Nalezen virus

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

jaymz
nováček
Příspěvky: 3
Registrován: červenec 06
Pohlaví: Nespecifikováno
Stav:
Offline

Nalezen virus

Příspěvekod jaymz » 15 črc 2006 12:44

cau

Mam problem - avast mi vzdy vyhadzuje spravu - nasiel sa virus

http://85.255.115.187/users/fill/web/images/rzspy.exe
Win32:Trojan-gen. {Other}

a

http://85.255.115.187/users/fill/web/im ... wnload.exe
Win32:Small-TG [Trj]

Tu je log z hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12:38:17, on 15.7.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Program Files\Winamp\winampa.exe
E:\Program Files\ATI Technologies\ATI.ACE\cli.exe
E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
E:\Program Files\ACD Systems\ImageFox\ImageFox.exe
E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
E:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
E:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\ATI Technologies\ATI.ACE\cli.exe
E:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\totalcmd\TOTALCMD.EXE
E:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
c:\hijackthis\HijackThis.exe

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - E:\WINDOWS\se_spoof.dll
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - E:\WINDOWS\system32\ati2evxxv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search &

Destroy\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - E:\Program Files\Xi\NetTransport

2\NTIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] E:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATICCC] "E:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [nTrayFw] E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [yaemu.exe] E:\WINDOWS\system32\yaemu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Trust Cleaner] E:\Program Files\Trust Cleaner\TrustCleaner.exe
O4 - HKCU\..\Run: [Free Download Manager] E:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ImageFox.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xportovať do programu Microsoft Excel -

res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stiahni položku pomocou Net Transport - E:\Program Files\Xi\NetTransport

2\NTAddLink.html
O8 - Extra context menu item: Stiahni všetky položky cez Net Transport - E:\Program Files\Xi\NetTransport

2\NTAddList.html
O9 - Extra button: Zdroje informácií - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Program

Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program

Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\nvappfilter.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{30746A4B-E720-48B4-8F73-B49F25DA52DD}: NameServer =

85.255.115.52,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{37D1E606-778D-4A81-8461-840DC9621068}: NameServer =

85.255.115.52,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{43B95B0D-B90E-489E-A33D-53823C8A3C4B}: NameServer =

85.255.115.52,85.255.112.85
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service

(file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service

(file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\Program Files\NVIDIA

Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - E:\Program Files\NVIDIA

Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

/2 různé problémy se nemíchají dohromady - rozděleno
/mikel

Reklama
jaymz
nováček
Příspěvky: 3
Registrován: červenec 06
Pohlaví: Nespecifikováno
Stav:
Offline

este jedna otazka

Příspěvekod jaymz » 15 črc 2006 13:04

pred par dnami sa mi podarilo odstranit ciastocne tento problem obnovou systemu. Obnovou systemu sa mi ten virus vymaze?

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 15 črc 2006 14:43

V první řadě odinstaluj TrustCleaner . To není antispyware ale spyware. Jen se tváří, jako dobrý program. V linku Důležité... mám osvědčené programy proti spywaru. I když - máš tam Spybota.
Nainstaluj si alternativní prohlížeč namísto Internet Exploreru.
Stáhni si a nainstaluj Ccleaner. Všechno mám v odkazech.
Stáhni si SmitFraudFix a nachystej na použití.

Tuhle knihovnu najdi a zkontroluj na Jottiscanu:
E:\WINDOWS\system32\ati2evxxv.dll


Vypni Obnovu systému (klávesa Windows+Pause/Break - a v okně Vlastnosti systému - karta Obnovení systému zaškrtnout okénko Vypnout nástroj obnovení systému na všech jednotkách

Restartuj do nouzového režimu, odpoj se od internetu - nejlépe i kabel z síťovky nebo modemu a nespouštěj žádný browser. Tohle si raději vytiskni, nebo ulož na plochu v Notepadu.

Spustíš SmitFraudFix - objeví se modrá obrazovka aplikace a stiskneš volbu 2.
Nechej proskenovat počítač.
Pokud budeš dotázán, zda povolíš čištění registrů (Do you want to clean the registry ?), stiskni klávesu Y (pozor na záměnu Y a Z na klávesnici)
Pokud budeš dotázán na odstranění zavirovaných souborů z počítače (Replace infected file ?), stiskneš opět klávesu Y.

Zavři SmitFraudFix, spusť znovu HijackThis a zaškrtni v něm okénka před řádky:

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - E:\WINDOWS\se_spoof.dll = šmejd
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - E:\WINDOWS\system32\ati2evxxv.dll - tenhle fixni až podle toho, jaký bude výsledek na Jottiscanu.
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [yaemu.exe] E:\WINDOWS\system32\yaemu.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Trust Cleaner] E:\Program Files\Trust Cleaner\TrustCleaner.exe
O4 - Global Startup: ImageFox.lnk = ?

Tyhle tři řádky fixni za předpokladu, že to NEJSOU IP adresy tvého poskytovatele (ale čísla ukazují na Ukrajinu, stejně jako u Matase:

O17 - HKLM\System\CCS\Services\Tcpip\..\{30746A4B-E720-48B4-8F73-B49F25DA52DD}: NameServer =
85.255.115.52,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{37D1E606-778D-4A81-8461-840DC9621068}: NameServer =85.255.115.52,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{43B95B0D-B90E-489E-A33D-53823C8A3C4B}: NameServer =85.255.115.52,85.255.112.85

po zaškrtnutí všeho klikni na FixChecked. Potom najdi na disku ty červeně označené soubory a vymaž je. Nastav si v Možnostech složky zobrazování skrytých a systémových souborů, abys je lépe nalezl.

Spusť Ccleaner a dej vyčistit windows, aplikace i registry. Potom nakoukni do složek Temp a Temporary Internet Files ve všech profilech Documents and Settings a Windows, jestli jsou prázdné a vysyp koš. Projdi komp Avastem a co najde smaž. Potom restartuj do normálu a dej nový log na kontrolu.

Bude taky vhodné udělat log z MWAVu podle návodu, co mám v podpisu, a dát jej sem.

jaymz
nováček
Příspěvky: 3
Registrován: červenec 06
Pohlaví: Nespecifikováno
Stav:
Offline

problem s plochou

Příspěvekod jaymz » 15 črc 2006 15:53

problem s trojanom 32 sa mi teraz nezobrazuje - nechal som urobit este pred tvojou radou scan avastom pred spustenim windowsu a naslo mi tie rzspy.exe a idownload.exe a ine subory infikovane tymto virusom a teraz mi hlasenia uz nevypisuje. ALE mam iny problem - napisalo mi, ze naslo nejaky spyware. Na ploche mi zacalo blikat spyware, urobil som scany ad-awarom aj spybotom, co som nasiel som vymazal, ale teraz mam bielu plochu, ktora obcas blika na bezovo. CO MAM TERAZ ROBIT?

Ak na nu kliknem pravym tlacitkom, pise mi tam desktop.html.

Okrem toho ako sa mam dostat do nudzoveho rezimu ked mne to cez F8 nefunguje?

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 15 črc 2006 18:03

Vyzkoušej to přes msconfig - Diagnostické spuštění.


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 14 hostů