PC-HELP.CZ

Kopíruji záznam z truhly AVASTu:

název: 2C.tmp cesta: C:/Documents and Settings/Příjmení Jméno/Local Settings/Temp poslední změna: 6.10.2006 10:26:29 čas přesunu: 28.2.2007 18:50:16 virus: Win32:Trojan-gen (Other)

název: A0014881.dll cesta: C:/System Volume Information/_restore(8A0E603D-7E58-4FF5-BC83-7294C9E39B82)/RP51 poslední změna: 6.10.2006 10:26:29 čas přesunu: 28.2.2007 19:55:32 virus: Win32:Trojan-gen (Other)

název: kwtep1.dll cesta: C:/WINDOWS poslední změna: 6.10.2006 10:26:33 čas přesunu: 6.10.2006 12:26:56 virus: Win32:Agent-gen (Trj)

název: qnee.dll cesta: C:/WINDOWS/system32 poslední změna: 6.10.2006 10:26:29 čas přesunu: 2.2.2007 6:06:09 virus: Win32:Trojan-gen (Other)

Pozn.: závorky v cestách a názvech nesedí, jsou obrácené či jiného typu.

Nedělal jsem s tím nic jiného, než přesunul do truhly, neb o téhle problematice nevím skoro nic. Teď AVAST! nic nenajde, ani Ad-Aware, ani NOD32, ani McAfee, ani ATS2. PC se však nehorázně zpomalil. Zkoušel jsem teď stáhnout Hijack ze Slunečnice pro lepší info, ale vždy mi to spadne, takže proto ten přepis.
Je trojan pryč, nebo ne? Co s tím? Děkuji

uděláme to takhle

vyčisti komp CCleanerem
http://www.pc-help.cz/viewtopic.php?t=5130

vymaž obnovu systému(pravím na Tento počítač>Vlastnosti> Obnova... zaškrtni,potvrď a ok a restartuj.
(předpokládám W XP)

po restartu jí zase zapni a pošli HJT
HijackThis stahneš tady-
http://www.bleepingcomputer.com/files/M ... ckThis.zip
rozbal do vlastní složky,spusť,klikni na "Do a system scan and save a logfile"
Vygenerovaný texťák zkopíruj sem.

Je tu problem. Kdyz kliknu na ty odkazy, spadne net jak na firefoxu, tak na IE. Ten CC ani HJT nejde stahnout ani na stahuj.cz ci slunecnici.cz, staci mi jen zadat jejich nazev do vyhledavace a net zase spadne.

Ty příznaky a soubor C:\Windows\kwtep1.dll naznačují přítomnost Gromozon rootkitu.

Jdi na tuto stránku - http://www.wikiupload.com/download_page.php?id=107458
- Vpravo uprostřed klikni na tlačítko Download file, následně opiš vypsaný kod a zvol Get
- Vybal obsah archívu a spusť postupně oba programy

Oba programy vytvoří log, první program log nazvaný FixLinkopt.txt umístěný na ploše a druhý program log nazvaný Armada_log.txt nebo Gromozon_removal.txt umístěný v kořenovém adresáři C:\. Vlož sem oba výpisy.

Tady máš odkaz s návodem na HijackThis
uvidíš jestli ti to půjde. Kdyby ne tak to zkus stáhnout u někoho jiného a donést si to na svoje Pc a použít to.

Případně by se dal HijackThis vložit sem do fóra že by sis jej stáhl.

Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\aux.apy
\\?\C:\WINDOWS\aux.apy
Resetting file permissions...
Clearing attributes...
Pýˇstup byl odepýen - C:\_cleaned.tmp.
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Program Files\Common Files


Trojan.Gromozon Removed!

Dobře, teď zkus, jestli ti jde stáhnout HijackThis. Pokud ano, udělej z něho log a vlož ho sem.

Bohuzel, v tomhle se nic nezmenilo, stale to pada, jen to slovo HijackThis uciti...

Když ti ho sem vložím do příspěvku tak zkus jestli to půjde stáhnout.

a nebo dej někomu mejla na SZ a my ti ho pošlem

Tak po stažení ziplého HjT do PC a jeho rozbalování se začaly dít věci. Začaly se objevovat hlášky "Rezident zakázal tuto operaci. Operace je neplatná.", začaly mizet ikony na ploše i pozadí a HjT se přes veškeré úsilí rozbalit nepodařilo. Tím mi došla trpělivost a provedl jsem zformátování disku.

Současnou bezpečnostní složku tvoří Avast + Kerio + AdAware + HijackThis. Jak to ještě vylepšit?

Dokáže mi někdo prosím poradit s tímto:

Win32:Trojan-gen. {Other}

mod. by Ltb - připojeno z jiného (stejného) příspěvku - příště prosím zakládej k jednomu problému pouze 1 příspěvek(!!)

HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 21:00:28, on 23.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\lnwin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\adirka.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\DITADV~1\LOCALS~1\Temp\Dočasný adresář 2 pro HJT.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [lnwin.exe] C:\WINDOWS\system32\lnwin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [adirka] C:\WINDOWS\system32\adirka.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FDC1DF-4B6F-437B-9332-3A9EC97391AD}: NameServer = 10.255.255.10,10.255.255.20
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

díky moc