Help - LaFemmeNikitav4.5.exe na WXPH

[simir.zn]

tak bingo, snad jsem to našel všechno a na nic nezapomněl.

Tue Jul 03 05:42:28 2007 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Nic nebylo provedeno.

Tue Jul 03 05:42:34 2007 => System found infected with winfixer/errorsafe Adware (trace.log)! Action taken: Nic nebylo provedeno.

Tue Jul 03 05:42:34 2007 => System found infected with winfixer/errorsafe Adware (trace.log)! Action taken: Nic nebylo provedeno.

Tue Jul 03 05:42:36 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Tue Jul 03 05:42:36 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Nic nebylo provedeno.

Tue Jul 03 05:42:38 2007 => Offending file found: C:\WINDOWS\icons
Tue Jul 03 05:42:38 2007 => System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Nic nebylo provedeno.

Tue Jul 03 05:42:39 2007 => Checking MountPoints2 Registry Key...
Tue Jul 03 05:42:39 2007 => Executable Command Found in {b4d0d03c-c732-11db-838d-0016cf625d5d}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Tue Jul 03 05:42:39 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4d0d03c-c732-11db-838d-0016cf625d5d} !!!
Tue Jul 03 05:42:39 2007 => Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Tue Jul 03 05:42:39 2007 => Checking CLSID Reference Entries...
Tue Jul 03 05:42:39 2007 => Záznam "HKCR\AFillerProj.Active602XMLFiller" odkazuje na neplatný objekt "{672EE252-D813-4F5E-81BB-5DD163DD4FA5}". Provedené akce: Nic nebylo provedeno.

Tue Jul 03 05:44:19 2007 => Testování souboru C:\DOCUME~1\PETULK@\LOCALS~1\Temp\Spyware.sdb

Tue Jul 03 06:01:20 2007 => Testování souboru C:\Documents and Settings\Peťulk@\Local Settings\Temp\Spyware.sdb


"C:\Program Files\Common Files\Symantec Shared\VirusDefs\". Provedené akce: Nic nebylo provedeno.

Tue Jul 03 05:43:14 2007 => Testování souboru C:\WINDOWS\system32\IVIresize.dll

Tue Jul 03 05:43:51 2007 => Testování souboru C:\WINDOWS\system32\IVIresizeA6.dll

Tue Jul 03 05:43:52 2007 => Testování souboru C:\WINDOWS\system32\IVIresizeM6.dllTue Jul 03 05:43:54 2007 => Testování souboru C:\WINDOWS\system32\IVIresizeP6.dll
Tue Jul 03 05:43:54 2007 => Testování souboru C:\WINDOWS\system32\IVIresizePX.dll
Tue Jul 03 05:43:54 2007 => Testování souboru C:\WINDOWS\system32\IVIresizeW7.dll

Tue Jul 03 06:23:08 2007 => Testování souboru C:\Program Files\Winamp\Plugins\avs\Community Picks\Zamuz - Explosive Virus.avs

Tue Jul 03 06:23:16 2007 => Testování souboru C:\Program Files\Winamp\Plugins\Milkdrop\Zylot - S. Pulse Virus.milk



Tue Jul 03 06:34:36 2007 => ***** Test dokončen, kontrolu proveďte na http://www.viry.cz. *****

Tue Jul 03 06:34:36 2007 => Testovaných objektů: 93616
Tue Jul 03 06:34:36 2007 => Kritických objektů: 6
Tue Jul 03 06:34:36 2007 => Celkem vyléčených objektů: 0
Tue Jul 03 06:34:36 2007 => Celkem přejmenováno: 0
Tue Jul 03 06:34:36 2007 => Smazaných objektů: 0
Tue Jul 03 06:34:36 2007 => Celkem chyb: 31
Tue Jul 03 06:34:36 2007 => Uplynulý čas: 00:53:55
Tue Jul 03 06:34:36 2007 => Datum vydání databáze: 7/2/2007
Tue Jul 03 06:34:36 2007 => Verze virové databáze: 356938

Tue Jul 03 06:34:36 2007 => Test je dokončen, kontrolu lze provést na http://www.viry.cz.

[Reklama]

[Baron Prášil]

toto smaž
C:\WINDOWS\system32\unrar.dll

[simir.zn]

smazáno, co mám provést teď, projet to něčím pro kontrolu?

[mikel]

Ještě se podívej, jestli najdeš tento červený soubor a smaž ho:
C:\WINDOWS\icons

[simir.zn]

Ve slože C:\WINDOWS\ jsem "icons" nenašel

[mikel]

Musíš si zapnout zobrazování skrytých souborů (Ovládací panely/Možnosti složky/karta Zobrazení)

[simir.zn]

Už se mi to podařilo najít, díky.
Hledal jsem ho nejprve přes Total Commandera a nic jsem nenašel, teď jsem se tam klasicky proklikal přes Tento počítač a složku smazal.
Projel jsem PC pomoci Spyware Terminatora a našel mi (podle něj) "Trojan/W32 Warezov.HUJ" v C:\WINDOWS\fix.exe. Mělo by to ale myslím být něco orig. od Aceru dle popisu: RegUtility, Acer Inc. z 16.12.2005 - čemu mám tedy věřit?
Projel jsem tento fix.exe na VirusTotal a bez závad, AVG taky nic nehlásí.

[simir.zn]

zhruba před týdnem to začalo když AVG našel jeden den 7 problémů, a za nějaký den opět další. Opíšu to sem z AVG, jestli to k něčemu bude. Z 29.6.2007:
C:\Documents and Settings\All Users\Dokumenty\SexSpyv4.5.exe
C:\Documents and Settings\All Users\Dokumenty\Hot Blondies3.0.exe
C:\Documents and Settings\All Users\Dokumenty\Teen Sex Cam (Eng).exe
C:\Documents and Settings\All Users\Dokumenty\Anal Explorer v4.5.exe
C:\Documents and Settings\All Users\Dokumenty\Anal Explorer (sHow).exe
C:\Documents and Settings\All Users\Dokumenty\LaFemmeNikita(sHow).exe
C:\System Volume Information\_restore{EDB236DB-C49A-44C4-A5F0-DEF8DA200042}\RP181\A0057650.exe

Vše AVG smazal. Ale hned 30.6.2007 našel opět
C:\Documents and Settings\All Users\Dokumenty\LaFemmeNikitav4.5.exe
C:\System Volume Information\_restore{EDB236DB-C49A-44C4-A5F0-DEF8DA200042}\RP181\A0057681.exe
C:\System Volume Information\_restore{EDB236DB-C49A-44C4-A5F0-DEF8DA200042}\RP181\A0057682.exe
C:\System Volume Information\_restore{EDB236DB-C49A-44C4-A5F0-DEF8DA200042}\RP181\A0057683.exe
C:\System Volume Information\_restore{EDB236DB-C49A-44C4-A5F0-DEF8DA200042}\RP181\A0057684.exe
C:\System Volume Information\_restore{EDB236DB-C49A-44C4-A5F0-DEF8DA200042}\RP181\A0057685.exe
C:\System Volume Information\_restore{EDB236DB-C49A-44C4-A5F0-DEF8DA200042}\RP181\A0057686.exe
C:\System Volume Information\_restore{EDB236DB-C49A-44C4-A5F0-DEF8DA200042}\RP181\A0057728.exe

Opět vše smazal. Od té doby žádné záchyty.