Critical System Errors (vyřešeno)

[ocet]

jo precetl ale moc sem tomu nepochopil jak mam dat najit to ware tak to mi nejde nebo jestli tam mam neco napsat jeste vic?

[Reklama]

[mikel]

Zkus vyhledávání podle "action taken" (bez uvozovek)

[ocet]

pres start -hledat tak to sem dal a nic to nenaslo. kaslu na to!

[fredik]

Když ti skončí scan tak je tam tlačítko View Log nebo je tam také hned když spustíš Mwav, když na něj zmáčkneš tak se ti otevře okno s logem. V něm zmáčkneš zároveň klávesy Ctrl a F otevře se ti okno Najít a do něho napíšeš to co psal mikel a budeš vyhledávat.

[mikel]

Sun Nov 12 14:01:04 2006 => Total Critical Objects: 16

Máš tam 16 kritických nálezů, takže na to nekašli!

[ocet]

ale ja newim co mam napsat do toho vyhledavani.

[fredik]

to ocet Do toho vyhledáváni zkus napsat co je tučně action taken a podle toho dvojslova zkus vyhledat.

to dziro založ si příště vlastní téma.

Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Eurotran XP - {230D1201-7607-4CF6-A11F-9E4BF0A333E0} - C:\Documents and Settings\Martin Jirota\Dokumenty\AUTA\Eurotran XP\etnxp.dll (file missing)
O9 - Extra button: (no name) - {2C73F784-D2DE-4422-B070-2E3332FE5744} - C:\Documents and Settings\Martin Jirota\Dokumenty\AUTA\Eurotran XP\etnxp.dll (file missing)
O9 - Extra 'Tools' menuitem: Eurotran XP... - {2C73F784-D2DE-4422-B070-2E3332FE5744} - C:\Documents and Settings\Martin Jirota\Dokumenty\AUTA\Eurotran XP\etnxp.dll (file missing)

po zaškrtnutí klikni na FixChecked

Zkus otestovat soubor označený červeně na Virustotal:

C:\WINDOWS\system32\jbtazy.dll

a dej vedět výsledek. Odinstaluj BearShare

[ocet]

zkousel sem tam davat action taken a nenaslo to nic ale dal sem jenom action a naslo to :



Sun Nov 12 13:59:00 2006 => Scanning File C:\DOCUME~1\Hancaa\LOCALS~1\TEMPOR~1\Content.IE5\QIC1QA3V\nakupnidum-pics-eternity-cz-nahled-100-2-mobile-action-ma-660-jpg-nahled-75-75[1].jpg
Sun Nov 12 13:59:00 2006 => Scanning File C:\DOCUME~1\Hancaa\LOCALS~1\TEMPOR~1\Content.IE5\QIC1QA3V\nakupnidum-pics-eternity-cz-nahled-100-2-mobile-action-ma-8010c-jpg-nahled-75-75[1].jpg
Sun Nov 12 13:59:00 2006 => Scanning File C:\DOCUME~1\Hancaa\LOCALS~1\TEMPOR~1\Content.IE5\QIC1QA3V\nakupnidum-pics-eternity-cz-nahled-100-2-mobile-action-ma-8860c-jpg-nahled-75-75[1].jpg
Sun Nov 12 13:59:01 2006 => Scanning File C:\DOCUME~1\Hancaa\LOCALS~1\TEMPOR~1\Content.IE5\QIC1QA3V\nakupnidum-pics-eternity-cz-nahled-100-2-mobile-action-ma-8910p-jpg-nahled-75-75[1].jpg

ale taken to nenaslo nic



a jak si mi rekl abych otestoval ten soubor: C:\WINDOWS\system32\jbtazy.dll
tak vyslo toto:

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.13.2006 no virus found
AVG 386 11.13.2006 no virus found
BitDefender 7.2 11.13.2006 no virus found
CAT-QuickHeal 8.00 11.13.2006 no virus found
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.13.2006 no virus found
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 no virus found
McAfee 4894 11.13.2006 no virus found
Microsoft 1.1609 11.13.2006 no virus found
NOD32v2 1863 11.13.2006 no virus found
Norman 5.80.02 11.13.2006 no virus found
Panda 9.0.0.4 11.13.2006 no virus found
Sophos 4.11.0 11.13.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.13.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709


no asi je to v pohode!

a jeste sem semka dal HijackThis


Logfile of HijackThis v1.99.1
Scan saved at 18:12:03, on 13.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WinProxy\WinProxy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Hancaa\LOCALS~1\Temp\Rar$EX00.285\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: WinProxy - M&M hist - C:\WinProxy\WinProxy.exe



tak co dal??

[fredik]

Ta část co byla tady odtud to dziro založ si příště vlastní téma až do konce příspěvku, to bylo pro uživatele dziro co jsem vložil svůj log, ale mijaja ho už přesunul.

Ono asi nejlepší řešení bude když si ten log uložíš někam na disk a pošli mi ho na mejl (poslal sem ti přes SZ) já se ti na něho mrknu a dam vědět co a jak.

[fredik]

Máme tu výsledky z mwav:

Sun Nov 12 13:32:39 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\virusbursters !!!
Sun Nov 12 13:32:39 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.

Sun Nov 12 13:32:44 2006 => Offending Folder found: C:\Program Files\vvsn
Sun Nov 12 13:32:44 2006 => Object "whenu.weathercast Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Nov 12 13:32:46 2006 => Offending file found: C:\DOCUME~1\Hancaa\LOCALS~1\Temp\vblanguage.ini
Sun Nov 12 13:32:46 2006 => System found infected with spywarequake Spyware/Adware (vblanguage.ini)! Action taken: No Action Taken.

Sun Nov 12 13:32:46 2006 => Offending file found: C:\DOCUME~1\Hancaa\LOCALS~1\Temp\war3_install.exe
Sun Nov 12 13:32:46 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

Sun Nov 12 13:32:56 2006 => Offending file found: C:\Documents and Settings\Hancaa\Recent\virusburster.lnk
Sun Nov 12 13:32:56 2006 => System found infected with virusburst Trojan (virusburster.lnk)! Action taken: No Action Taken.

Sun Nov 12 13:32:58 2006 => Offending file found: C:\Documents and Settings\Hancaa\Local Settings\temp\nerodemo4011\nero 6 demo\nero\image.dll
Sun Nov 12 13:32:58 2006 => System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: No Action Taken.

Sun Nov 12 13:32:58 2006 => Offending file found: C:\Documents and Settings\Hancaa\Local Settings\temp\nerodemo4011\nero media player\neromediaplayer\api\image.dll
Sun Nov 12 13:32:58 2006 => System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: No Action Taken.

Sun Nov 12 13:32:58 2006 => Offending file found: C:\Documents and Settings\Hancaa\Local Settings\temp\nerodemo4011\nerovision express 2\nerovision\nerofiles\image.dll
Sun Nov 12 13:32:58 2006 => System found infected with coolwwwsearch.smartsearch Browser Hijacker (image.dll)! Action taken: No Action Taken.

Sun Nov 12 13:32:59 2006 => Offending file found: C:\Documents and Settings\Hancaa\Local Settings\temp\vblanguage.ini
Sun Nov 12 13:32:59 2006 => System found infected with spywarequake Spyware/Adware (vblanguage.ini)! Action taken: No Action Taken.

Sun Nov 12 13:32:59 2006 => Offending file found: C:\Documents and Settings\Hancaa\Local Settings\temp\war3_install.exe
Sun Nov 12 13:32:59 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

C:\WINDOWS\keykook.dll infected by "Backdoor.Win32.Netbus.170" Virus! Action Taken: No Action Taken.

File C:\DOCUME~1\Hancaa\LOCALS~1\TEMPOR~1\Content.IE5\O5I741YN\vidcodecs[1].exe infected by "Trojan-Downloader.Win32.Zlob.xi" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\system32\r_server.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.

File C:\WINDOWS\system32\admdll.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.

File C:\WINDOWS\system32\raddrv.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

Smaž všechny položky označené červeně.

Nejdříve si stáhni Ccleaner a pročisti s ním pc (Čistič, Problémy). Tím by jsme se zbavily následujících souborů, ale raději si zkontroluj jestli už tam nejsou.

C:\Documents and Settings\Hancaa\Local Settings\temp\vblanguage.ini
C:\Documents and Settings\Hancaa\Local Settings\temp\war3_install.exe
C:\Documents and Settings\Hancaa\Local Settings\temp\nerodemo4011\nero 6 demo\nero\image.dll
C:\Documents and Settings\Hancaa\Local Settings\temp\nerodemo4011\nero media player\neromediaplayer\api\image.dll
C:\Documents and Settings\Hancaa\Local Settings\temp\nerodemo4011\nerovision express 2\nerovision\nerofiles\image.dll
C:\DOCUME~1\Hancaa\LOCALS~1\TEMPOR~1\Content.IE5\O5I741YN\vidcodecs[1].exe
C:\Documents and Settings\Hancaa\Recent\virusburster.lnk

Najdi na disku a smaž celý adresář označený červeně
C:\Program Files\vvsn

a smaž soubory červené:
C:\WINDOWS\keykook.dll
C:\WINDOWS\system32\r_server.exe

Klikni na Start -> Spustit... tam napiš regedit a dej ok
otevře se ti editor registrů a v něm vyhledej následující klíč a smaž položku označenou červeně.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\virusbursters

Až se to uděláš tak pak udělej nový scan z Mwav pro kontrolu.

[ocet]

fredik:poslal sem ti to zas na ten email co jsi mi poslal.

[fredik]

V novém logu z mwav zůstalo toto:

File C:\WINDOWS\system32\r_server.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.21. No Action Taken.

Tue Nov 14 15:22:48 2006 => Offending Folder found: C:\Program Files\vvsn
Tue Nov 14 15:22:48 2006 => Object "whenu.weathercast Spyware/Adware" found in File System! Action Taken: No Action Taken.
C:\WINDOWS\keykook.dll

File C:\WINDOWS\keykook.dll infected by "Backdoor.Win32.Netbus.170" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\system32\admdll.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.

File C:\WINDOWS\system32\raddrv.dll tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.

Tue Nov 14 15:25:41 2006 => ***** Scanning complete. *****

Tue Nov 14 15:25:41 2006 => Total Objects Scanned: 21269
Tue Nov 14 15:25:41 2006 => Total Critical Objects: 6
Tue Nov 14 15:25:41 2006 => Total Disinfected Objects: 0
Tue Nov 14 15:25:41 2006 => Total Objects Renamed: 0
Tue Nov 14 15:25:41 2006 => Total Deleted Objects: 0
Tue Nov 14 15:25:41 2006 => Total Errors: 4
Tue Nov 14 15:25:41 2006 => Time Elapsed: 00:04:50
Tue Nov 14 15:25:41 2006 => Virus Database Date: 11/10/2006
Tue Nov 14 15:25:41 2006 => Virus Database Count: 239678

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

Možná bude potřeba si zapnout zobrazení skrytých souborů aby si ty soubory našel.

Najdi na disku a smaž celý adresář označený červeně
C:\Program Files\vvsn

Najdi a smaž soubor označené červeně.
C:\WINDOWS\keykook.dll

pokud se ti nepodaří ten soubor vymazat tak si stáhni Killbox.

Spusť Killbox a do okénka zkopíruj celý text označený modře:

C:\WINDOWS\keykook.dll

Nastav volby Delete On Reboot a Unregister .dll Before deleting a stiskni červený kruh s křížem. Počítač bude chtít restart, tak jej povol a restartuj.

Vymaž tento červený soubor:
C:\WINDOWS\system32\r_server.exe

Tyto dva soubory označené tučně zkus otestovat na Jottiscanu
C:\WINDOWS\system32\admdll.dll
C:\WINDOWS\system32\raddrv.dll

Dej sem pak výsledek a řekni co se povedlo a co ne.