Kontrola logu (vyřešeno)

frenkie · Příspěvekod **frenkie** » 02 úno 2006 12:10

Potřeboval bych zkontrolovat log, ale nevim jak ho sem vložit

Reklama

Příspěvekod **mmmartin** » 02 úno 2006 12:22

Otevři si log v Poznámkovým bloku, dej ctrl + a, potom ctrl + c, přejdi do okna pro vkládání dotazu a dej ctrl + v. Hotovo :smile:

frenkie · Příspěvekod **frenkie** » 02 úno 2006 13:25

Logfile of HijackThis v1.99.1
Scan saved at 0:39:15, on 2.2.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Vitas\LOCALS~1\Temp\Dočasný adresář 4 pro HijackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [igfxsrvs] C:\WINDOWS\system32\igfxsrv.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\wwwloader.exe
O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.dll
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Dokumenty\Settings\ur32art.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

díky

Příspěvekod **mikel** » 02 úno 2006 15:53

Takže tam máš havěť (jak se dalo čekat), protože namáš nainstalovaný ani antivir ani firewall! Takže si nainstaluj některý z tady uvedených.

Na disku najdi tyhle soubory a smaž je:
C:\WINDOWS\System\svchost.exe - je to LOHACK.B virus (dej pozor, protože v adresáři System32 je správá verze)
C:\Documents and Settings\All Users\Dokumenty\Settings\ur32art.dll

Pak si otevři na netu Jottiscan a zkontroluj tam tyhle soubory:
C:\WINDOWS\system32\igfxsrv.exe
C:\WINDOWS\system32\wwwloader.exe
Jestli je označí za škodlivé, tak je taky smaž.

V Hijacku pak fixni tyto položky:
O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

Pak zruš Obnovení systému a proveď vyčištění disku - smažeš Stažené soubory programů, Dočasné soubory, Temporary Internet Files a Koš.

Pak restartuj počítač, udělej nový log a dej ho sem.

mijaja · Příspěvekod **mijaja** » 02 úno 2006 16:16

No už jsem smazal svůj příspěvek, když mě Mikel o 2 minuty předběhl :evil:

, ale jen dodám: to avpp32.dll po fixnutí také smaž z disku.

Příspěvekod **mikel** » 02 úno 2006 16:25

No jak jsem pospíchal, abych tě předběhl, :lol:

tak jsem zapomněl dopsat, že je podezřelý, ale nic konkrétního jsem k němu nenašel. Chtěl jsem to ještě zkusit, ale jestli říkáš, že smazat, tak SMAZAT!

frenkie · Příspěvekod **frenkie** » 02 úno 2006 19:04

Tak nainstaloval jsem nějaké věci. Internet už šlape, ale IE nejde ani spustit. Pořád se mi chce něco dostat do PC. Winlogo a průzkumník se chce stále dostat na vzdálenou stranu reverse. mccolo.com. Posílám nový log.
Logfile of HijackThis v1.99.1
Scan saved at 18:56:27, on 2.2.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Vitas\LOCALS~1\Temp\Dočasný adresář 5 pro HijackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [igfxsrvs] C:\WINDOWS\system32\igfxsrv.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\wwwloader.exe
O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EE50EB4-810E-4395-8806-FA25FFD09A7D}: NameServer = 194.228.2.1 194.228.41.113
O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.dll
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Dokumenty\Settings\ur32art.dll
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

mijaja · Příspěvekod **mijaja** » 02 úno 2006 19:36

V logu máš pořád ty samé šmejdy jak předtím. Nechal jsi otestovat ty soubory? Fixnul jsi to, jak ti napsal Mikel? Nebo se to po restartu objevilo znovu?

frenkie · Příspěvekod **frenkie** » 02 úno 2006 20:20

V nouzovém režimu odstranil a potom fixnul. Nemůžu je v tom počítači najít, i když se tam objevují. Co ten průzkumník, mám mu povolit to spojení?

mijaja · Příspěvekod **mijaja** » 02 úno 2006 20:31

Tak začneme znovu:
Stáhni si AriesRemover a spusť jej. Nechej oskenovat komp a napiš, co našel.
Odpoj se od internetu - s průzkumníkem se nebav!
Potom vypni funkci Obnovení systému, aby se šmejdi usazení v bodech obnovy nemnožili odsud.
Nastav zobrazení skrytých a systémových souborů.
Restartuj do nouzového režimu a spusť Hijackthis.
Fixni v něm tyto řádky:

O4 - HKLM\..\Run: [igfxsrvs] C:\WINDOWS\system32\igfxsrv.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\wwwloader.exe
O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.dll
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Dokumenty\Settings\ur32art.dll

Po fixnutí projdi komp a dej vyhledat( start-najít) tyto červeně označené soubory a smaž je! Pokud je systém nenalezne, tak žádná panika - pokračuj dále.
Potom musíš vyprázdnit složky Temporary Internet Files a Temp ve všech profilech (administrator, All User, Network

Service, Local Service, Default User ale i ve složce Windows). Potom vysyp koš. Projeď komp antivirem a

antispywarem a stáhni si z mého odkazu CCleaner a vyčisti i registry. Teprve potom restartuj a znovu spusť HJT a

udělej nový log a pošli jej sem.

frenkie · Příspěvekod **frenkie** » 03 úno 2006 00:59

Udělal jsem vše jak si chtěl. Nainstaloval jsem i antivir. Ten našel win32 Trojan gen )upx) a odstranil ho, ale v logu je to pořád stejný. Jenom jsem nemohl vysypat koš. Je jakoby průhledný a prázdný i když jsem vymazal haldy souborů. Mám tu dva disky neni ten koěš jinde, nebo jeho část? Tady je nový log.
Logfile of HijackThis v1.99.1
Scan saved at 0:40:44, on 3.2.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Vitas\LOCALS~1\Temp\Dočasný adresář 1 pro HijackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EE50EB4-810E-4395-8806-FA25FFD09A7D}: NameServer = 194.228.2.1 194.228.41.113
O20 - Winlogon Notify: avpp32 - C:\WINDOWS\SYSTEM32\avpp32.dll
O20 - Winlogon Notify: ur32artreg - C:\Documents and Settings\All Users\Dokumenty\Settings\ur32art.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Pořád mi hlásí kerio pokus o průnik z ??C:Windows/system 32/winlogon.exe

mijaja · Příspěvekod **mijaja** » 03 úno 2006 06:22

Na ty položky 020, které ti tohle dělají a nejdou odstranit použijeme nejdříve nnn2mkill. Stáhni si jej, vypni rezidentní štíty antivirů a firewallu a spusť jej. Je česky a manipulace intuitivní. Po proběhnutí programu restartuj a pošli nový log.
Ten AriesRemover nenašel nic?

Kontrola logu (vyřešeno)

Kontrola logu (vyřešeno)

Kdo je online