Logfile of HijackThis v1.99.1
Scan saved at 20:53:44, on 3.7. 2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio Firewall\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Kerio Firewall\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio Firewall\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Downloads\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.servis24.cz/ebanking-s24/di ... aid=999999
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAM FILES\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAM FILES\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Pop-Up_Scanner] "C:\Program Files\Panicware\Pop-Up Scanner\Popupscn.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAM FILES\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O16 - DPF: {1F831FA2-42FC-11D4-95A6-0080AD30DCE1} (NOXLATE) - file://C:\Program Files\AutoCAD LT 2000i Cz\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Ovládací prvek AcDcToday) - file://C:\Program Files\AutoCAD LT 2000i Cz\AcDcToday.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Prvek AcPreview) - file://C:\Program Files\AutoCAD LT 2000i Cz\AcPreview.ocx
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Kerio Firewall\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)
Výpis z logu MWAV:
Sun Jul 02 23:55:04 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\time zones !!!
Sun Jul 02 23:55:11 2006 => Object "win32.passma Virus" found in File System! Action Taken: No Action Taken.
Sun Jul 02 23:56:12 2006 => File C:\WINDOWS\system32\cxusywaptrjclz.exe infected by "Backdoor.Win32.Rbot.bch" Virus! Action Taken: No Action Taken.
Sun Jul 02 23:56:38 2006 => File C:\WINDOWS\system32\foxskxxkggzfit.exe infected by "Backdoor.Win32.Rbot.bch" Virus! Action Taken: No Action Taken.
Sun Jul 02 23:57:28 2006 => File C:\WINDOWS\system32\MSdos32.exe infected by "Backdoor.Win32.PcClient.qf" Virus! Action Taken: No Action Taken.
-----------------------------------------------------------------------------------
Ani jeden soubor napadený viry v adr. Windows\System32 neexistuje. V registru jsem klíče, které tytio hodnoty obsahovaly vymazal. Jak se zbavit
win32.passma Virus ? Není to jen falešný poplach ?
Díky za odpověď.
Prosím o kontrolu logu HiJackThis a MWAv
-
mijaja
- Tvůrce článků
-
Level 6.5
- Příspěvky: 4136
- Registrován: září 05
- Bydliště: Zlín
- Pohlaví:
- Stav:
Offline
- Kontakt:
Ahoj. V logu HJT není nic vidět. Jen bych vyzkoušel na Jottiscanu ten program:
C:\Program Files\Panicware\Pop-Up Scanner\Popupscn.exe - ne každý takový program je v pořádku.
U toho mwavu:
C:\WINDOWS\system32\cxusywaptrjclz.exe
C:\WINDOWS\system32\foxskxxkggzfit.exe
C:\WINDOWS\system32\MSdos32.exe
Tyhle tři jsi našel a zlikvidoval, nebo vůbec nenašel a nejsou tam? Máš nastaveno v Možnostech složky zobrazení skrytých a systémových souborů?
A tenhle klíč píšeš že neexistuje?
HKLM\Software\Microsoft\Windows\CurrentVersion\time zones
Aktualizac Nodu z 27.4.2006 by jej měla zlikvidovat a ten zápis v registrech by neměl škodit. Ale jestli tam je, měl by jít pryč. Zkus podle Symantecu - záložka Technical Details podívat se po souboru
%System%\SERVICEMGR.EXE - i když píšeš, že to hlavní už je pryč.
Koukni ještě po těchto souborech:
passma.exe
fld.dll
fso.dll
idws.dll
keyf.dll
keyn.dll
a po těchto registrech:
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser {77b2f8de-cb3f-4b6b-839b-807dd1adba1c}
HKEY_CURRENT_USER\software\virtual maid
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar {77b2f8de-cb3f-4b6b-839b-807dd1adba1c}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion guid
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\virtual maidvirtual maid
Jsou s ním svázané a mohou jej obnovovat.
C:\Program Files\Panicware\Pop-Up Scanner\Popupscn.exe - ne každý takový program je v pořádku.
U toho mwavu:
C:\WINDOWS\system32\cxusywaptrjclz.exe
C:\WINDOWS\system32\foxskxxkggzfit.exe
C:\WINDOWS\system32\MSdos32.exe
Tyhle tři jsi našel a zlikvidoval, nebo vůbec nenašel a nejsou tam? Máš nastaveno v Možnostech složky zobrazení skrytých a systémových souborů?
A tenhle klíč píšeš že neexistuje?
HKLM\Software\Microsoft\Windows\CurrentVersion\time zones
Aktualizac Nodu z 27.4.2006 by jej měla zlikvidovat a ten zápis v registrech by neměl škodit. Ale jestli tam je, měl by jít pryč. Zkus podle Symantecu - záložka Technical Details podívat se po souboru
%System%\SERVICEMGR.EXE - i když píšeš, že to hlavní už je pryč.
Koukni ještě po těchto souborech:
passma.exe
fld.dll
fso.dll
idws.dll
keyf.dll
keyn.dll
a po těchto registrech:
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\webbrowser {77b2f8de-cb3f-4b6b-839b-807dd1adba1c}
HKEY_CURRENT_USER\software\virtual maid
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar {77b2f8de-cb3f-4b6b-839b-807dd1adba1c}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion guid
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\virtual maidvirtual maid
Jsou s ním svázané a mohou jej obnovovat.
Takže u těch 3 souborů z MWAVu byla chyba mezi židlí a klávesnici - zobrazení skrytých souborů jsem sice měl zapnuté, ale neměl jsem zapnuté zobrazení systémových souborů.
HKLM\Software\Microsoft\Windows\CurrentVersion\time zones - tento klíč existuje, ale nevím, jak z něj odstranit virus "win32.passma Virus". Registry jsem projel a nic z toho co píšeš jsem nenašel. NOD 32 mám nainstalován, ale ten mi nic nehlásí.
Pop-up scaner jsem nechal zkontrolovat a je O.K., ale stejně jej asi nebudu
používat. Měl jsem jej jen abych zabránil vyskakujícím oknům Messenger Service, ale teď se mi již neobjevují. Kéž by bylo na netu váce takových stránek a hlavně lidí jako zde !
HKLM\Software\Microsoft\Windows\CurrentVersion\time zones - tento klíč existuje, ale nevím, jak z něj odstranit virus "win32.passma Virus". Registry jsem projel a nic z toho co píšeš jsem nenašel. NOD 32 mám nainstalován, ale ten mi nic nehlásí.
Pop-up scaner jsem nechal zkontrolovat a je O.K., ale stejně jej asi nebudu
používat. Měl jsem jej jen abych zabránil vyskakujícím oknům Messenger Service, ale teď se mi již neobjevují. Kéž by bylo na netu váce takových stránek a hlavně lidí jako zde !
Šnek
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host