PC-HELP.CZ

Dobrý den, měla jsem problém s nefunkčním připojením k internetu, načež jsem zjistila, že byl způsoben trojskými koni. Vyčistila jsem počítač Avastem, ale spolu s trojáky a spywary se do avastové truhly neznámo proč dostaly též systémové soubory schvost.exe, csrss.exe, system a system idle process při pokusu o jejich obnovení avast hlásil, že to není možné, došlo k chybě. V systémových informacích se hlásí, že nejsou k dispozici. Zatím se mi nezdá, že bych je nějak postrádala. Ponechala jsem je v truhle v sekci systémové soubory (nikoliv infikované), zatímco viry jsem smazala. počítač včetně internetu zatím šlape. Budou mi tyto systémy nějak chybět? sorry za blbý dotaz, jsem laik

svchost.exe-napsanej takhle bez souvislostí může bejt šmejd a nemusí(to samí ty ostatní). záleží na tom jestli avast taky podává zprávu z jakého umístění ten soubor smazal(myslim,že by měl)
tak to zjisti
ale nepředpokládám,že by se avast takhle seknul a smazal systémový soubory.

Jsou tam i jiný soubory, jako kernel.exe a winsock.exe atd. Bývalé umístění bylo C:/Winows/System 32., ale to je stejné místo, kde taky bylo spoustu virů. Včera jsem viry z avastový truhly smazala, a schvost a spol. zmizely s nima. Internet funguje dost pofidérně, někdy ano a někdy ne, obávám se, že tam buď něco zůstalo, co už test nenajse, nebo nefungují win právě kvůli těmto ztarceným souborům.

Pokud máš zapnutou u Avastu volbu VRDB, tak avast uchovává stav systémových souborů a při jejich infikování uloží infikované do truhly a obnoví je z té zálohy. Takže asi máš VRDB zapnuto a vše je OK!

No nevím, je tam u té databáze nápis neprovedeno a ty soubory jsoü zřejmě nenávratně pryč. Občas se kazí Windows-nejdou otvírat složky a musí se to restartovat. Mám je přeinstalovat?

Vlož sem log z HijackThis.
HijackThis stahneš tady-
http://www.bleepingcomputer.com/files/M ... ckThis.zip
rozbal do vlastní složky,spusť,klikni na "Do a system scan and save a logfile"
Vygenerovaný texťák zkopíruj sem.

Tady to je, a děkuji neznámému človíčku za ochotu....
Scan saved at 20:11:16, on 20.1.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergencySrv.exe
C:\Program Files\Genius NetScroll + Series Mouse\mouseElf.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\windowsupdats.exe
C:\Program Files\Common Files\{58A21F8A-072C-1029-0428-0404090701a4}\Update.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergency.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\TEREZA~1\LOCALS~1\Temp\ARC1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {086F3ADF-92EA-4415-877E-C7DD7DD64F14} - C:\WINDOWS\System32\cbxuspp.dll (file missing)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [mouseElf] C:\Program Files\Genius NetScroll + Series Mouse\mouseElf.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Windows Update] windowsupdats.exe
O4 - HKLM\..\Run: [{58A21F8A-072C-1029-0428-0404090701a4}] "C:\Program Files\Common Files\{58A21F8A-072C-1029-0428-0404090701a4}\Update.exe" mc-110-12-0000144
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\RunServices: [Windows Update] windowsupdats.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [VoipDiscount] "C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpyEmergency] "C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergency.exe"
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8577DFC2-9116-404C-B189-92FFE34C710E}: NameServer = 212.158.128.2 212.158.128.3
O20 - Winlogon Notify: cbxuspp - cbxuspp.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Spy Emergency Shield Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergencySrv.exe
O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - C:\WINDOWS\system\services.exe (file missing)

Ukonči v TaskManageru (zmáčkni zároveň klávesy ctrl+alt+delete) otevře se ti okno a v něm se přepni na záložku Procesy a v ní ukonči:
windowsupdats.exe

Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {086F3ADF-92EA-4415-877E-C7DD7DD64F14} - C:\WINDOWS\System32\cbxuspp.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Windows Update] windowsupdats.exe
O4 - HKLM\..\Run: [{58A21F8A-072C-1029-0428-0404090701a4}] "C:\Program Files\Common Files\{58A21F8A-072C-1029-0428-0404090701a4}\Update.exe" mc-110-12-0000144
O4 - HKLM\..\RunServices: [Windows Update] windowsupdats.exe
O20 - Winlogon Notify: cbxuspp - cbxuspp.dll (file missing)

po zaškrtnutí klikni na tlačítko Fix Checked

pak najdi a smaž červeně označený soubor
C:\WINDOWS\System32\windowsupdats.exe

Tuto službu zastavte: měla by se jmenovat COM+ Messages

O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)

Start -> Spustit - > napiš services.msc a dej OK. Otevře se ti okno Služby. V ní ji najdi a ve vlastnostech nastavte typ spouštění na zakázáno.

Toto otestuj na VirusTotall
C:\WINDOWS\system\services.exe
a dej sem výsledek a nový log z HJT.

Stránka virus totalu bohužel nešlape, a ostatní instrukce jsem jakž takž provedla i když si nejsem jistá, jestli zcela správně, jsem na to fakt tupá. Kopíruji ještě jednou log:
Logfile of HijackThis v1.99.1
Scan saved at 21:20:37, on 20.1.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergencySrv.exe
C:\Program Files\Genius NetScroll + Series Mouse\mouseElf.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergency.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\TEREZA~1\LOCALS~1\Temp\ARC1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [mouseElf] C:\Program Files\Genius NetScroll + Series Mouse\mouseElf.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [VoipDiscount] "C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpyEmergency] "C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergency.exe"
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8577DFC2-9116-404C-B189-92FFE34C710E}: NameServer = 212.158.128.2 212.158.128.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Spy Emergency Shield Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergencySrv.exe
O23 - Service: Windows Host Services (WINHOST32) - Unknown owner - C:\WINDOWS\system\services.exe (file missing)

děkuji Tereza

Ta stránka Virustotal ti nenajela nebo co se dělo? Pokud jsi tam nahrála ten soubor tak to může chvíli trvat něž přijdeš na řadu, záleží na momentálním vytížení této služby. Jestli to bylo tak tak ho vyzkoušej znovu otestovat. Až kontrola skončí to poznáš podle toho že se ti objeví stejná tabulka jako je v návodu.

Pokud by ti nejel Virustotal tak můžeš vyzkoušet otestovat ten soubor zde: Jottiscan a zkopíruj sem tu horní část tabulky která ti vyjede (to co bude mezi těmi dvěma červenými čárami).


Pak sem vlož výsledek.

díky velice za trpělivé rady, chyba je asi na mé straně, leč ani tento odkaz nešlape...zkrátka stránku nelze zobrazit...

Pokud ti to nejede tak zkus ten dotyčný soubor zabalit třeba do zipu a poslat mi ho na email já bych se na to podíval. Email sem ti poslal přes SZ.

Zatím zkus projet Pc tímto: Mwav a pak sem vlož co se ti objeví v tom dolním okénku + z horního okénka poslední odstavec jak je uvedeno v návodu úplně dole.