Prosím o zkontrolování (vyřešeno)

[Body]

Prosím o zkontrolování, protože Kazaap mi tady hlásí Trojana.
Log z HJT:
Logfile of HijackThis v1.99.1
Scan saved at 20:29:00, on 29.9.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\wincmd\WINCMD32.EXE
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\program files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\program files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &S-Rank - {B71B15CF-3093-459C-B764-AEB2486F2273} - D:\Program Files\Seznam\Postak\SRank.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Seznam Lištička - {B71B15CE-3093-459C-B764-AEB2486F2273} - D:\Program Files\Seznam Listicka\Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Přelož do češtiny - res://D:\Program Files\Seznam Listicka\Toolbar.dll/5034
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Hledej v &Seznamu - res://D:\Program Files\Seznam Listicka\Toolbar.dll/5033
O8 - Extra context menu item: Hledej v Seznam &Fulltextu - res://D:\Program Files\Seznam Listicka\Toolbar.dll/5035
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} (ToolbarInetInstall Control) - http://www.listicka.cz/toolbar.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1137230342
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://ovanet.cz/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB62B8E2-7415-406A-B89F-CC928CAE54D5}: NameServer = 62.129.50.20,85.135.32.100
O23 - Service: hpdj - HP - C:\DOCUME~1\Ales\LOCALS~1\Temp\hpdj.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Díky moc všem!

[Reklama]

[iwigirl]

a kdepak ti toho trojana hlásí?

btw máš nezabezpečený OS, chybí ti oba dvas ervice packy...doporučuji napravit)

[mikel]

Body, můžeš mi vysvětlit, proč zakládáš už 3. téma se stejným problémem? viz:
http://www.pc-help.cz/viewtopic.php?t=7955
http://www.pc-help.cz/viewtopic.php?t=7937

Co si myslíš, že tím dosáhneš?

Je to proti pravidlům fóra, takže si je přečti (odkaz mám v podpisu) a chovej se podle nich.

[Body]

aha to jsem nevěděl, moc se omlouvám, ale mám na počítači 2 účty a na každém jsou jiné viry, tak jsme to nechtěl dávat do jednoho. Ještě jednou pardon

[Body]

Kazaap toho Trojana hlásí v registrech: hkey_current_user\software\microsoft\windows\currentversion\explorer\user shell folders\common startup

Děkuju mockrát!

[mikel]

Aktivního šmejda tam už nemáš, takže sem dej ještě čerstvý log z MWAVu. Ale postupuj přesně podle návodu, protože nestačí napsat
Thu Sep 28 20:25:10 2006 => Object "bargainbuddy Spyware/Adware" found in File System! Action Taken: No Action Taken
jak jsi to udělal před tím. V předcházejícím řádku k takovému nálezu je uvedeno umístění souboru nebo registru.

[Body]

Tady je ten log z Mwav-u, snad tentokrát správně. Děkuju opravdu na stotisíckrát!


Fri Sep 29 20:20:31 2006 => Offending Key found: HKLM\Software\exactutil !!!
Fri Sep 29 20:20:32 2006 => Object "exactutil Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Sep 29 20:20:32 2006 => Offending Key found: HKLM\Software\myway !!!
Fri Sep 29 20:20:32 2006 => Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Sep 29 20:20:32 2006 => Offending Key found: HKCU\Software\ist !!!
Fri Sep 29 20:20:32 2006 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Sep 29 20:20:36 2006 => Offending file found: C:\WINDOWS\DOWNLO~1\popcaploader.dll
Fri Sep 29 20:20:36 2006 => System found infected with downloader-ak Trojan-Downloader (popcaploader.dll)! Action taken: No Action Taken.

Fri Sep 29 20:20:36 2006 => Offending file found: C:\WINDOWS\System32\ide21201.vxd
Fri Sep 29 20:20:36 2006 => System found infected with windupdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.

Fri Sep 29 20:20:36 2006 => Offending Folder found: C:\Program Files\myway
Fri Sep 29 20:20:36 2006 => Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Sep 29 20:20:36 2006 => Offending Folder found: C:\DOCUME~1\Ales\LOCALS~1\Temp\fsg_tmp
Fri Sep 29 20:20:36 2006 => Object "gator-gain-claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Sep 29 20:20:37 2006 => Offending file found: C:\Documents and Settings\Ales\Data aplikací\adobe\photoshop album\log.txt
Fri Sep 29 20:20:37 2006 => System found infected with busted commercial keylogger Commercial KeyLogger (log.txt)! Action taken: No Action Taken.

Fri Sep 29 20:20:40 2006 => Offending file found: C:\Documents and Settings\Ales\Plocha\internet.lnk
Fri Sep 29 20:20:40 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.

Fri Sep 29 20:20:42 2006 => Offending file found: C:\Documents and Settings\Ales\Nabídka Start\programy\po spuštění\powerreg scheduler v3.exe
Fri Sep 29 20:20:42 2006 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: No Action Taken.

Fri Sep 29 20:20:42 2006 => Offending file found: C:\Documents and Settings\Ales\Nabídka Start\Programy\po spuštění\powerreg scheduler v3.exe
Fri Sep 29 20:20:42 2006 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: No Action Taken.

Fri Sep 29 20:20:42 2006 => Offending file found: C:\Documents and Settings\Ales\Nabídka Start\Programy\Po spuštění\powerreg scheduler v3.exe
Fri Sep 29 20:20:42 2006 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler v3.exe)! Action taken: No Action Taken.

Fri Sep 29 20:20:45 2006 => Offending Folder found: C:\Documents and Settings\Ales\Local Settings\temp\fsg_tmp
Fri Sep 29 20:20:45 2006 => Object "gator-gain-claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Sep 30 12:44:35 2006 => ***** Scanning complete. *****

Sat Sep 30 12:44:35 2006 => Total Objects Scanned: 22861
Sat Sep 30 12:44:35 2006 => Total Critical Objects: 13
Sat Sep 30 12:44:35 2006 => Total Disinfected Objects: 0
Sat Sep 30 12:44:35 2006 => Total Objects Renamed: 0
Sat Sep 30 12:44:35 2006 => Total Deleted Objects: 0
Sat Sep 30 12:44:35 2006 => Total Errors: 127
Sat Sep 30 12:44:35 2006 => Time Elapsed: 00:04:38
Sat Sep 30 12:44:35 2006 => Virus Database Date: 9/30/2006
Sat Sep 30 12:44:35 2006 => Virus Database Count: 227668

[mikel]

Takže si otevři editor registrů (přes Start/Spustit/napiš regedit a odenteruj). Najdi a smaž červeně označené klíče:
HOT_KEY_LOCAL_MACHINE\Software\exactutil
HOT_KEY_LOCAL_MACHINE\Software\myway
HOT_KEY_CURRENT_USER\Software\ist

Pak najdi na disku a smaž tyto soubory nebo adresáře:
C:\WINDOWS\DOWNLO~1\popcaploader.dll (adresář bude určitě Downloaded Installations)
C:\WINDOWS\System32\ide21201.vxd
C:\Program Files\myway
C:\Documents and Settings\Ales\Local Settings\Temp\fsg_tmp
C:\Documents and Settings\Ales\Plocha\internet.lnk
C:\Documents and Settings\Ales\Nabídka Start\programy\po spuštění\powerreg scheduler v3.exe

[Body]

Všechno jsem smazal kromě C:\WINDOWS\DOWNLO~1\popcaploader.dll (adresář bude určitě Downloaded Installations) -nenašel jsem ho.
Nový log z mwav-u:
Sat Sep 30 15:36:23 2006 => Offending file found: C:\WINDOWS\DOWNLO~1\popcaploader.dll
Sat Sep 30 15:36:23 2006 => System found infected with downloader-ak Trojan-Downloader (popcaploader.dll)! Action taken: No Action Taken.

Sat Sep 30 15:36:37 2006 => Offending file found: C:\WINDOWS\vb.ini
Sat Sep 30 15:36:37 2006 => System found infected with virusburst Trojan (C:\WINDOWS\vb.ini)! Action taken: No Action Taken.
Sat Sep 30 15:39:56 2006 => ***** Scanning complete. *****

Sat Sep 30 15:39:56 2006 => Total Objects Scanned: 22820
Sat Sep 30 15:39:56 2006 => Total Critical Objects: 2
Sat Sep 30 15:39:56 2006 => Total Disinfected Objects: 0
Sat Sep 30 15:39:56 2006 => Total Objects Renamed: 0
Sat Sep 30 15:39:56 2006 => Total Deleted Objects: 0
Sat Sep 30 15:39:56 2006 => Total Errors: 127
Sat Sep 30 15:39:56 2006 => Time Elapsed: 00:05:05
Sat Sep 30 15:39:56 2006 => Virus Database Date: 9/30/2006
Sat Sep 30 15:39:56 2006 => Virus Database Count: 227696



A chtěl bych se zeptat, jestli mám mít ještě vypnuté obnovení systému? Zatím moc děkuji!

[mikel]

Vypnuté obnovení systému - je to vždy lepší.

Takže zbývá ještě smazat:
C:\WINDOWS\vb.ini
C:\WINDOWS\DOWNLO~1\popcaploader.dll - použij funkci Hledat a ujisti se, že máš zapnuté zobrazování skrytých souborů.

[fredik]

ten popcaploader.dll se nachází v adresáře C:\WINDOWS\Downloaded Program Files\ ale musíš mít zapnuté zobrazení skrytých souboru jinak ten adresář nenajdeš.

[Body]

C:\WINDOWS\DOWNLO~1\popcaploader.dll - nelze najít (skryté soubory mám pořád zobrazené, není ani ve složce Downloaded installations, ani ve složce Downloaded program files), ten první jsem odstranil bez problémů.
Nový log z mwav-u:
Sat Sep 30 17:05:37 2006 => System found infected with mybar Spyware/Adware ({0494d0d9-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken

Sat Sep 30 17:08:33 2006 => ***** Scanning complete. *****

Sat Sep 30 17:08:33 2006 => Total Objects Scanned: 22243
Sat Sep 30 17:08:33 2006 => Total Critical Objects: 1
Sat Sep 30 17:08:33 2006 => Total Disinfected Objects: 0
Sat Sep 30 17:08:33 2006 => Total Objects Renamed: 0
Sat Sep 30 17:08:33 2006 => Total Deleted Objects: 0
Sat Sep 30 17:08:33 2006 => Total Errors: 23
Sat Sep 30 17:08:33 2006 => Time Elapsed: 00:03:48
Sat Sep 30 17:08:33 2006 => Virus Database Date: 9/30/2006
Sat Sep 30 17:08:33 2006 => Virus Database Count: 227754


Zatím opravdu velké díky!