Prosím o kontrolu logu - MbAM našel nákazy Vyřešeno

[Fanthomas]

Zdravím,
chtěl bych poprosit o kontrolu logu. MbAM mi našel 2 nákazy viz výpis, můžu je odstranit?

Díky za pomoc.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:43, on 24.7.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Hardcopy\hardcopy.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
D:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Hardcopy.LNK = C:\Program Files\Hardcopy\hardcopy.exe
O4 - Startup: Windows Commander 32.lnk = C:\wincmd\WINCMD32.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 2271583734
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 5205 bytes




Malwarebytes' Anti-Malware 1.39
Verze databáze: 2494
Windows 5.1.2600 Service Pack 3

24.7.2009 20:17:30
mbam-log-2009-07-24 (20-17-22).txt

Typ skenu: Úplný sken (C:\|D:\|E:\|)
Objektu skenováno: 128524
Uplynulý cas: 16 minute(s), 44 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 1
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\c:\WINDOWS\system32\mpgdec.ax (Backdoor.Bot) -> No action taken.

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
c:\WINDOWS\system32\mpgdec.ax (Backdoor.Bot) -> No action taken.

[Reklama]

[jaro3]

mpgdec.ax to je placený kodek od Elecard MPEG2 Video Decoder program ...

otestuj na Virustotal
c:\WINDOWS\system32\mpgdec.ax
Vlož sem pak odkaz výsledku.

[Fanthomas]

Tak tady to je. Nic nenašli. Jinak já žádný placený kodek nemám, teda alespoň o tom nevím že bych něco platil. Nechal jsem ještě PC projet ESS4 a ten jako vždy je v klidu. Dr.Web mi našel jen toto: VBE6.DLL C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6 Pravděpodobně Trojan.Packed.189




Soubor mpgdec.ax přijatý 2009.07.24 19:16:16 (UTC)


Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.24 2009.07.24 -
AhnLab-V3 5.0.0.2 2009.07.24 -
AntiVir 7.9.0.228 2009.07.24 -
Antiy-AVL 2.0.3.7 2009.07.24 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.24 -
AVG 8.5.0.387 2009.07.24 -
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.24 -
ClamAV 0.94.1 2009.07.24 -
Comodo 1752 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 -
eTrust-Vet 31.6.6638 2009.07.24 -
F-Prot 4.4.4.56 2009.07.24 -
F-Secure 8.0.14470.0 2009.07.24 -
Fortinet 3.120.0.0 2009.07.24 -
GData 19 2009.07.24 -
Ikarus T3.1.1.64.0 2009.07.24 -
Jiangmin 11.0.800 2009.07.24 -
K7AntiVirus 7.10.801 2009.07.24 -
Kaspersky 7.0.0.125 2009.07.24 -
McAfee 5687 2009.07.24 -
McAfee+Artemis 5687 2009.07.24 -
McAfee-GW-Edition 6.8.5 2009.07.24 -
Microsoft 1.4903 2009.07.24 -
NOD32 4275 2009.07.24 -
Norman 6.01.09 2009.07.24 -
nProtect 2009.1.8.0 2009.07.24 -
Panda 10.0.0.14 2009.07.24 -
PCTools 4.4.2.0 2009.07.24 -
Prevx 3.0 2009.07.24 -
Rising 21.39.44.00 2009.07.24 -
Sophos 4.44.0 2009.07.24 -
Sunbelt 3.2.1858.2 2009.07.23 -
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.24 -
VBA32 3.12.10.9 2009.07.24 -
ViRobot 2009.7.24.1851 2009.07.24 -
VirusBuster 4.6.5.0 2009.07.24 -

[jaro3]

C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6 to by mělo být OK..
Ten codec od Elecard je jinak součástí programu ProgDVB ( ten je zdarma, ale kodeky se platí)..
Ovšem není nikdy zde:
c:\WINDOWS\system32\mpgdec.ax

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit log z MbAM.

Pokud nejsou jiné problémy , tak bych to nechal.

[Fanthomas]

Žádný program ProgDVB nemám. Tady je tedy ten výpis. Ty nákazy jsem odstranil. Jinak s PC už žádné jiné potíže nemám.


Malwarebytes' Anti-Malware 1.39
Verze databáze: 2494
Windows 5.1.2600 Service Pack 3

24.7.2009 21:45:37
mbam-log-2009-07-24 (21-45-37).txt

Typ skenu: Rychlý sken
Objektu skenováno: 82831
Uplynulý cas: 6 minute(s), 28 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 1
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\c:\WINDOWS\system32\mpgdec.ax (Backdoor.Bot) -> Quarantined and deleted successfully.

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
c:\WINDOWS\system32\mpgdec.ax (Backdoor.Bot) -> Quarantined and deleted successfully.

[jaro3]

Fajn ,můžeš dát fajfku.

[Fanthomas]

Díky moc Jaro za ochotu a rychlost s jakou jsi mi pomohl to vyřešit.. Díky