Stránka 1 z 2
POMOC s odstraněním virové nákazy
Napsal: 05 led 2008 10:41
od Yelkinson
zdary potrebuju pomoc
worm.win32.womble.a
spy.html.paylap.bg
trojan.32.agent.brk
tohle mi od rana pise comp!
co stim diky!!!
//název "POMOC" doplněn o konkrétní popis problému
//přesunuto do správné sekce
//mmm
pozdrav
Napsal: 05 led 2008 11:23
od memphisto
v první řadě sem vlož log z HijackThis. příště zakládej topic do správné sekce. prosím o přesun
Napsal: 05 led 2008 11:26
od Zeppelin
A také by si mohl změnit název tématu na něco konkrétnějšího-třeba "Pomoc s viry" nebo tak.....
Napsal: 05 led 2008 11:35
od Yelkinson
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:35:41, on 5.1.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Maxthon2\Maxthon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
O2 - BHO: BDEX System - {1AC7107A-938F-4347-864C-C51E49EC586E} - C:\WINDOWS\dxpvqlmtqn.dll
O3 - Toolbar: The ensfolr - {3723900A-B26F-40EC-B606-B7B37132B83F} - C:\WINDOWS\ensfolr.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O21 - SSODL: bklgvsf - {0C946FE9-04CD-4E2A-811A-D761F44B451E} - C:\WINDOWS\bklgvsf.dll
O21 - SSODL: ampkfst - {B71950D7-B49B-48AD-87C5-CAB265B42D34} - C:\WINDOWS\ampkfst.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
--
End of file - 2109 bytes
jo a spustil sem v nouzovym rezimu Smitfraudfix a ten vypsal toto:
SmitFraudFix v2.274
Scan done at 11:14:27,09, so 05.01.2008
Run from C:\Documents and Settings\Yelkinson\Plocha\SmitfraudFix
OS: Microsoft Windows XP [Verze 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\WINDOWS\xpupdate.exe Deleted
C:\DOCUME~1\YELKIN~1\OBLBEN~1\Error Cleaner.url Deleted
C:\DOCUME~1\YELKIN~1\OBLBEN~1\Privacy Protector.url Deleted
C:\DOCUME~1\YELKIN~1\OBLBEN~1\Spyware?Malware Protection.url Deleted
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix.exe by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7121542C-E4CB-4DBB-A69F-7C282706D960}: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7121542C-E4CB-4DBB-A69F-7C282706D960}: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7121542C-E4CB-4DBB-A69F-7C282706D960}: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7121542C-E4CB-4DBB-A69F-7C282706D960}: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=213.46.172.36 213.46.172.37
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
Napsal: 05 led 2008 11:37
od fredik
Stáhni si
SDFix
- Spusť ho a rozbalí se ti na disk kde je nainstalovaný Windows (typicky to je C:\SDfix)
- Pak restartuj PC do
nouzového režimu (zvol možnost:
Stav nouze, ne Stav nouze s práci v síti)
- Otevři adresář kde je vybalený SDFix a spusť soubor
RunThis.bat tím spustíš program.
* Pak stiskni klávesu
Y a pak Enter pro zahájení čistícího procesu.
* Pro dokončení kontroly budeš vyzván ke stisknoutí libovolné klávesy a počítač se restartuje.
* Při nabíhání operačního systému se program spustí znovu a dokončí čistící proces. Až se objeví Finish, budeš muset po vyzvání stisknout libovolnou klávesu, tim se ukončí program a zobrazí se ti ikony na ploše
- Když se skončí načítání ikon na ploše, otevře se ti na obrazovce log z SDFix a zároveň ho uloží do adresáře kde je rozbalený SDFix jako soubor
Report.txt
Pak sem zkopíruj jeho obsah + nový log z HJT.
Napsal: 05 led 2008 11:42
od Yelkinson
sem to vlozil do te predesle odpovedi takze je to vis!
u toho hj
Napsal: 05 led 2008 11:45
od fredik
To co jsi vložil je log ze SmitFraudFix.
Použij SDFix jak jsem psal.
Napsal: 05 led 2008 12:10
od Yelkinson
tak bohuzel modra obrazovka pri tom spusteni!
stop:0x00000005 (0x829E8320,0x82bcba00,0x00000001,0x82962198)
normalne sem to spustil podle tveho navodu a hned mi tuto vyskocilo!
Napsal: 05 led 2008 12:57
od Yelkinson
co ted???
Napsal: 05 led 2008 13:10
od fredik
Stáhni si program si
OTMoveIt2(by
OldTimer) a ulož si ho na disk C a spusť ho.
- Do prvního levého sloupce (
Past List of Files/Folders to be moved) zkopíruj tyto cesty:
Kód: Vybrat vše
C:\WINDOWS\bklgvsf.dll
C:\WINDOWS\ampkfst.dll
C:\WINDOWS\dxpvqlmtqn.dll
C:\WINDOWS\ensfolr.dll- Do druhého levého spodního sloupce (
Past List of Files/Patterns To Search For And Move) zkopíruj tyto cesty:
Kód: Vybrat vše
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AC7107A-938F-4347-864C-C51E49EC586E}
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{3723900A-B26F-40EC-B606-B7B37132B83F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\bklgvsf
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\ampkfst- Po zkopírování klikni na tlačítko
MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď
************************************************************************************************************************************
Vlož sem log z OTMoveIT a nový log z HJT
Napsal: 05 led 2008 13:20
od Yelkinson
File/Folder C:\WINDOWS\bklgvsf.dll not found.
File/Folder C:\WINDOWS\ampkfst.dll not found.
C:\WINDOWS\dxpvqlmtqn.dll unregistered successfully.
C:\WINDOWS\dxpvqlmtqn.dll moved successfully.
C:\WINDOWS\ensfolr.dll unregistered successfully.
C:\WINDOWS\ensfolr.dll moved successfully.
[Manual Searches]
< HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AC7107A-938F-4347-864C-C51E49EC586E} >
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AC7107A-938F-4347-864C-C51E49EC586E}\\ not found.
< HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{3723900A-B26F-40EC-B606-B7B37132B83F} >
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{3723900A-B26F-40EC-B606-B7B37132B83F} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3723900A-B26F-40EC-B606-B7B37132B83F}\ not found.
< HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\bklgvsf >
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\bklgvsf deleted successfully.
< HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\ampkfst >
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\ampkfst deleted successfully.
OTMoveIt2 v1.0.5 log created on 01052008_131925
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:47, on 5.1.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Maxthon2\Maxthon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\OTMoveIt2.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O21 - SSODL: ampkfst - {B075BAC4-8AE0-45DB-BD66-0C398D0C1D94} - C:\WINDOWS\ampkfst.dll (file missing)
O21 - SSODL: bklgvsf - {FC273ABA-A484-4670-8F05-8FB6D49B421C} - C:\WINDOWS\bklgvsf.dll (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
--
End of file - 2005 bytes
Napsal: 05 led 2008 13:25
od fredik
V HJT fixnti tyto položky:
O21 - SSODL: ampkfst - {B075BAC4-8AE0-45DB-BD66-0C398D0C1D94} - C:\WINDOWS\ampkfst.dll (file missing)
O21 - SSODL: bklgvsf - {FC273ABA-A484-4670-8F05-8FB6D49B421C} - C:\WINDOWS\bklgvsf.dll (file missing)
Máš ještě problémy?