PC-HELP.CZ

České diskuzní fórum o počítačích
https://pc-help.cnews.cz/

MWAV

https://pc-help.cnews.cz/viewtopic.php?f=47&t=9403

Stránka 1 z 2

MWAV

Napsal: 16 lis 2006 21:28
od Libor Maxa
Ahoj všem, chtěl bych sem dát log s mawu, ale povedlo se mi tam dát polštinu a nevím, jak se dostat zpět na angličtinu. Dal jsem ho pryč, čistil registry a po restartu stáhnu znovu, otevřu a je tam zase polština. Mám ho dát tak jak je nebo jak tam vrátím angličtinu?

Napsal: 16 lis 2006 21:49
od Libor Maxa
Už to mám :smile:

Napsal: 16 lis 2006 22:09
od Libor Maxa
Tue Nov 07 22:14:03 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Tue Nov 07 22:14:03 2006 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: No Action Taken.
Tue Nov 07 22:14:06 2006 => Offending file found: C:\uninstal.ini
Tue Nov 07 22:14:06 2006 => System found infected with thelocalsearch Spyware/Adware (uninstal.ini)! Action taken: No Action Taken.




Thu Nov 16 21:56:13 2006 => ***** Scanning complete. *****

Thu Nov 16 21:56:13 2006 => Total Objects Scanned: 23447
Thu Nov 16 21:56:13 2006 => Total Critical Objects: 4
Thu Nov 16 21:56:13 2006 => Total Disinfected Objects: 0
Thu Nov 16 21:56:13 2006 => Total Objects Renamed: 0
Thu Nov 16 21:56:13 2006 => Total Deleted Objects: 0
Thu Nov 16 21:56:13 2006 => Total Errors: 11
Thu Nov 16 21:56:13 2006 => Time Elapsed: 00:05:01
Thu Nov 16 21:56:13 2006 => Virus Database Date: 11/15/2006
Thu Nov 16 21:56:13 2006 => Virus Database Count: 241962

Thu Nov 16 21:56:13 2006 => Scan Completed.



ještě hijackthis, NOD mi našel nějaký trojany

Logfile of HijackThis v1.99.1
Scan saved at 22:08:06, on 16.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Documents and Settings\user\Plocha\Nepoužívané odkazy plochy\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.warez.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebTransBHO Class - {2DB66063-BB98-466A-AA0D-3E7ACF5ED853} - D:\TRANSLAT\WEBIE.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: WebTranslator - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - D:\TRANSLAT\WEBIE.DLL
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [nod32upd] rundll32 "C:\Program Files\Eset\fc_upd.dll",NOD32Ioctl
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: WebTran - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - D:\TRANSLAT\WEBIE.DLL
O9 - Extra button: (no name) - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - (no file)
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748450} - D:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: &Nastavit překladač - {CC963627-B1DC-40E0-B52A-CF21EE748450} - D:\TRANSLAT\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748451} - D:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &označený text - {CC963627-B1DC-40E0-B52A-CF21EE748451} - D:\TRANSLAT\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748452} - D:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &stránku - {CC963627-B1DC-40E0-B52A-CF21EE748452} - D:\TRANSLAT\WEBIE.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.idnes.cz/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {C0F0B627-5D8A-4487-B773-EB33BF1BB43F} (EMSIP Class) - https://break.viphone.cz/SIPEyePPhone.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{797E088F-59BD-4829-A713-F152D43A435F}: NameServer = 213.235.188.145,195.146.99.4
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\COMMON~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


zatím dík

Napsal: 17 lis 2006 09:53
od mijaja
Máš tu jen tři výsledky MWAVu. Ty první dva jsou pozůstatky v registrech a nejsou vázané na žádný soubor. Stáhni si naně CWShredder

Fixni v HJT:

O9 - Extra button: (no name) - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - (no file)

Tohle najdi a smaž:

C:\uninstal.ini

Měls napsat, jaké trojany a hlavně kde, je NOD našel

A najdi ten ětvrtý záznam mwavu.

Napsal: 17 lis 2006 15:41
od Libor Maxa
Tak ten soubor v hijackthisu jsem fixnul, uninstal ini jsem smazal.
CWShredder nevím jak funguje, ale jestli jsou to jenom nějaké pozůstatky, tak by snad neměli prudit, nebo jo?
Doufám, že tohle je ten zbytek z mwavu:

ri Nov 17 15:12:30 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Fri Nov 17 15:12:30 2006 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: No Action Taken.
Fri Nov 17 15:12:47 2006 => Offending file found: C:\Documents and Settings\All Users\Nabídka Start\online security guide.url
Fri Nov 17 15:12:47 2006 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: No Action Taken.

Fri Nov 17 15:12:47 2006 => Offending file found: C:\Documents and Settings\All Users\Nabídka Start\security troubleshooting.url
Fri Nov 17 15:12:47 2006 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: No Action Taken.

Nevím, co z toho.

Tohle našel NOD.


C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP123\A0047743.dll - Win32/TrojanDownloader.Zlob trojský kůň - smazán
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP123\A0047744.exe - Win32/TrojanDownloader.Zlob trojský kůň - smazán
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP123\A0047754.dll - Win32/TrojanDownloader.Zlob trojský kůň - smazán
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP123\A0047755.exe - Win32/TrojanDownloader.Zlob trojský kůň - smazán
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP123\A0047765.exe - Win32/TrojanDownloader.Zlob trojský kůň - smazán
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP124\A0047782.dll - Win32/TrojanDownloader.Zlob trojský kůň - smazán
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP124\A0047784.exe - Win32/TrojanDownloader.Zlob trojský kůň - smazán


Tohle bylo den před tím:
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP123\A0047756.exe - Win32/TrojanDownloader.Zlob trojský kůň - smazán
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP123\A0047760.exe - Win32/TrojanDownloader.Zlob trojský kůň - smazán
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP124\A0047778.dll - Win32/TrojanDownloader.Small.DZP trojský kůň - smazán
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP124\A0047785.exe - pravděpodobně varianta infiltrace Win32/TrojanDownloader.Zlob.AJD trojský kůň
C:\System Volume Information\_restore{C01CD9B6-D143-4492-949B-3FF04D740D6A}\RP124\A0047786.exe » NSIS » isecur.dll - Win32/TrojanDownloader.Zlob trojský kůň - byl součástí smazaného objektu
D:\DC++\Downloads\Klick-N-View Business Cards 4.02.zip » ZIP » Setup.exe - Win32/TrojanDropper.VB.NAI trojský kůň
D:\RECYCLER\S-1-5-21-839522115-602609370-682003330-1004\Dd2.zip » ZIP » Setup.exe - Win32/TrojanDropper.VB.NAI trojský kůň

Napsal: 17 lis 2006 15:58
od fredik
CWShredder funguje tak že ho spustíš pak klikneš na tlačítko Scan Only proběhne kontrola, pokud nic nenajde tak dáš next-> a pak exit pokud jo tak by tam mělo být místo next tlač. fix

To co ti nod našel je v obnově systému. Vypni si obnovu systému, restartuj počítač a můžeš si obnovu zapnout zpět.

Vyhledej a smaž ručně soubory označené červeně.
C:\Documents and Settings\All Users\Nabídka Start\online security guide.url
C:\Documents and Settings\All Users\Nabídka Start\security troubleshooting.url

Napsal: 19 lis 2006 20:15
od Libor Maxa
Tak ty soubory jsem smazal.
A teď k tomu CWShredder. Já to pustím, dám scan, a tem je plno věcí a vedle toho not present. Dám next, a objeví se okno, tam je napsáno že scan je kompletní. A potom "CoolWebSearch was not found on this system". A pod tím jsou tři odkazy, na který když klepnu, tak mě to hodí na internet asi na ňáký antivirový a antispywarový programy:
"Test Your System for Other Spyware"
"Protection for Small and Medium Business"
"Anti-Spyware Solutions for the Enterprise"

Co s tím?

Napsal: 19 lis 2006 20:32
od mijaja
Jestli ti to napíše, že "CoolWebSearch was not found on this system", značí to, že bys jej tam už neměl mít. Do těch ostatních rádoby antispywarových programů raději nelez. Ještě dej pročistit registry a uvidíme.

Napsal: 19 lis 2006 20:40
od Libor Maxa
To Mijaja:Já jsem ten program pustil na ty pozůstatky co jsi psal, ale pak to na ně nefunguje, jsou v mwavu furt. Ale jsou aktivní nebo ne? Můžou tam zůstat? Registry jsem čistil CCleanerem.

Napsal: 19 lis 2006 20:48
od mijaja
Nejsou aktivní, ty číselné kódy jsou jen záznamy v registru. Aktivní soubory tam nemáš. Takže se tímto netrap.

Mohl bys eventuálně zkopírovat ty čísla do vyhledávače v regeditu a potom podle toho je smazat.

Napsal: 19 lis 2006 20:58
od Libor Maxa
Peču na to, když nejsou aktivní, tak se tím nebudu trápit. Takže díky moc za pomoc, snad už to bude v pohodě. Papá

Napsal: 19 lis 2006 21:15
od Libor Maxa
Ještě se zeptám, v návodu na mwav píšeš, že skan trvá dost dlouho, u mně je to asi 10 minut, což je oproti NODu minimum, čím to je?
Jinak jsem to nakonec smazal ručně, jak jsi psal. V mwavu už to není.
Časové pásmo: UTC+02:00
Stránka 1 z 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/