Prosim o kontrolu logu

[Marťan]

prosim o kontrolu, zacal se mi kousat PC,projel jsem ho na viry a spywary, ale nezda se mi ze je o.k.Logfile of HijackThis v1.99.1
Scan saved at 0:41:38, on 13.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\windows\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\windows\system32\CTHELPER.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
D:\Program Files\USBToolbox\Res.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\windows\system32\rundll32.exe
D:\Program Files\A4Tech\Mouse\Amoumain.exe
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
D:\Program Files\AOL\Active Security Monitor\ASMonitor.exe
D:\Program Files\Softick\PPP\Bin\PPPGate.exe
C:\windows\system32\ctfmon.exe
D:\Program Files\Notifikator\Notifikator.exe
D:\Program Files\CursorXP\CursorXP.exe
D:\Program Files\DAEMON Tools\daemon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Program Files\BitLord\BitLord.exe
D:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MARTIN~1\LOCALS~1\Temp\Rar$EX00.219\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] D:\Program Files\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [LogonStudio] "D:\Program Files\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Program Files\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [WheelMouse] D:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "D:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [ASM] "D:\Program Files\AOL\Active Security Monitor\ASMonitor.exe" HIDEMAIN
O4 - HKLM\..\Run: [SoftickPPP] "D:\Program Files\Softick\PPP\Bin\PPPGate.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Centrum.cz Notifikátor] "D:\Program Files\Notifikator\Notifikator.exe"
O4 - HKCU\..\Run: [CursorXP] D:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Open With JPEGCompress - res://C:\Program Files\JPEGCompress\owjc.dll/CONTEXT_HANDLE.HTM
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB297ADE-9613-46EB-9615-8E44291B2F43}: NameServer = 62.129.50.20,85.135.32.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Reklama]

[Baron Prášil]

vidím jenom zbytečnosti
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)

takže to fixni
vyčisti systém CCleanerem a RegCleanerem

a udělej log z MWAVu

[Marťan]

O.K. nejsem teď doma u svého PC, ale jak v pondělí dojedu tak to hned udělám a pošlu ten log z MWAVu.Zatím díky.

[Marťan]

Zdravím,
tak tady je výpis co mi našel WMAV

Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "thelocalsearch Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "purityscan Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "thelocalsearch Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "purityscan Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "thelocalsearch Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "purityscan Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "thelocalsearch Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "purityscan Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "thelocalsearch Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "purityscan Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt ""F:\data\cdw32.exe"". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt ""E:\data\cdw32.exe"". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt "C:\Program Files\GameSpy Arcade\GSAPak.exe". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt "C:\Program Files\GameSpy Arcade\GSAPak.exe -launch". Provedené akce: Nic nebylo provedeno.
Soubor C:\windows\main_uninstaller.exe je infikovaný virem Trojan-Downloader.Win32.Zlob.bvj !! Provedené akce: Nic nebylo provedeno.
Soubor C:\DOCUME~1\MARTIN~1\LOCALS~1\Temp\nsg1E90.tmp\DcryptDll.dll je infikovaný virem Trojan.Win32.DNSChanger.aho !! Provedené akce: Nic nebylo provedeno.
Soubor C:\DOCUME~1\MARTIN~1\LOCALS~1\Temp\nsm1EA3.tmp\DcryptDll.dll je infikovaný virem Trojan.Win32.DNSChanger.aho !! Provedené akce: Nic nebylo provedeno.
Soubor C:\DOCUME~1\MARTIN~1\LOCALS~1\Temp\patch.exe//Cexe//Armadillo je infikovaný virem Backdoor.Win32.VB.ayx !! Provedené akce: Nic nebylo provedeno.
Soubor C:\DOCUME~1\MARTIN~1\LOCALS~1\Temp\setup3.exe je infikovaný virem Trojan.Win32.DNSChanger.abk !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Documents and Settings\Martin Holub\Local Settings\Temp\nsg1E90.tmp\DcryptDll.dll je infikovaný virem Trojan.Win32.DNSChanger.aho !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Documents and Settings\Martin Holub\Local Settings\Temp\nsm1EA3.tmp\DcryptDll.dll je infikovaný virem Trojan.Win32.DNSChanger.aho !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Documents and Settings\Martin Holub\Local Settings\Temp\patch.exe//Cexe//Armadillo je infikovaný virem Backdoor.Win32.VB.ayx !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Documents and Settings\Martin Holub\Local Settings\Temp\setup3.exe je infikovaný virem Trojan.Win32.DNSChanger.abk !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Program Files\Eset\infected\CWBLAIAA.NQF//PE-Crypt.XorPE//data0000.cab/NORMAL~1.EXE je infikovaný virem Trojan.Win32.Small.js !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Program Files\Eset\infected\KDDCV5AA.NQF//PE-Crypt.XorPE je infikovaný virem Backdoor.Win32.Rbot.ebs !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Program Files\Eset\infected\QS2HPVBA.NQF//PE-Crypt.XorPE je infikovaný virem Backdoor.Win32.Rbot.enj !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Program Files\Eset\infected\TZNIZYDA.NQF//PE-Crypt.XorPE//data0000.cab/DX2131.exe je infikovaný virem Trojan.Win32.Small.js !! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\main_uninstaller.exe je infikovaný virem Trojan-Downloader.Win32.Zlob.bvj !! Provedené akce: Nic nebylo provedeno.
Soubor D:\Dokumenty\Programy,cracky,serial,češtiny\Morpheus_5.4\Morpheus\mymorpheusToolbar.exe indentifikován jako "not-a-virus:AdTool.Win32.MyWebSearch.bm". Provedené akce: Nic nebylo provedeno.
Soubor D:\Dokumenty\Programy,cracky,serial,češtiny\vdownloader.zip/VDownloader.exe//PE_Patch.UPX//UPX indentifikován jako "not-a-virus:Downloader.Win32.VDown.a". Provedené akce: Nic nebylo provedeno.
Soubor D:\Mobily\programy-Symbian\file managers\SymbianCommander.sis je infikovaný virem Worm.SymbOS.Comwar.c !! Provedené akce: Nic nebylo provedeno.

[Baron Prášil]

použij avenger http://www.spyware.cz/go.php?p=spyware&t=aplikace&id=35

a tento skript

Files to delete:
C:\windows\main_uninstaller.exe
C:\Documents and Settings\Martin Holub\Local Settings\Temp\nsg1E90.tmp\DcryptDll.dll
C:\Documents and Settings\Martin Holub\Local Settings\Temp\nsm1EA3.tmp\DcryptDll.dll
C:\Documents and Settings\Martin Holub\Local Settings\Temp\patch.exe
C:\Documents and Settings\Martin Holub\Local Settings\Temp\setup3.exe
D:\Dokumenty\Programy,cracky,serial,češtiny\Morpheus_5.4\Morpheus\mymorpheusToolbar.exe
D:\Dokumenty\Programy,cracky,serial,češtiny\vdownloader.zip
D:\Mobily\programy-Symbian\file managers\SymbianCommander.sis

Folders to delete:
C:\Program Files\Eset\infected

povol restart a po restartu pošli log z Avengeru

[Marťan]

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ajvxilpm

*******************

Script file located at: \??\C:\Documents and Settings\hlkocmqr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\windows\main_uninstaller.exe deleted successfully.
File C:\Documents and Settings\Martin Holub\Local Settings\Temp\nsg1E90.tmp\DcryptDll.dll deleted successfully.
File C:\Documents and Settings\Martin Holub\Local Settings\Temp\nsm1EA3.tmp\DcryptDll.dll deleted successfully.
File C:\Documents and Settings\Martin Holub\Local Settings\Temp\patch.exe deleted successfully.
File C:\Documents and Settings\Martin Holub\Local Settings\Temp\setup3.exe deleted successfully.
File D:\Dokumenty\Programy,cracky,serial,češtiny\Morpheus_5.4\Morpheus\mymorpheusToolbar.exe deleted successfully.
File D:\Dokumenty\Programy,cracky,serial,češtiny\vdownloader.zip deleted successfully.
File D:\Mobily\programy-Symbian\file managers\SymbianCommander.sis deleted successfully.
Folder C:\Program Files\Eset\infected deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Baron Prášil]

takže.teď se ti PC zdá víc ok nebo míň?

[Marťan]

No teď zatím jo, ale ještě to na jisto nevím, protože mi to dělalo bordel, když jsem třeba stahoval víc torrentů přes bitlord,stahovalo to 600 kb/s, dal jsem treba otevřít tento počítač, a než to načetlo tak to strašně trvalo, nebo jsem otevřel bitlorda a pak chtěl jej minimalizovat a nešlo to, bylo to prostě jak kdyby seklé, že ani trl+alt+del nepomohl a musel jsem komp natvrdo restartovat, no myslel jsem si že je hodně vytížen procesor, ale předtím jsem několikrát stahoval i víc kb/s a komp vpoho reagoval a stíhal to.Tak uvidím jak to bude šlapat.
Jinak díky za kontrolu a pomoc.