win32/stration.hr červ (vyřešeno)

[qviik]

Karanténu NODu i Ad-awaru mažu. Opět jsem několikrát pustil Ad-aware a vždy na konci naskočí varovné okno NODu, které zmizí až po šestém odkliknutí. V okně je napsané, že toho červa strčí do karantény a taky, že jo. Je tam vždy 6x, ale když ho smažu a opět pustím Ad-aware, tak se vše neustále opakuje.
Zkusím tedy ještě tvojí radu s tím MWAV.

[Reklama]

[qviik]

Tak jsem zkusil použít MWAV. Řídil jsem se podle návodu, ale tomu konci nějak nerozumím.
Z celého logu jsem vybral dle návodu soubory s "ware" a "vir", ale našel jsem jich docela dost a ne jen těch 18 Total Critical Objects. A hlavně nevím, co s tím mám dále dělat, kam to přesně dát, co odmáčknout nebo ...? Na ukázku posílámjenom konec vybraného logu:


Thu Oct 26 15:56:43 2006 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Object "whenu/search Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:44 2006 => Object "spywarestrike Trojan" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:45 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Thu Oct 26 15:56:57 2006 => Object "lop.com Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:59:08 2006 => Scanning File C:\DOCUME~1\PRASÁTKO\LOCALS~1\Temp\FtpTempF\riskware.avc [**]

Thu Oct 26 15:59:08 2006 => Scanning File C:\DOCUME~1\PRASÁTKO\LOCALS~1\Temp\Spyware.sdb [**]

Thu Oct 26 15:59:09 2006 => Scanning File C:\DOCUME~1\PRASÁTKO\LOCALS~1\Temp\riskware.avc [**]

Thu Oct 26 15:36:19 2006 => Scanning File C:\Documents and Settings\Prasátko\Plocha\viry.txt [**]

Thu Oct 26 15:36:26 2006 => Scanning File C:\Documents and Settings\Prasátko\Plocha\Ad-Aware\nod32\nod32\logs\virlog.dat [**]

Thu Oct 26 15:59:08 2006 => Scanning File C:\DOCUME~1\PRASÁTKO\LOCALS~1\Temp\virus.avi [**]




Thu Oct 26 15:59:12 2006 => ***** Scanning complete. *****

Thu Oct 26 15:59:12 2006 => Total Objects Scanned: 36624
Thu Oct 26 15:59:12 2006 => Total Critical Objects: 18
Thu Oct 26 15:59:12 2006 => Total Disinfected Objects: 0
Thu Oct 26 15:59:12 2006 => Total Objects Renamed: 0
Thu Oct 26 15:59:12 2006 => Total Deleted Objects: 0
Thu Oct 26 15:59:12 2006 => Total Errors: 523
Thu Oct 26 15:59:12 2006 => Time Elapsed: 00:23:21
Thu Oct 26 15:59:12 2006 => Virus Database Date: 10/26/2006
Thu Oct 26 15:59:12 2006 => Virus Database Count: 235108

Čo mám robiť ??? Dochází mi síly, asi se scvoknu!

[mijaja]

Tak víš co? Zabal ten log do zipu a pošli mi ho na mail. Podívám se na to .

[mijaja]

Tak tady je výtah z tvého logu MWAVu:

Thu Oct 26 15:56:41 2006 => System found infected with funweb Spyware/Adware ({147a976f-eee1-4377-8ea7-4716e4cdd239})! Action taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sacc !!!
Thu Oct 26 15:56:43 2006 => Object "surfaccuracy Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\savenow !!!
Thu Oct 26 15:56:43 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Offending Key found: HKLM\Software\funwebproducts !!!
Thu Oct 26 15:56:43 2006 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Offending Key found: HKLM\Software\mywebsearch !!!
Thu Oct 26 15:56:43 2006 => Object "mwsoemon Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Offending Key found: HKCU\Software\fun web products !!!
Thu Oct 26 15:56:43 2006 => Object "funweb Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Offending Key found: HKCU\Software\funwebproducts !!!
Thu Oct 26 15:56:43 2006 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Offending Key found: HKCU\Software\mywebsearch !!!
Thu Oct 26 15:56:43 2006 => Object "mwsoemon Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Offending Key found: HKLM\Software\microsoft\downloadmanager !!!
Thu Oct 26 15:56:43 2006 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:43 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\whenusearch !!!
Thu Oct 26 15:56:43 2006 => Object "whenu/search Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:44 2006 => Offending value found in HKLM\Software\Licenses: {k7c0db872a3f777c0} !!!
Thu Oct 26 15:56:44 2006 => Object "spywarestrike Trojan" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:56:45 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Thu Oct 26 15:56:45 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Thu Oct 26 15:56:54 2006 => Offending file found: C:\Documents and Settings\Prasátko\Plocha\hry\hry\call of duty\call of duty\docs\license.rtf
Thu Oct 26 15:56:54 2006 => System found infected with winfixer/errorsafe Adware (license.rtf)! Action taken: No Action Taken.

Thu Oct 26 15:56:54 2006 => Offending file found: C:\Documents and Settings\Prasátko\Plocha\hry\hry\call of duty\call of duty\uodocs\license.rtf
Thu Oct 26 15:56:54 2006 => System found infected with winfixer/errorsafe Adware (license.rtf)! Action taken: No Action Taken.

Thu Oct 26 15:56:55 2006 => Offending file found: C:\Documents and Settings\Prasátko\Plocha\hry\hry\call of duty\call of duty 1\docs\license.rtf
Thu Oct 26 15:56:55 2006 => System found infected with winfixer/errorsafe Adware (license.rtf)! Action taken: No Action Taken.

Thu Oct 26 15:56:55 2006 => Offending file found: C:\Documents and Settings\Prasátko\Plocha\hry\hry\arkanoid\games.ico
Thu Oct 26 15:56:55 2006 => System found infected with zlob Trojan-Downloader (games.ico)! Action taken: No Action Taken.

Thu Oct 26 15:56:55 2006 => Offending file found: C:\Documents and Settings\Prasátko\Plocha\hry\hry\cunter strike\valve\sound\vox\found.wav
Thu Oct 26 15:56:55 2006 => System found infected with zlob Trojan-Downloader (found.wav)! Action taken: No Action Taken.

Thu Oct 26 15:56:57 2006 => Offending Folder found: C:\Documents and Settings\Prasátko\Oblíbené položky\games\gambling
Thu Oct 26 15:56:57 2006 => Object "lop.com Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Oct 26 15:59:12 2006 => ***** Scanning complete. *****

Thu Oct 26 15:59:12 2006 => Total Objects Scanned: 36624
Thu Oct 26 15:59:12 2006 => Total Critical Objects: 18
Thu Oct 26 15:59:12 2006 => Total Disinfected Objects: 0
Thu Oct 26 15:59:12 2006 => Total Objects Renamed: 0
Thu Oct 26 15:59:12 2006 => Total Deleted Objects: 0
Thu Oct 26 15:59:12 2006 => Total Errors: 523
Thu Oct 26 15:59:12 2006 => Time Elapsed: 00:23:21
Thu Oct 26 15:59:12 2006 => Virus Database Date: 10/26/2006
Thu Oct 26 15:59:12 2006 => Virus Database Count: 235108

Thu Oct 26 15:59:12 2006 => Scan Completed.
----------------------------------------------------------------------------------------------------------------------------

Tak teď si nastav zobrazování skrytých a systémových souborů v Možnostech složky a tohle červené najdi na svém disku.

HKLM\Software\funwebproducts
HKLM\Software\Licenses: {k7c0db872a3f777c0}
HKLM\Software\mywebsearch
HKLM\Software\microsoft\downloadmanager
HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sacc
HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\savenow

HKCU\Software\fun web products
HKCU\Software\funwebproducts
HKCU\Software\mywebsearch
HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\whenusearch

C:\WINDOWS\gpinstall.exe
C:\Documents and Settings\Prasátko\Plocha\hry\hry\call of duty\call of duty\docs\license.rtf
C:\Documents and Settings\Prasátko\Plocha\hry\hry\call of duty\call of duty\uodocs\license.rtf
C:\Documents and Settings\Prasátko\Plocha\hry\hry\call of duty\call of duty 1\docs\license.rtf
C:\Documents and Settings\Prasátko\Plocha\hry\hry\arkanoid\games.ico
C:\Documents and Settings\Prasátko\Plocha\hry\hry\cunter strike\valve\sound\vox\found.wav
C:\Documents and Settings\Prasátko\Oblíbené položky\games\gambling


Takže ty červeně označené registry a soubory musí z disku!

[qviik]

Zase trapné dotazy, ale nevím jak nastavit to zobrazování skrytých a systémových souborů v Možnostech složky a potom to červené smažu pomocí nějakého programu nebo jak?
Dík moc

[mijaja]

V průzkumníkovi si otevři lištu Nástroje >> Možnosti složky. V ní potom Zobrazení a roletka Upřesnit nastavení.





Zruš zaškrtnutí u volby Skrýt chráněné soubory operačního systému a potom otevři Skryté soubory a složky zaškrtni Zobrazovat skryté soubory a složky.

Potom už budeš hledat to červené na disku a až je najdeš, tak jednoduchým přítlakem pravého ukazováčku na klávesu Delete způsobíš jejich likvidaci.

[qviik]

Ty soubory c:... jsem našel a smazal, ale nevím, kde najít ty soubory začínající HKLM\... a HKCU\...?

[mijaja]

Nabídka Start>>Spustit- do okénka napiš regedit a zmáčkni Enter nebo OK. Otevře se ti okno editoru registrů. V něm v levém okně vyhledej tyto klíče a v nich potom v pravém okně tyto hodnoty:

HKLM\Software\funwebproducts
HKLM\Software\Licenses: {k7c0db872a3f777c0}
HKLM\Software\mywebsearch
HKLM\Software\microsoft\downloadmanager
HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sacc
HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\savenow

HKCU\Software\fun web products
HKCU\Software\funwebproducts
HKCU\Software\mywebsearch
HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\whenusearch

Některé klíče nebudou mít v pravém okně nic - to se týká hlavně funwebprodictu a mywebsearchu - tady vymaž v levém okně celou složku klíče s těmito názvy.

[qviik]

Tak jsem to všechno smazal, ale problém je stále stejný: před ukončením kontroly Ad-aware naběhne 6x varovné okno NODu, že byl nalezený červ. Ještě tě něco napadá???
A ještě jsem se chtěl zeptat, od té doby co jsem začal pracovat podle vašich pokynů, tak nemůžu po napsání e-mailů (na seznamu) otevřít složku Otevřít adresář. Nevíš, čím by tohle to mohlo být???

[mijaja]

Tohle je dost podivné a napadá mě jedno - že by Ad-aware před koncem svého skenu pootevřel svou karanténu a v ten moment tam NOD něco viděl? Podívej se do ní (karantény Ad-awaru a jestli tam něco je, tak to vysyp. Není v té hlášce NODu odkaz na určitý soubor? NOD přece má svůj log skenování - podívej se do něj a zkus najít to, k čemu se ta hláška váže.

Jinak Outlok nepoužívám, tak jako i jiné síťové produkty MS, tak mi není zcela jasné, která akce by zablokovala adresář. Nebo tím myslíš svůj adresář ve své schránce na Seznamu.cz(pokud jej máš)? Tam by situace byla jiná, protože tento adresář není na tvém disku, ale na serveru Seznamu a jeho znepřístupnění, bude spíše záležitost nastavení schránky.

[qviik]

Smazal jsem soubor dfssrasc.dll, který se neustále opakoval v okně hlášení NODu o tom červu a vypadá to, že jsme na to konečně přišli, protože to okno se už přestalo zobrazovat!!! Takže díky moc!!!

Pokud jde o ten adresář, tak myslím ten přímo na Seznamu.cz. Na všechny zprávy, co mi přijdou stačí jen ukázat myší a ty se hned zbarvují do červena. To předtím nebylo, myslím, že se zbarvovaly do žluta. Pak zprávu normálně otevřu, dám přeposlat a dále kliknu na "otevřít adresář", kde se normálně poté zobrazí seznam mých uložených e-mailových adres, ale teď se neděje vůbec nic. To samé je, když napíšu nový e-mail, tak potom se ten adresář kontaktů taky neotevře. Přitom jsem se díval všude možně, ale nejsou zapnuté žádné filtry ani žádná omezení a pod.
Snad jsem to napsal tak, že tomu aspoň trochu rozumíš

[mijaja]

Seznam.cz v poslední době dělal šílené změny v nastavení zpráv a schránek. To bych viděl v jejich chybě. Například Tiscali ti dá možnost si stáhnout soubor Tiscali.ins , ve kterém se tvé nastavení schránky zálohuje na tvém disku. Bohužel Seznam tohle nedělá. Tam je každé nastavení zbytečně složité a když jsem ho dělal, tak po uložení a restartu browserů stejně zmizelo a musel jsem to každý den až 3-4x nastavovat znovu. Až teď (poslední 3 dny) to vypadá, že by snad už to mohlo vydržet. Bohužel v posledním týdnu jsem neodesílal poštu, tak ti nepovím, jestli nemám stejný problém. Až příjdu domů, zjistím to. Měl bys prohrabat to nastavení do všech podrobností a zkusit je v nejhorším kontaktovat.