Prosím o kontrolu logů

[solsol]

1) Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:26, on 13.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Program Files\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\kety\LOCALS~1\Temp\mexe.com
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "D:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: avgcc.lnk = C:\Program Files\Grisoft\AVG7\avgcc.exe
O4 - Startup: avgemc.lnk = C:\Program Files\Grisoft\AVG7\avgemc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 9277637816
O17 - HKLM\System\CCS\Services\Tcpip\..\{75DE57CF-32E7-426E-B203-0D0CE3652FC5}: NameServer = 80.79.28.250,81.31.33.19
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe



2)MWAV , kde F je systémový disk z druhého počítače,kde mi pod winxp nejdou otevírat žádné exe soubory.
Před scanem jsem vypnul funkci obnovení systému :

Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\Microsoft.ActiveXPlugin" odkazuje na neplatný objekt "{06DD38D3-D187-11CF-A80D-00C04FD74AD8}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\Microsoft.ActiveXPlugin.1" odkazuje na neplatný objekt "{06DD38D3-D187-11CF-A80D-00C04FD74AD8}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\RTCIMSP.RTCIMService" odkazuje na neplatný objekt "{83D4679F-B6D7-11D2-BF36-00C04FB90A03}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\RTCIMSP.RTCIMService.1" odkazuje na neplatný objekt "{83D4679F-B6D7-11D2-BF36-00C04FB90A03}". Provedené akce: Nic nebylo provedeno.
Soubor D:\Instal\xp jako legal\KeyFinder\keyfinder.exe/officekey.exe indentifikován jako "not-a-virus:PSWTool.Win32.RAS.a". Nic nebylo provedeno.
Soubor D:\Instal\xp jako legal\KeyFinder\Port_RockXP_v4.exe//PE_Patch//UPack//data0000.cab/rock.exe/pwdump2\samdump.dll//UPX indentifikován jako "not-a-virus:PSWTool.Win32.RAS.a". Nic nebylo provedeno.
Soubor F:\System Volume Information\_restore{8CD5A050-0FB5-4756-9D1B-C7A637F75681}\RP90\A0031384.exe je infikovaný virem NULL.Corrupted !! Provedené akce: Nic nebylo provedeno.
Soubor G:\Instal\RemoveWGA\xp jako legal\KeyFinder\keyfinder.exe/officekey.exe indentifikován jako "not-a-virus:PSWTool.Win32.RAS.a". Nic nebylo provedeno.
Soubor G:\Instal\RemoveWGA\xp jako legal\KeyFinder\Port_RockXP_v4.exe//PE_Patch//UPack//data0000.cab/rock.exe/pwdump2\samdump.dll//UPX indentifikován jako "not-a-virus:PSWTool.Win32.RAS.a". Nic nebylo provedeno.


Předem díky.

[Reklama]

[paul27]

Takže nejdřív vypni obnovu systému - restart - pak ji můžeš zase zapnout.

Pak si stáhni Avenger: http://www.spyware.cz/spyware.cz/download/avenger.exe
spusť ho - zatrhni imput script manually - klik na lupu - do prázdného okna zkopírovat tento txt:

Files to delete:
G:\Instal\RemoveWGA\xp jako legal\KeyFinder\Port_RockXP_v4.exe
G:\Instal\RemoveWGA\xp jako legal\KeyFinder\keyfinder.exe
D:\Instal\xp jako legal\KeyFinder\Port_RockXP_v4.exe
D:\Instal\xp jako legal\KeyFinder\keyfinder.exe

- klik na done - klik na semafor - potvrdit případné varování - pc se restartuje - po restartu vyběhne log, který sem zkopíruj. Ještě doporučuju nainstalovat firewall.

[solsol]

Provedl jsem,jak jsi pravil,ale po restartu mi žádný log nevyběhl ...?

[paul27]

Podívej se do složky Avengeru, měl by tam být. Nebo bude třeba C:\report.txt (nevím jestli to je přesně report)

[solsol]

Prosím tě nemlať mně,ale já to udělal blbě(já tu obnovu dneska fakt vypínal!) no prostě jsem si to nepřekontroloval a udělal to se zapnutou obnovou....No a potom jsem si toho všiml,vypnul ji,restart,znovu avenger,ale ty soubory už tam nejsou,takže ten tog je error.Avenger je má zazipovaný na céčku.
Takže sorry za přidělávání práce.
Poraď prosím,co dál.Díky.

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0

[paul27]

Proč bych tě mlátil. Od vysvětlování a pomoci tu jsme.

Ta obnova systému by na Avenger neměla mít vliv. Avengerovi jsme dali příkaz, ať smaže tyhle soubory:

G:\Instal\RemoveWGA\xp jako legal\KeyFinder\Port_RockXP_v4.exe
G:\Instal\RemoveWGA\xp jako legal\KeyFinder\keyfinder.exe
D:\Instal\xp jako legal\KeyFinder\Port_RockXP_v4.exe
D:\Instal\xp jako legal\KeyFinder\keyfinder.exe

Tak je zkust najít a vymazat. Teď mě ještě napadá, ten keyfinder se jenom spoutí nebo ho máte nainstalovaný? Kdyžtak odinstalovat a až potom smazat tyhle soubory. Tu zazipovanou složku Avengeru taky smažte.

[solsol]

keyfinder nainstalovaný není a Avenger je v obou složkách smazal,takže teď jsou jen v tom zipu-mažu ho.
Ještě něco,nebo už mám zkusit dát ten disk do pc,kam patří?

[paul27]

Jestli už opravdu nikde na disku nejsou

G:\Instal\RemoveWGA\xp jako legal\KeyFinder\Port_RockXP_v4.exe
G:\Instal\RemoveWGA\xp jako legal\KeyFinder\keyfinder.exe
D:\Instal\xp jako legal\KeyFinder\Port_RockXP_v4.exe
D:\Instal\xp jako legal\KeyFinder\keyfinder.exe

tak by to mělo být všechno. Ještě doinstaluj nějaký firewall.

[solsol]

Firewall mám na routeru.
A dík,jdu na to.

[paul27]

Není žač, kdyby něco, tak se ozvěte, nikdo vám tu hlavu neutrhne.

[solsol]

Tak teď píšu z druhého pc,na kterém je bohužel vše při starém.Otevřu akorát Internet explorer,jinak opravdu všechny exe soubory na celém počítači nejdou spustit.........