PC-HELP.CZ

Dobrý den,

můj počítač napadl Virus alert!. Nezmizeli mi žádné ikony z plochy a také harddisky zůstali na svém místě. Jen se mi zpomalil počítač a internet. Vedle hodin jen nápis VIRUS ALERT! Udělal jsem analýzu pomocí HiJack. Její výsledek je uveden níže. Zkoušel jsem to projet antivirem a ad-aware, ale nic se nězměnilo. Kdesi jsem četl, že to pomohlo a Virus alert! byl pryč. Prosím, pomůžete mi s tím něco udělat? Předem děkuji... Nashle

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:59: VIRUS ALERT!, on 8.9.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Winamp Remote\bin\OrbTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - Global Startup: NOD32 Control Center.lnk = C:\Program Files\ESET\nod32kui.exe
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Data aplikací\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 3832 bytes

Ahojte,

teď jsem si všiml rad, které se týkají vyčištění napadeného počítače. Vyzkouším je. Kdyby se to nepovedlo, tak dám vědět. Dneska ale už ne, už na to nemám náladu:)

Fix v HJT:


Stáhni si ComboFix (by sUBs)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

Dobrý den,

tak tady je hlášení z ComboFixu. Po scanování zmizel nápis VirusAlert od hodin.

ComboFix 08-09-14.01 - Ondra 2008-09-14 20:48:15.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.462 [GMT 2:00]
Spuštěný z: C:\Documents and Settings\Ondra\Plocha\ComboFix.exe
* Vytvořen nový Bod Obnovení
* Resident AV is active


VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Ondra\Data aplikací\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk
C:\WINDOWS\system32\clbdll.dll
C:\WINDOWS\system32\clbdll.old
C:\WINDOWS\system32\clbinit.dll
C:\WINDOWS\system32\drivers\clbdriver.sys

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER


((((((((((((((((((((((((( Soubory vytvořené od 2008-08-14 do 2008-09-14 )))))))))))))))))))))))))))))))
.

2008-09-14 20:46 . 2008-09-14 20:47 <DIR> d-------- C:\327882R2FWJFW
2008-09-11 14:22 . 2008-09-11 14:22 <DIR> d-------- C:\Program Files\SmartPropoPlus
2008-09-10 22:15 . 2008-09-10 22:15 <DIR> d-------- C:\Program Files\Parallel Port Joystick
2008-09-10 22:06 . 2008-09-10 22:06 <DIR> d-------- C:\Downloads
2008-09-10 22:06 . <DIR> C:\Documents and Settings\Ondra\Data aplikací\GetRightToGo
2008-09-10 21:36 . 2008-09-11 14:21 <DIR> d-------- C:\Program Files\FMS
2008-09-10 19:25 . 2008-09-10 19:25 253,952 --------- C:\WINDOWS\Setup1.exe
2008-09-10 19:25 . 2008-09-10 19:25 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2008-09-08 09:18 . 2007-11-28 22:12 <DIR> d--h----- C:\Documents and Settings\Administrator\ćablony
2008-09-08 09:18 . 2007-11-28 23:54 <DIR> d-------- C:\Documents and Settings\Administrator\Plocha
2008-09-08 09:18 . 2007-11-28 22:52 <DIR> d--h----- C:\Documents and Settings\Administrator\Okolnˇ tisk rny
2008-09-08 09:18 . 2007-11-28 22:52 <DIR> d--h----- C:\Documents and Settings\Administrator\Okolnˇ sˇś
2008-09-08 09:18 . 2007-11-28 22:52 <DIR> d-------- C:\Documents and Settings\Administrator\Oblˇben‚ polo§ky
2008-09-08 09:18 . 2007-11-28 22:52 <DIR> dr------- C:\Documents and Settings\Administrator\Nabˇdka Start
2008-09-08 09:18 . 2007-11-28 22:52 <DIR> d-------- C:\Documents and Settings\Administrator\Dokumenty
2008-09-08 09:18 . <DIR> C:\Documents and Settings\Administrator\Data aplikací\Microsoft
2008-09-08 09:18 . 2007-11-28 22:52 <DIR> dr-h----- C:\Documents and Settings\Administrator\Data aplikacˇ
2008-09-08 09:18 . 2008-09-08 09:18 <DIR> d-------- C:\Documents and Settings\Administrator
2008-09-07 22:17 . 2008-09-07 22:17 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-09-07 21:21 . 2008-09-07 21:22 <DIR> d-------- C:\VirTerminator
2008-08-27 18:19 . 2008-08-27 18:46 <DIR> d-------- C:\Program Files\AV9
2008-08-24 18:25 . 2008-08-24 18:26 <DIR> d-------- C:\Program Files\Virtual RC Racing
2008-08-24 12:07 . 2008-08-24 12:07 <DIR> d-------- C:\Program Files\Electronic Arts
2008-08-16 11:05 . 2008-08-16 11:05 <DIR> d-------- C:\Program Files\OpenAL
2008-08-16 11:05 . 2008-08-16 11:05 409,600 --a------ C:\WINDOWS\system32\wrap_oal.dll
2008-08-16 11:05 . 2008-08-16 11:05 114,688 --a------ C:\WINDOWS\system32\OpenAL32.dll
2008-08-16 11:03 . 2008-08-16 11:11 <DIR> d-------- C:\Program Files\SuperTuxKart

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-11 12:12 --------- d-----w C:\Documents and Settings\Ondra\Data aplikací\SolidWorks
2008-09-07 20:18 --------- d-----w C:\Program Files\Lavasoft
2008-09-07 20:18 --------- d-----w C:\Documents and Settings\Ondra\Data aplikací\Lavasoft
2008-09-04 19:38 --------- d-----w C:\Documents and Settings\Ondra\Data aplikací\skypePM
2008-09-04 19:38 --------- d-----w C:\Documents and Settings\Ondra\Data aplikací\Skype
2008-08-24 10:46 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-08-12 10:43 --------- d-----w C:\Program Files\TeamViewer3
2008-08-12 10:43 --------- d-----w C:\Documents and Settings\Ondra\Data aplikací\TeamViewer
2008-08-11 10:42 --------- d-----w C:\Documents and Settings\Ondra\Data aplikací\CTVoD
2008-08-09 10:46 --------- d-s---w C:\Documents and Settings\Ondra\Data aplikací\Microsoft
2008-08-09 10:39 --------- d-----w C:\Program Files\VisualConnection
2008-07-26 10:48 --------- d-----w C:\Documents and Settings\Ondra\Data aplikací\Winamp
2008-07-26 10:17 --------- d-----w C:\Program Files\Winamp Toolbar
2008-07-26 10:17 --------- d-----w C:\Program Files\Winamp Remote
2008-07-26 10:17 --------- d-----w C:\Program Files\Winamp
2008-07-25 17:35 97,928 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-07-23 17:35 33,824 ----a-w C:\WINDOWS\system32\drivers\oreans32.sys
2008-07-22 18:18 --------- d-----w C:\Program Files\WinHTTrack
2008-07-21 11:08 --------- d-----w C:\Program Files\Far
2008-07-09 18:01 165,634 ----a-w C:\RVAXO.reg
2008-07-09 15:39 10,520 ----a-w C:\WINDOWS\system32\avgrsstx.dll
2008-06-30 09:40 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-18 19:24 61,312 ----a-w C:\Documents and Settings\Ondra\Data aplikací\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-25 1235736]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-07-09 36352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\QIP\\qip.exe"=
"C:\\Program Files\\Ubisoft\\Crytek\\Far Cry\\Bin32\\FarCry.exe"=
"C:\\Program Files\\ICQ6\\ICQ.exe"=
"C:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Counter-Strike 1.6\\hl.exe"=
"C:\\Program Files\\TeamViewer3\\TeamViewer.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-07-09 12936]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-25 97928]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-07-23 33824]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-07-25 875264]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-25 231704]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-09 76040]
R3 PPJoyBus;Parallel Port Joystick Bus device driver;C:\WINDOWS\system32\drivers\PPJoyBus.sys [2004-10-24 13952]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-03 69120]
R3 teamviewervpn;TeamViewer VPN Adapter;C:\WINDOWS\system32\DRIVERS\teamviewervpn.sys [2008-01-25 25088]
S3 PPortJoystick;Parallel Port Joystick device driver;C:\WINDOWS\system32\drivers\PPortJoy.sys [2004-10-24 28800]
.
.
------- Doplňkový sken -------
.
O8 -: &Winamp Search - C:\Documents and Settings\All Users\Data aplikací\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 21:01:38
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

PROCES: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\ESET\nod32krn.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\ESET\nod32kui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Celkový čas: 2008-09-14 21:05:25 - počítač byl restartován
ComboFix-quarantined-files.txt 2008-09-14 19:05:08

Před spuštěním: Volněch bajt…: 193,297,309,696
Po spuštění: Volněch bajt…: 194,122,665,984

159 --- E O F --- 2008-06-27 06:46:27