\KYSELA~1\LOCALS~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 4


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 4



MRU List Object Recognized!
Location: : C:\Documents and Settings\kysela_jaroslav\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\mediaplayer\player\recentfilelist
Description : list of recently used files in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\mediaplayer\preferences
Description : last playlist index loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\office\10.0\excel\recent files
Description : list of recent files used by microsoft excel


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-1187956126-3989087272-3002280659-1115\software\winrar\dialogedithistory\extrpath
Description : winrar "extract-to" history



Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 19

7:03:40 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:03:43.267
Objects scanned:73455
Objects identified:4
Objects ignored:0
New critical objects:4

[mijaja]

SmitRem ti píše, že PS-Guard je pryč, tak koukni do registrů, jestli už zmizel. Ad-Aware ukazuje jen MRU objekty - neškodné, které můžeš nechat vymáznout. Projel jsi to tou Pandou? Co ti napsala? A dej sem nový log z HJT. Pročti si tenhle topic i s odkazy, jestli by se třeba tobě zrovna podařilo instalovat SP2.
Už máš nainstalovaný firewall?

[Jerry82]

NAINSTALOVAL JSEM FIREWALL KEIRIO, ALE ZAS MI NEJDE ODESÍLAT FIREMNÍ POŠTA , TO JE DOST BLBÝ...
ZKOUŠEL JSEM ZAS NAINSTALOVAT SP 2, ALE OPĚT SE STEJNÝM VÝSLEDKEM - V PRŮBĚHU INSTALACE TO NAPÍŠE CHABA PROGRAMU SETUP.EXE, ZA VZNIKLÉ POTÍŽE SE OMLOUVÁME BLA BLA BLA...
PANDOU JSEM TO TAKY PROJEL, VÝSLEDEK VIZ NÍŽE STEJNĚ TAK JAKO LOG Z HIJACK THIS.


Incident Status Location

Adware:adware/azesearch Not disinfected C:\WINDOWS\SYSTEM32\zlokdfs9.leo
Potentially unwanted tool:application/winfixer2005 Not disinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\UWFX5_0001_N56M0311NetInstaller.exe
Adware:adware/cws.searchmeup Not disinfected C:\WINDOWS\flag.bla
Adware:adware/securityerror Not disinfected C:\DOCUMENTS AND SETTINGS\ALL USERS\NABDKA START\Online Security Center.url
Adware:adware/comet Not disinfected C:\DOCUMENTS AND SETTINGS\ALL USERS\DATA APLIKAC\Starware
Adware:adware/ist.istbar Not disinfected Windows Registry
Spyware:Cookie/Toplist Not disinfected C:\Documents and Settings\kysela_jaroslav\Cookies\kysela_jaroslav@toplist[1].txt
Spyware:Cookie/Advnt Not disinfected C:\Documents and Settings\kysela_jaroslav\Cookies\kysela_jaroslav@www.advnt01[1].txt
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\kysela_jaroslav\Cookies\kysela_jaroslav@xiti[1].txt
Spyware:Cookie/Toplist Not disinfected C:\Documents and Settings\kysela_jaroslav\Cookies\kysela_jaroslav@toplist[1].txt
Spyware:Cookie/Advnt Not disinfected C:\Documents and Settings\kysela_jaroslav\Cookies\kysela_jaroslav@www.advnt01[1].txt
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\kysela_jaroslav\Cookies\kysela_jaroslav@xiti[1].txt
Spyware:Cookie/Adtech Not disinfected C:\Documents and Settings\kysela_jaroslav\Data aplikací\Mozilla\Profiles\default\cl68vfzu.slt\cookies.txt[]
Spyware:Cookie/Qsrch Not disinfected C:\Documents and Settings\kysela_jaroslav\Data aplikací\Mozilla\Profiles\default\cl68vfzu.slt\cookies.txt[dpark]
Joke:Joke/Geschenk Not disinfected Složky archivu\Smazaná pošta\Doručená pošta\Pepa\FW: Držák na kafe\Držák.zip[Droák.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\kysela_jaroslav\Dokumenty\Záloha\SOFTWARE\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\kysela_jaroslav\Dokumenty\Záloha\SOFTWARE\smitRem.exe[Process.exe]
Joke:Joke/MouseShoot Not disinfected C:\Documents and Settings\kysela_jaroslav\Dokumenty\Záloha\SOFTWARE\ZÁLOHOVÁNO 11.1.06\Myš na monitoru.zip[Gmickey.exe]



Logfile of HijackThis v1.99.0
Scan saved at 11:55:02, on 9.2.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\kysela_jaroslav\Dokumenty\Záloha\SOFTWARE\ZÁLOHOVÁNO 11.1.06\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.idnes.cz
O15 - Trusted Zone: http://www.warforum.cz
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8088372245
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8088723202
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meva.loc
O17 - HKLM\Software\..\Telephony: DomainName = meva.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE9D6178-6C26-4776-B729-7B948B5B98ED}: NameServer = 10.0.0.208,10.0.0.201
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meva.loc
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[mijaja]

Takže hleďa na to nejdříve se odpoj od netu a nespouštěj ani IE ani Firefox, nebo jakýkoliv browser. Tenhle seznam si zkopíruj do Notepadu, ať se nemusíš připojovat. Restartuj do nouzáku, spusť Hijackthis a fixni tohle:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - Default URLSearchHook is missing
O15 - Trusted Zone: http://www.idnes.cz
O15 - Trusted Zone: http://www.warforum.cz

Potom si zapni zobrazování skrytých a systémových souborů a podívej se na disku po těchto souborech a smaž je:
c:\secure32.html - zrovna tenhle tam možná nenajdeš, ale zkus to.
C:\WINDOWS\SYSTEM32\zlokdfs9.leo - pozůstatek PSGuardu
C:\WINDOWS\DOWNLOADED PROGRAM FILES\UWFX5_0001_N56M0311NetInstaller.exe
C:\WINDOWS\flag.bla
C:\DOCUMENTS AND SETTINGS\ALL USERS\NABDKA START\Online Security Center.url
C:\DOCUMENTS AND SETTINGS\ALL USERS\DATA APLIKAC\Starware
Vymaž všechny tyhle soubory a také vyprázdni složku Cookies ve všech profilech Document and Settings i v adresáři Windows. Vyprázdni složky Temporary Internet Files a Temp ve stejných profilech a vysyp koš. Potom to projeď CCleanerem i dvakrát po sobě. Potom teprve restartuj do normálu a pošli nový log.

To odesílání pošty musíš v Keriu povolit.

[Jerry82]

TAK JSEM UDĚLAL COS MI ŘEKL, JEN NE V NOUZOVÉM REŽIMU, JENŽE JÁ SE PROSTĚ NEPŘIHLÁSIM DO WINDOWS POD MÝM OBVYKLÝM HLESLEM, KDYŽ TO ZKOUŠIM V TOM NOUZÁKU.
A TYHLE DVA SOUBOTY MI NEŠLY SMAZAT, RESP. JSEM JE NENAŠEL:
C:\DOCUMENTS AND SETTINGS\ALL USERS\NABDKA START\Online Security Center.url
C:\DOCUMENTS AND SETTINGS\ALL USERS\DATA APLIKAC\Starware

TADY JE VÝSLEDEK MÉHO SNAŽENÍ:

C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\AZPro\az_pro.exe
C:\Documents and Settings\kysela_jaroslav\Dokumenty\Záloha\SOFTWARE\ZÁLOHOVÁNO 11.1.06\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8088372245
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8088723202
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meva.loc
O17 - HKLM\Software\..\Telephony: DomainName = meva.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE9D6178-6C26-4776-B729-7B948B5B98ED}: NameServer = 10.0.0.208,10.0.0.201
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meva.loc
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Outpost Firewall Service - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[mikel]

Nedals to tu celé, ale ta část, cos tu zkopíroval je čistá. Všiml jsem si, že jsi během posledních 3 hodin odinstalil Kerio a nainstaloval Outpost. Kerio ti nevyhovovalo nebo jenom zkoušíš?
Udělal jsi nové kompletní skany Pandou, Ad-Awarem?

[Jerry82]

zkoušim ty firewally, Kerio mi brzdilo poštu, ale ten Outpost mi brzdí celej počítač. Takže tam dám zpátky Kerio a nějak ho vyšteluju, aby byl pro tu poštu propustnější, odesílal i malýho mejla hrozně dlouho...
...pandu a ad-aware udělám zejtra, hodim sem pak log, teďka už jdu domu. Ale zatim díky...