Dotaz k výsledku Jottiscanu proti Nod32 a Avast

[alias75]

Stáhl jsem si Miranda well done pack z těchto stránek.Zkoušel jsem to i z těchto oficiálních stránek , ale výsledek na Jottiscan byl pokaždé stejný.
Viz Jottiscan...



Jak se k tomuto výsledku postavit??
Avast ,který mám nainstalovaný při celkové prohlídce ani při vybrání couboru přímo ,který byl testován na Jottyscanu nic nenašel.Pozastavil jsem Avast a nainstalovat si shareware Nod32 a aktualizoval.Provedl jsem stejnou kontrolu jak celého systému tak i souboru s mirandou.Bohužel také nic.

Pobral jsem několik známích ,kteří odmítají Skype (vím že také není úplně košér,ale pořád lepší než ICQ) a tak jsem k ústupku podvolil já.No snad ty tři trojani bylo vše co mne pro můj ústupek postihlo.Pro jistotu posílám log z Hijack.

Logfile of HijackThis v1.99.1
Scan saved at 13:08:10, on 26.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Labtec\Desktop\V5.1\moffice.exe
C:\Program Files\Labtec\Desktop\V5.1\kbdap32a.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Labtec\Desktop\V5.1\MOUSE32A.EXE
C:\Program Files\PDF\pdfSaver\pdfSaver3.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Opera\Opera.exe
C:\Program Files\XnView\xnview.exe
C:\Documents and Settings\Admin\Plocha\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.findscout.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.findscout.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.findscout.com/sp/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findscout.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tento uživatel
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Seznam Lištička - {B71B15CE-3093-459C-B764-AEB2486F2273} - C:\Program Files\Seznam\Listicka\Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Program Files\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Program Files\PDF\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Internet ADSL.lnk = ?
O4 - Startup: Skype.lnk = C:\Program Files\Skype\Phone\Skype.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office Outlook 2003.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Přelož do češtiny - res://C:\Program Files\Seznam\Listicka\Toolbar.dll/5034
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Hledej v &Seznamu - res://C:\Program Files\Seznam\Listicka\Toolbar.dll/5033
O8 - Extra context menu item: Hledej v Seznam &Fulltextu - res://C:\Program Files\Seznam\Listicka\Toolbar.dll/5035
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Přeložit - {230D1201-7607-4CF6-A11F-9E4BF0A333E0} - C:\Program Files\Verdict Free\etnxp.dll
O9 - Extra button: (no name) - {2C73F784-D2DE-4422-B070-2E3332FE5744} - C:\Program Files\Verdict Free\etnxp.dll
O9 - Extra 'Tools' menuitem: Internetový překladač... - {2C73F784-D2DE-4422-B070-2E3332FE5744} - C:\Program Files\Verdict Free\etnxp.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O15 - Trusted Zone: http://www.alias75.blog.cz
O16 - DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} (ToolbarInetInstall Control) - http://www.listicka.cz/toolbar.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA6C4D78-7F35-4263-9936-5B5E5F010A3A}: NameServer = 194.228.41.65 194.228.41.113
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Skype\toolbars\Shared\Skype4ComAPI.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

Děkuji za pomoc.

[Reklama]

[fredik]

Ten soubory sem stáhl z obou odkazů a vyzkoušel jak na Jettiscanu a VirusTotal a vše je Ok. Vyzkoušel sem to také otestovat v Mwav a také je to v pohodě. Těžko říct proč ti to tak ukazalo. Ale ta tabulka co jsi sem vložil to je výsledek posledního skenu co byl před tím tvým, jsi si jistý že ta tabulka patří k tomu souboru co jsi testoval?

[alias75]

Jistej no to v žádným případě.Moje angličtina je na úrovni batolete a sbad jenom lenost mě zabránila použít Verdict free .Možná to byla naštvanost ,protože se mě comp o 60% zpomalil včera potom co jem zmiňovaný program nainstaloval resp. rozbalil protože se neinstaluje.Ani potom mě Avast ,Spy Bot ,AdAware nic nehlásili.Až teprve v nouzáku našel Avast tři nebo čtyři trojany.Jeden byl na sto procent v rozbalené složce Miranda well done pack.Proto jsem asi taky nezkoumal nadpis nad tabulkou z Jottiscanu a prostě jsem ji vzal za bernou minci.

Mohu se tedy zeptat na log z Hijack ???
Třeba tyto stránky vůbec neznám
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.findscout.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.findscout.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.findscout.com/sp/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findscout.com

fredik:díky za upozornění

[mijaja]

Tohle máš nastaveno jako vyhledávače v IE - defaulní stránka je Findscout.com - je to vyhledávač, snad trochu podobný seznamu, nebo atlasu, ale v dosti střízlivém provedení. No a Google.icq je taky vyhledávač. Tohle je jen takové tlačítko někde v rohu, které ti vyhledává tvoje kontakty v ICQ. Někdy máš tyhle pomůcky třeba jen jako tlačítko, integrované v liště IE, jindy celá lišta (to dělá Yahoo) - podle toho, jestli si zvolíš jen integraci, nebo si to navolíš při instalaci toolbaru.

Nic z toho není nebezpečné.

Log máš jinak v pohodě.

[alias75]

To jsem v pasti .Stává se mě že některé stránky nejdou vůbec načíst.Je posledních cca šest hodin.Např http://www.seznam.cz-nejde
http://www.ofroad-frontera.com-nejde
http://www.pc-help.cz-jde
http://www.seznam.cz-nejde

Teť zase jo .Je to sem tam.

V tomto pořadí jak jsem to bezprostředně po sobě zkouše.Doufal jsem že se jedná o vir (alespoň by bylo jasné co hledat).Takhle člověk akorát tápe a neví na co se zaměřit.
Ještě se zeptám na řádek
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA6C4D78-7F35-4263-9936-5B5E5F010A3A}: NameServer = 194.228.41.65 194.228.41.113
U něho bylo ve výsledku služby Automatická analýza log souboru z programu HijackThis smazat pokud Tuto IP adresu neznáte. jsem ji smáznul ???V poho ???

[fredik]

Ten řádek co jsi uvedl O17 - HKLM ... se jedná o adresu DNS severu tvého poskytovatele: Mělo by se jednat o tohoto poskytovatele:1, 2