Prosim o preventvivni kontrolu logu

[Rewqa]

Prosim o preventvivni kontrolu logu.Dneska prijdu ke kompu a shledal sem ze je komp hrozne pomalej zasekavala se mys i kdyz sem nemel spustenej zadnej jinej program...procesor je furt v 30% zatezi i kdyz nic nedelam a muj Intel Celeron D 2,8ghz ma furt 60 stupnu i kdyz nic nedelam!!Nevim jestli na to muzou mit vliv excae typu lsass.exe, crss.exe, smss.exe..plz poradte mi nekdo!!!Na kompy nejsem lama ale tohle proste uz nevim jak resit..zkousel sem vsechno avast, ad-aware, Spybot avast virus cleaner ale vsechno bez vysledku..mozna ze je to jenom nakej prechodnej problem..toze komp bezi cely odpoledne,ale o tom silne pochybuju,protoze tohle se mi predtim nikdy nestalo..diky za odpoved

A tady pro jistotu muj hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 19:23:50, on 19.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\Program Files\Generic\USB Card Reader Driver v2.2d\Disk_Monitor.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\UAService7.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\!mix\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v2.2d\Disk_Monitor.exe
O4 - HKLM\..\Run: [Windows connection manager] sysdll32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTBatteryMeter] C:\Program Files\VibrateGameDeviceDriver\RFPIcon.exe
O4 - HKLM\..\RunServices: [Windows connection manager] sysdll32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stáhnout pomocí Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

[Reklama]

[mijaja]

Vypni Obnovu systému (klávesa Windows+Pause/Break - a v okně Vlastnosti systému - karta Obnovení systému zaškrtnout okénko Vypnout nástroj obnovení systému na všech jednotkách a restartuj.

Nejdříve nechej zkontrolovat na Jottiscanu soubory:

sysdll32.exe - nejspíše bude ve složce Windows\System32 a měl by to být trojan a soubor
C:\Program Files\VibrateGameDeviceDriver\RFPIcon.exe
C:\WINDOWS\system32\sfrem01.exe - napiš, co Jotti našel.

Buď odinstaluj jeden antivir AVG nebo Avast, anebo u jednoho vypni rezidentní štít. Nainstaluj si alternativní prohlížeč namísto Internet Exploreru, stáhni si Ccleaner (v podpisu) a nainstaluj.

Až to budeš mít, tak začni s čištěním:
Vypni Obnovu systému (klávesa Windows+Pause/Break - a v okně Vlastnosti systému - karta Obnovení systému zaškrtnout okénko Vypnout nástroj obnovení systému na všech jednotkách a restartuj.


V Hijackthisu fixni:

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Windows connection manager] sysdll32.exe
O4 - HKLM\..\Run: [Windows connection manager] sysdll32.exe
po zaškrtnutí klikni na FixChecked

Potom najdi na disku ten červeně označený soubor a vymaž ho. Nastav si v Možnostech složky zobrazování skrytých a systémových souborů, abys jej lépe nalezl.

Spusť Ccleaner a dej vyčistit windows, aplikace i registry. Potom nakoukni do složek Temp a Temporary Internet Files ve všech profilech Documents and Settings a Windows, jestli jsou prázdné a vysyp koš. Restartuj do normálu a dej nový log na kontrolu.

[Baron Prášil]

odinstaluj nebo vypni rezident u jednoho antiviru(AVG?)
stejně tak u antispyware(spybot a ad-aware)
nainstaluj firewall!
stahni a použij http://www.spyware.cz/go.php?p=spyware&t=aplikace&id=16

fixni v HJT

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Windows connection manager] sysdll32.exe

O4 - HKLM\..\RunServices: [Windows connection manager] sysdll32.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

restartuj a pošli novej log

[Rewqa]

asi je to divni ale sysdll32.exe tam nemam nikde ve windowsech..ani to vibrategamedevicedriver

[Rewqa]

udelam sem vsechno jak ste mi rekli oba..ale nevidim zadnou zmenu..tady pro jistotu log po vsech cistenich atd..jinak diky za pomoc.vazim si toho

Logfile of HijackThis v1.99.1
Scan saved at 21:05:31, on 19.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\Program Files\Generic\USB Card Reader Driver v2.2d\Disk_Monitor.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\UAService7.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\!mix\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v2.2d\Disk_Monitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows connection manager] sysdll32.exe
O4 - HKLM\..\Run: [RTBatteryMeter] C:\Program Files\VibrateGameDeviceDriver\RFPIcon.exe
O4 - HKLM\..\RunServices: [Windows connection manager] sysdll32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stáhnout pomocí Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

[Guivan5]

abys ten soubor viděl musíš dát Nástroje -> Možnosti složky -> Zobrazení -> Zobrazit skryté soubory. nejspíš bude skrytej

[Rewqa]

to sem samozrejme daval ale bez vysledku..to bude asi hodne divny kdyz to tam nemam co??

[Baron Prášil]

to Rewqa:

Kód: Vybrat vše

udelam sem vsechno jak ste mi rekli...

stále běžej dva AV a chybí firewall!
nepodceňoval bych to!

[Rewqa]

avg mam po spusteni vypnuty a firewall mam ten windosovskej a pochybuju ze by to mohl vyresit nakej jinej kdyz sem dosud zadnej nemel

[Baron Prášil]

já samozřejmě vycházim z logu a v logu sou dva rezidentně spuštěný antiviry.
a s tim firewalem to moc nechápu. do teď si používal ten ve windows nebo
žádnej? v každým případě ten ve windows je nanic a to znamená,že nemáš
firewall a to je špatně!

[mijaja]

Máš doufám vypnutou Obnovu systénu!
Znovu fixni v Hijackthisu:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows connection manager] sysdll32.exe
O4 - HKLM\..\Run: [RTBatteryMeter] C:\Program Files\VibrateGameDeviceDriver\RFPIcon.exe
O4 - HKLM\..\RunServices: [Windows connection manager] sysdll32.exe


Sysdll.32.exe by měl být v této složce:
C:\\WINDOWS\\system\\sysdll32.exe - když, tak využij i funkce Hledat

Dával jsem ti odkaz na toho šmejda, takže podle toho musíš do registrů a zlikvidovat tyhle klíče:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
system32.dll = C:\\WINDOWS\\system\\sysdll32.exe

HKCU\Software\Microsoft\Internet Explorer\Main\
Default_Search_URL = http://www.wholeworldmarket.com/search/

HKCU\Software\Microsoft\Internet Explorer\Main\
Default_Page_URL = http://www.wholeworldmarket.com/search/top/

HKCU\Software\Microsoft\Internet Explorer\Search\
CustomizeSearch = http://www.wholeworldmarket.com/search/

HKCU\Software\Microsoft\Internet Explorer\Search\
Default_Search_URL = http://www.wholeworldmarket.com/search/

HKCU\Software\Microsoft\Internet Explorer\Styles\
Use My Stylesheet = dword:00000001

HKCU\Software\Microsoft\Internet Explorer\Styles\
User Stylesheet = C:\\WINDOWS\\sstyle.css

HKLM\SOFTWARE\Microsoft\Internet Explorer\Styles\
Use My Stylesheet = dword:00000001

HKLM\SOFTWARE\Microsoft\Internet Explorer\Styles\
User Stylesheet = C:\\WINDOWS\\sstyle.css

HKCU\Software\Microsoft\Internet Explorer\Main\
Search Page = http://www.wholeworldmarket.com/search/

HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page = http://www.wholeworldmarket.com/search/top/

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\
Search Page = http://www.wholeworldmarket.com/search/

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\
Start Page = http://www.wholeworldmarket.com/search/top/

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\
CustomizeSearch = http://www.wholeworldmarket.com/search/

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\
SearchAssistant = http://www.wholeworldmarket.com/search/

Otevři si editor registrů a najdi tyhle klíče. V pravém okně potom vymaž ty hodnoty, které jsou červeně vypsané(celý řádek v pravém okně). Nejdříve si ale samozřejmě udělej zálohu registrů.

Udělej potom podle návodu v mém podpisu i log mwavu a upravený dej sem.

[Rewqa]

muzete mi sem plz napsat celej navod..kamarad kterej tom hodne rozumi mi radil at udelam obnovu systemu,tak si nejsem jistej jestli je bezpecny vypinat obnovu systemu ..nerad bych si ten komp posral este vic nez je..a k tomu firewallu..poradte mi nejakej dobrej ale nechci Kerio toze to furt hazi naky zkurweny hlasky a to ja nechci.diky