Infiltrace B.Gen virus Vyřešeno

[Hastalda]

ComboFix se mi podařilo v pořádku odinstalovat...
Stáhla jsem CCleaner a nechala vyčistit...
Jenže když jsem chtěla stáhnout T-Cleaner - odkaz je neplatný. Chtěla jsem tedy stáhnout z jiné stránky, ale narazila jsem na varování: viewtopic.php?f=47&t=46164. Když jsem si přečetla že by mělo být v pořádku, našla jsem odkaz na T-Cleaner na uložto.cz a chtěla stáhnout, ale - bohužel bylo i s virem.. ESET mi sice ohlásil, že připojení zablokoval ("WIN32/Agent.LNUQXFB trojský kůň"), ale teď nevím, jestli mám normálně pokračovat scanem v HJT, dál hledat T-Cleaner nebo udělat něco jiného ??

[Reklama]

[Hastalda]

Já už to vidím.., jsem blbka !!! Vždyť mi to memphisto napsal v poznámce - před stažením T-Cleaneru deaktivovat A-vir, jsem vážně blbá !! Když pro mě jsou tyhle věci trochu složitější..

Takže jsem snad pochopila dobře, že ten odkaz na uložto bude v pořádku, ale problém byl, že jsem nedeaktivovala A-vir ?! Snad je tedy v pořádku... a jdu pokračovat podle postupu dál...

[memphisto]

V poradku. Dej HJT, ale predpokladam, ze bude ok

[Hastalda]

Já se přes T-Cleaner asi nedostanu..

Když jsem zjistila, že link v postupu je neplatný, našla jsem si T-Cleaner na uložto.cz, deaktivovala A-vir podle infa v postupu, stáhla T-Cleaner, a když jsem chtěla spustit a vyčistit - po poklepání na ikonu normálně zmizela.., není to opravdu něco špatného ??

Mám tedy nechat a udělat scan z HJT, jak píšeš ?? Já jsem z toho memphisto nějaká špatná.. ...

[Hastalda]

Přikládám logfile z HJT:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:21:26, on 28.10.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
C:\windows\system32\RUNDLL32.EXE
C:\windows\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\windows\System32\svchost.exe
C:\windows\system32\ctfmon.exe
C:\windows\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WebTransBHO Class - {2DB66063-BB98-466A-AA0D-3E7ACF5ED853} - C:\TRANSLAT\WEBIE.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: WebTranslator - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - C:\TRANSLAT\WEBIE.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PDUiP6220DMon] C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Program Files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GoGear SA3MXX Device Manager.lnk = C:\Program Files\Philips\GoGear SA3MXX Device Manager\main.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Rychlý začátek s aplikací HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: WebTran - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - c:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: &Nastavit překladač - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &označený text - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &stránku - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: Zobrazit nebo skrýt HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{34500D98-2486-431E-A3B7-698B3FC9DB9E}: NameServer = 93.153.117.1,93.153.117.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{34500D98-2486-431E-A3B7-698B3FC9DB9E}: NameServer = 93.153.117.1,93.153.117.33
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\windows\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\windows\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/1102/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 8916 bytes

[memphisto]

Udelej ten HJT

Odesláno z mého GT-I9100 pomocí Tapatalk 2

[Hastalda]

O.k., právě jsem vložila...

[Hastalda]

Když se přihlásím - rychlost načítání nejen internetových stránek, ale i všech dokumentů (word, apod.) mi přijde už stejné jako před problémem. Chová se v pořádku. Okna mi už nevyskakují.

Nevím, zda je špatně, ale několik ikon - stejně jako na začátku problému - se na ploše PC po přihlášení podbarví (ztuční písmo), ale po chvíli se vrátí do normálu. Když se podívám na C:\Documents and Settings\1102\Local Settings, ty ikonky tam jsou pořád a když zadám: C:\Documents and Settings\1102\Local Settings\Temporary Internet Files - je tam spousta odkazů, cookes, ikonek apod., vůbec netuším k čemu slouží, ale mimo nich je tam několik "souborů" pod názvem Favicon - jestli se nepletu, někdo an fóru PC-HELP řešil jako vir. Když je vymažu, po chvíli se objeví znovu.

Na ploše PC jsem si vytvořila složku, do které jsem ukládala všechny stažené soubory (ComboFix, HJT, apod.), když ji teď otevřu, na liště mi napíše že je tam 5 souborů (+ 1 skrytý), ale je jich tam jen 5. Když je vyjmu a dám na plochu, píše 0 souborů (+ 1 skrytý), když chci tu složku smazat, vyskočí hláška: "CACVE9QT nelze odstranit. Zadaný soubor nelze nalézt.", přitom jde ale jen o vytvořenou složku na ploše PC. Nemůže mít ten "skrytý soubor" nějakou souvislost s řešením mého problému ??

Já si myslím, že jiank se všechno ostatní jeví v pořádku...

[memphisto]

Ve slozce Temporary budes mit vzdycky neco. Je to proste odkladaci prostor prohlizece. S tema ikonkama... Nejsou to aplikace, ktere se spousti se startem systemu? Problem se smazanim slozky muze byt v tom, ze se necistili tim TCleanerem. Jsem na mobilu a nemam tu navod na jinou cistici utilitu. Az se dostanu k PC, tak dodam nebo nekdo bude treba rychlejsi

Odesláno z mého GT-I9100 pomocí Tapatalk 2

[Hastalda]

Jasně, fajn - počkám, díky memphisto !

Jinak i ta složka "Antifishing", co se vytvořila po stažení toho B. Gen virusu a nešla smazat, po celém postupu obnovy, vyčištění a zrestartování PC, se tak už neobjevila. Tak snad bude včetně scanu z HJT ve výsledku už o.k.

Zatím moc díky !!

[memphisto]

Stáhni si ToolsCleaner2( by de A.Rothstein & Dj Quiou )

na plochu a spus ho.
Klikni na Pt. Restauration (obnova) a poté na OK.
Klikni na Corbeille (koš) a poté na OK.
Klikni na Fichiers temp (temp složky) a poté na OK.
Klikni na Recherche (hledání) a nech Cleaner pracovat. Mùže se během čištění zastavit , ale nech ho pokračovat.
Když program skončí , klikni na Suppression (odstranění)a odstraò nalezené.
Zavři program.
Program maže i všechny nástroje na odvirování a vytváření logù , které se zde používají (HJT, Combofix, OTM, OTL, OTS atd.)

[Hastalda]

Zkusila jsem ještě včera v noci a pro jistotu opět dnes, ale link na ToolsCleaner2 je stejně jako odkaz na T-Cleaner neplatný..