Kontrola logu MWAV a HiJackThis po vycisteni PC od trojanu

HW · Příspěvekod HW » 18 pro 2006 11:02

Prosim o radu:

Popis stavu: mel jsem v kompu svinstvo typu Win32: agent a small a pak i dalsi havet ani nevim jak se vse jmenuje. Jsem laik, ale prosel jsem a udelal vse co tu radite a zda se ted muj komp haveti zbaveny - Avast, Kasperski, NOD32 i SpyBot uz nic nenasli a vse funguje.

Problem nyni: Zda se mi ale muj komp o dost pomalejsi nez predtim. Udelal jsem si vypis MWAV i HiJack, ale nez ho sem dam mam jednu otazecku - abych Vas nezahlcoval zbytecne - vypis je treba udelat v nouzovem nebo normalnim rezimu Win? Mam XP prof SP1. Vypis mam z nouzoveho rezimu, ale proti vypisum co tu ukazuji ostatni ho mam nejaky kratky.

Prosim o odpoved a predem dekuji radci,

Vlastimil Jakimic

Reklama

Příspěvekod **fredik** » 18 pro 2006 11:44

Jestli máš nainstalované všechny tři antiviry zároveň (Avast, Kasperski, NOD32) tak se nediv že to máš zpomalené. Nech si nainstalovaný jen jeden antivir a ostatní odinstaluj.

Log z HijackThis udělej v normálním režimu (v nouzovém režimu se některé procesy nespouští takže by v logu nebyly vidět). Na log z Mwav by to nemělo mít moc vliv ale je lepší ho taky udělat v normálním režimu.

Bylo by pak dobré si doinstalovat SP2 pro Windows Xp pro lepší zabezpečení.

HW · Příspěvekod HW » 18 pro 2006 13:09

Zatim diky, dam to sem co nejdrive az se dostanu z prace domu.

Příspěvekod **Pic** » 18 pro 2006 13:17

Důležité je mít instalovaný jen jeden rezidentní štít antiviru. Jinak dochází k problémům a systém je i děravý.

HW · Příspěvekod HW » 18 pro 2006 22:12

Tak jsem odinstaloval Nod32 i Kaspersky, zustal jen Avast a v normalnim rezimu projel MVAW a HiJackThis. Posilam logy, MWAV nejakou havet nasel.....predem diky za kontrolu a pomoc jak na to:

Mon Dec 18 21:48:11 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Dec 18 21:48:12 2006 => Loading Spyware Signatures from new External Database (Size: 191782).
Mon Dec 18 21:48:12 2006 => Indexed Spyware Databases Successfully Created...

Mon Dec 18 21:48:21 2006 => System found infected with trojan.zlob.e Browser Hijacker ({7caf96a2-c556-460a-988e-76fc7895d284})! Action taken: No Action Taken.
Mon Dec 18 21:48:27 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\spyaxe !!!
Mon Dec 18 21:48:27 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.

Mon Dec 18 21:48:31 2006 => Offending Folder found: C:\WINDOWS\System32\1024
Mon Dec 18 21:48:31 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.

Mon Dec 18 22:02:15 2006 => ***** Scanning complete. *****

Mon Dec 18 22:02:16 2006 => Total Objects Scanned: 23635
Mon Dec 18 22:02:16 2006 => Total Critical Objects: 3
Mon Dec 18 22:02:16 2006 => Total Disinfected Objects: 0
Mon Dec 18 22:02:16 2006 => Total Objects Renamed: 0
Mon Dec 18 22:02:16 2006 => Total Deleted Objects: 0
Mon Dec 18 22:02:17 2006 => Total Errors: 7
Mon Dec 18 22:02:17 2006 => Time Elapsed: 00:15:34
Mon Dec 18 22:02:17 2006 => Virus Database Date: 12/18/2006
Mon Dec 18 22:02:17 2006 => Virus Database Count: 251703

Logfile of HijackThis v1.99.1
Scan saved at 22:07:35, on 18.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Alwil Software\Avast4\ashserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\Office10\msoffice.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\DOKUMENTY\Holy Warrior\Antivir\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.atlas.cz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.43.99.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: ASP.NET Helper - {42031715-09B2-3B51-A93F-56C308E48F38} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)
O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - (no file)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avast!] C:\Program Files\Alwil Software\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Sygate Firewall.lnk = C:\Program Files\Sygate\SPF\Smc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CC} - http://66.117.37.13/cza2218.exe
O20 - Winlogon Notify: klogon - C:\WINDOWS\
O21 - SSODL: IEFilter - {58333CFF-DBD5-444D-B046-A2245D984967} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashserv.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe

Příspěvekod **fredik** » 18 pro 2006 23:01

Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
O2 - BHO: ASP.NET Helper - {42031715-09B2-3B51-A93F-56C308E48F38} - (no file)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)
O2 - BHO: (no name) - {7caf96a2-c556-460a-988e-76fc7895d284} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B23E0CC} - http://66.117.37.13/cza2218.exe
O21 - SSODL: IEFilter - {58333CFF-DBD5-444D-B046-A2245D984967} - (no file)

po zaškrtnutí klikni na FixChecked

Najdi a smaž červeně označený adresář: (možná si budeš muset zapnout zobrazení skrytých a systémových souborů aby si je našel).
C:\WINDOWS\System32\1024

Pak klikni na Start - > Spustit ... a do okna co se ti otevře napiš regedit a dej Ok. Otevře se ti okno registrů a v něm vymaž červeně označené položky. (HKCU - > je zkratka HKEY_CURRENT_USER)
HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\spyaxe

Jak jsem se zminoval už dřív, bylo by dobré si doinstalovat ten SP2 pro Windows Xp odkaz na stažení najdeš zde:

HW · Příspěvekod HW » 19 pro 2006 15:03

Diky,

mam sem jeste znovu davat log nebo je to ok?

Jeste jednou Vam dekuji za rychlou pomoc!

Příspěvekod **fredik** » 19 pro 2006 15:28

Záleží na tobě, už by to mělo být v pořádku.

Kontrola logu MWAV a HiJackThis po vycisteni PC od trojanu

Kontrola logu MWAV a HiJackThis po vycisteni PC od trojanu

Kdo je online