PC-HELP.CZ

České diskuzní fórum o počítačích
https://pc-help.cnews.cz/

Prosím o kontrolu

https://pc-help.cnews.cz/viewtopic.php?f=70&t=4942

Stránka 1 z 1

Prosím o kontrolu

Napsal: 28 dub 2006 22:28
od marosakx
Zdravím vás a prosím o radu. Před pár dny mi padl komp, co jsem věděl, to je opraveno. S hijackthis-em dělám poprvé a nerad bych něco zmrvil. PC běží, jen asi dvakrát se kousl kurzor. Počítač klávesnicí ovládat šel, ale nerozchodil jsem myš, následoval restart. Teď zase myška běhá, nevím jestli se zase "nezadejchá".

Logfile of HijackThis v1.99.1
Scan saved at 21:25:57, on 28.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\NVAREM.EXE
C:\PROGRA~1\INTERV~1\WinDVR\WINSCH~1.EXE
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\365dni\tray_365.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\www.cproxy.com\cproxy.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\WINDOWS\system32\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\mobile PhoneTools\mPhonetools.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\ET\Plocha\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NVIDIA Remote Control Panel] NVAREM.EXE /S /Q /R /L /A1 /B0 /C0 /D2 /E0
O4 - HKLM\..\Run: [WINSCHEDULER] C:\PROGRA~1\INTERV~1\WinDVR\WINSCH~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [365dní] C:\Program Files\365dni\tray_365.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [www.cproxy.com] C:\Program Files\www.cproxy.com\cproxy.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Zobrazit originál - C:\Program Files\www.cproxy.com\original.htm
O8 - Extra context menu item: Zobrazit vše jako originál - C:\Program Files\www.cproxy.com\originalAll.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{B38449BE-875D-43F9-9AB6-6B7AB7572B70}: NameServer = 160.218.10.200 160.218.43.200
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\WINDOWS\system32\x10nets.exe

Napsal: 29 dub 2006 00:59
od mikel
Nevidím tady nic škodlivého. Ale se softwarovou kombinací, kterou používáš nemám zkušenosti, takže nevím, jestli se nějak nehádají.

Jenom bych ti doporučil fixnout v HiJacku toto:
1. - vypaluješ pomocí InCD? Jestli ne tak to fixni
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

2. - tohle můžeš bez problémů fixnout. NeroCheck není nutný a QuickTime nebo Nero BackItUP můžeš spouštět z plochy nebo Start/Programy ...
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

Pro jistotu zkus důkladný scan MWAVem.

A nemáš nainstalovaný žádný firewall ani antispyware.

Napsal: 29 dub 2006 11:08
od mijaja
Zkontroloval bych ten NetAnts.exe na Jottiscanu. Možná nebude tak nevinný.

Napsal: 30 dub 2006 03:59
od marosakx
Díky, mám radost, že je to zatím v pohodě. Dostal jsem se k tomu až pozdě večer (zaměstnavatel vyžadoval nadstandartní služby). Pofixoval sem všechno. Neústupný je akorát: O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe; ve službách ho mám ručně a zastaveno i tak se mi objevuje v novém logu. Teď půjdu spinkat a nechám pracovat MWAV-a. Pak se ozvu. NetAnts prošel přes Jottiscan. Jěště jednou děkuji!

Napsal: 02 kvě 2006 17:34
od marosakx
Nevím co sem provedl špatně? Pokus o projetí MWAV-em skončil více než 1600 stránkama a na nich 2 700 000 slov. Mezi nima 8 objektů, ale najít je v tom zmatku...

Vybral jsem něco:
Sun Apr 30 04:11:39 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Apr 30 04:11:40 2006 => Offending Key found: HKCU\Software\cydoor !!!
Sun Apr 30 04:11:40 2006 => Object "cydoor Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Apr 30 04:11:44 2006 => Offending file found: C:\Documents and Settings\ET\Dokumenty\zelio soft v.2.4\doc\de\mainpage.htm
Sun Apr 30 04:11:44 2006 => System found infected with linkgrabber 99 Spyware/Adware (mainpage.htm)! Action taken: No Action Taken.

Sun Apr 30 04:11:44 2006 => Offending file found: C:\Documents and Settings\ET\Dokumenty\zelio soft v.2.4\doc\en\mainpage.htm
Sun Apr 30 04:11:44 2006 => System found infected with linkgrabber 99 Spyware/Adware (mainpage.htm)! Action taken: No Action Taken.

Sun Apr 30 04:11:44 2006 => Offending file found: C:\Documents and Settings\ET\Dokumenty\zelio soft v.2.4\doc\es\mainpage.htm
Sun Apr 30 04:11:44 2006 => System found infected with linkgrabber 99 Spyware/Adware (mainpage.htm)! Action taken: No Action Taken.

Sun Apr 30 04:11:45 2006 => Offending file found: C:\Documents and Settings\ET\Dokumenty\zelio soft v.2.4\doc\fr\mainpage.htm
Sun Apr 30 04:11:45 2006 => System found infected with linkgrabber 99 Spyware/Adware (mainpage.htm)! Action taken: No Action Taken.

Sun Apr 30 04:11:45 2006 => Offending file found: C:\Documents and Settings\ET\Dokumenty\zelio soft v.2.4\doc\it\mainpage.htm
Sun Apr 30 04:11:45 2006 => System found infected with linkgrabber 99 Spyware/Adware (mainpage.htm)! Action taken: No Action Taken.

Sun Apr 30 04:11:45 2006 => Offending file found: C:\Documents and Settings\ET\Dokumenty\zelio soft v.2.4\doc\pt\mainpage.htm
Sun Apr 30 04:11:45 2006 => System found infected with linkgrabber 99 Spyware/Adware (mainpage.htm)! Action taken: No Action Taken.

Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus.avi [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus004.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus005.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus006.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus007.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus008.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus009.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus010.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus011.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus012.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus013.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus014.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus015.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus016.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus017.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus018.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus019.avc [**]
Sun Apr 30 04:13:44 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\virus020.avc [**]

Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\test.php
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj001.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj003.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj005.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj007.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj009.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj011.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj012.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj013.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj014.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj015.avc [**]
Sun Apr 30 04:13:43 2006 => Scanning File C:\DOCUME~1\ET\LOCALS~1\Temp\troj016.avc [**]

Je to sice víc než 8, ale nelíbí se mi vzhledem k některým výrazům.
Až budete mít čas, prosím jukněte na to. Díky

Napsal: 02 kvě 2006 18:06
od mijaja
Takže k tomu výpisu - ne všechno, co ti mwav označí za virus jím také je. Alexa je mrkvosoftí vyhledávač (legální) a jako takový ho mwav označí jako možný zdroj nákazy. Takže ten řádek je v pořádku.

C:\Documents and Settings\ET\Dokumenty\zelio soft v.2.4\doc\de\mainpage.htm - tento soubor zkontroluj na Jottiscanu

Ty zbývající soubory (virus.avi, virus 001 - 020.avc, a troj.001 -020.avc) jsou řetězce, které si ukládá mwav sám na disk jako porovnávací řetězce.
Takže když to sečteme, našel jsi vlastně jen jeden problém(nebo pět) z osmi. :D
Použij funkci hledat(zadej slůvko ware, virus a troj.) v notepadu a potom F3.

Vyčistil jsi disk před použitím mwavu CCleanerem? Jestli ne, tak se nedivím, že je log tak velký.

Napsal: 24 kvě 2006 23:35
od marosakx
Omlouvám se za tu odmlku. Snad jsem to tenkrát dodělal do konce. Mezitím byl kompík rozebrán a rozházen pobytě, zapoměl jsem na výměnu oken v paneláku. Děkuji, dodatečně, všem. Až se budu pouštět do úklidu kompu budu opět otravovat. Děkuji ještě jednou!
A teď hurá na příspěvky, které přibyly od 2. května.
Časové pásmo: UTC+02:00
Stránka 1 z 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/