Prosím o pomoc - Critical system errors

[Rosala]

Dobrý večer,
prosím o pomoc - dle návodu jsem si stáhla hijackthis atd. zde je výsledek.

Logfile of HijackThis v1.99.1
Scan saved at 22:31:50, on 14.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ConMet523f\ConMet.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\WinRAR3_11\WinRAR.exe
C:\DOCUME~1\Rosala\LOCALS~1\Temp\Rar$EX00.390\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ConMet] C:\Program Files\ConMet523f\ConMet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealOne Player\realplay.exe" /RunUPGToolCommandReBoot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C209E9D-F18F-4707-A9E5-62FC557A1B86}: NameServer = 194.228.41.65 194.228.41.113
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

[Reklama]

[Baron Prášil]

nainstaluj firewall!
vybrat si můžeš třeba tady
http://viry.cz/forum/viewtopic.php?t=65 ... b226c523ee

fixni(zatrhni políčko vlevo a klik na Fix Checked)
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
červenej soubor smaž killboxem
http://www.bleepingcomputer.com/files/s ... illBox.zip
rozbal,spust a do okýnka zkopíruj tučné
C:\WINDOWS\system32\jbtazy.dll
zaškrtni Delete on Reboot a Unregister .dll Before Deleting
a klikni na křížek.stroj pude do restartu

potom pošli ještě jeden log pro kontrolu

[Rosala]

Snad jsem vše udělala jak jsem měla. Horší je, že mi Firewall hlásí že číslo vytáčené linky bylo změněno... Co s tím? Poradíš ještě? Díky předem.
Pro kontrolu:

Logfile of HijackThis v1.99.1
Scan saved at 1:11:12, on 15.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ConMet523f\ConMet.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\WinRAR3_11\WinRAR.exe
C:\DOCUME~1\Rosala\LOCALS~1\Temp\Rar$EX00.096\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ConMet] C:\Program Files\ConMet523f\ConMet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealOne Player\realplay.exe" /RunUPGToolCommandReBoot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

[Baron Prášil]

ale ty máš dsl a ne telefon,ne?
co přesně to kerio hlásí?

[Rosala]

Přesně mi to hlásí (když jsem připojená):
UPOZORNĚNÍ: telef.č.vytáčené linky nebo IP adresa VPN serveru mohly být zfalšovány komponentou ActiveX. Tyto komponenty mohou změnit nastavení připojení tak, aby se počítač připojoval k jinému serveru (např. tzv."žluté linky"). Ke změnám mohlo dojít i bez vašeho souhlasu. Pod tím je Telefonní číslo vytáčené linky bylo změněno. Tel.číslo: adsl Adaptér: Internet ADSL Povolíte připojení na toto telefonní číslo? A dole jsou butonky ano pokračovat nebo ne zavěsit. Vždy když odešlu odpověď dám ne, zavěsit a pak se holt připojím znovu - a hledám odpověď od Tebe.
Zkus prosím pomoct. Budu moc vděčná.
Zkusila jsem i znovu nastavit v připojení ADSL linky bránu Firewall - vždy to chce restart a po restartu je brána opět vypnutá..
Předem moc děkuji za odpověď.

[mijaja]

Jestli tam máš něco, co ti neustále mění nastavení, budeš muset udělat totální očistu kompu. V podpisu mám návod na skener MWAV i s linkem na něj. Vygeneruj z něj log a po úpravě ho dej sem. Stáhni si Rootkit Revealer a nechej rovněž proskenovat komp. Log z něj dej taky sem.

[Rosala]

Zdravím - po tuhém boji:
Rootkit log:
HKLM\S-1-5-21-725345543-436374069-842925246-1003\RemoteAccess\InternetProfile 22.4.2003 9:21 5 bytes Data mismatch between Windows API and raw hive data.

MWAV log:
Wed Nov 15 19:38:34 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Wed Nov 15 19:38:43 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.

Wed Nov 15 19:40:45 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\q9abcdex\owastyle[1].css
Wed Nov 15 19:40:45 2006 => System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: No Action Taken.

Wed Nov 15 19:40:49 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69ipwb4z\style30[1].css
Wed Nov 15 19:40:49 2006 => System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: No Action Taken.


Wed Nov 15 19:40:57 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owacolors[1].css
Wed Nov 15 19:40:57 2006 => System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: No Action Taken.

Wed Nov 15 19:40:57 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owastyle[1].css
Wed Nov 15 19:40:57 2006 => System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: No Action Taken.

Wed Nov 15 19:40:58 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69qtsls3\style30[1].css
Wed Nov 15 19:40:58 2006 => System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: No Action Taken.

Wed Nov 15 19:41:00 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\kd6z8163\owacolors[1].css
Wed Nov 15 19:41:00 2006 => System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: No Action Taken.

Závěrečný odstavec logu:
Wed Nov 15 20:33:19 2006 => ***** Scanning complete. *****
Wed Nov 15 20:33:19 2006 => Total Objects Scanned: 55331
Wed Nov 15 20:33:19 2006 => Total Critical Objects: 19
Wed Nov 15 20:33:19 2006 => Total Disinfected Objects: 0
Wed Nov 15 20:33:19 2006 => Total Objects Renamed: 0
Wed Nov 15 20:33:19 2006 => Total Deleted Objects: 0
Wed Nov 15 20:33:19 2006 => Total Errors: 43
Wed Nov 15 20:33:19 2006 => Time Elapsed: 01:00:40
Wed Nov 15 20:33:20 2006 => Virus Database Date: 11/10/2006
Wed Nov 15 20:33:20 2006 => Virus Database Count: 239678

Wed Nov 15 20:33:20 2006 => Scan Completed.

Nevím jestli je to tak správně, nikdy jsem takhle nespolupracovala přes net.
Ale díky za trpělivost. Čekám na odpověď. Jo a jen malý dotaz, mám se
připravit na šílený účet za ADSL?

[sakiri]

pročisti si PC CCleanerem

poté až to pročistíš tak se podívej jestli tam jsou ty červeně označené soubory pokud ano tak je vymaž:
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\q9abcdex\owastyle[1].css

C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69ipwb4z\style30[1].css

C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owacolors[1].css

C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owastyle[1].css

C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69qtsls3\style30[1].css

C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\kd6z8163\owacolors[1].css

jinak tam máš napsaný Total Critical Objects: 19 tak sem zkopíruj těch zbylých 12

[Rosala]

Zdravím, mezitím jsem ccleanrem vyčistila komp takže total critical objects jsou 3. Zde je opakovaný log z MWAV:


Thu Nov 16 10:35:27 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-aware 6 Personal". Action Taken: No Action Taken.
Thu Nov 16 10:37:32 2006 => Scanning File C:\WINDOWS\system32\netware.drv
Thu Nov 16 10:40:08 2006 => Scanning File C:\DOCUME~1\Rosala\LOCALS~1\Temp\Spyware.sdb
Thu Nov 16 10:25:23 2006 => Scanning File C:\DOCUME~1\Rosala\LOCALS~1\Temp\virus.avi
Thu Nov 16 10:32:21 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Thu Nov 16 10:32:31 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.
Thu Nov 16 10:40:08 2006 => Scanning File C:\DOCUME~1\Rosala\LOCALS~1\Temp\virus.avi

Thu Nov 16 10:40:10 2006 => ***** Scanning complete. *****

Thu Nov 16 10:40:10 2006 => Total Objects Scanned: 20869
Thu Nov 16 10:40:10 2006 => Total Critical Objects: 3
Thu Nov 16 10:40:10 2006 => Total Disinfected Objects: 0
Thu Nov 16 10:40:10 2006 => Total Objects Renamed: 0
Thu Nov 16 10:40:10 2006 => Total Deleted Objects: 0
Thu Nov 16 10:40:10 2006 => Total Errors: 44
Thu Nov 16 10:40:10 2006 => Time Elapsed: 00:14:07
Thu Nov 16 10:40:10 2006 => Virus Database Date: 11/10/2006
Thu Nov 16 10:40:10 2006 => Virus Database Count: 239678

Thu Nov 16 10:40:10 2006 => Scan Completed.

Po restartu se mi objevilo okno upozornění od centra zabezpečení: V zájmu ochrany počítače bránou Firewall systému Windows zablokovala některé systémy.. atd. (ta v té době nebyla po restartu zapnuta)
Ptá se jestli chci tento program nadále blokovat - a napíše mi tam že se jedná o program Sunbelt Kerio Firewall GUI. A volbu blokovat, odblokovat a později.

Zbavím se toho někdy? Prosím!! Pomohla by totání reinstalace Win XP?

[mijaja]

V centru zabezpečení nechej odblokovat to Kerio a jakmile najede, tak wokenní firewall vypni. No a co se toho logu RootkitRevealeru týká, tak to je v pořádku, rootkita tam nemáš, v tom mwavu jsou nálezy ještě 3, ale bylo by lepší ten log zabalit do zipu a poslat mi jej na mail (v podpisu) já ti jej přeberu, protože teď jsi tam našla jen jeden šmejd (ty zbývající řádky jsou v pořádku) a stále dva chybí.

Totální reinstal je až poslední řešení.

[mijaja]

Takže tady máš výsledek:

Thu Nov 16 19:26:05 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Thu Nov 16 19:26:21 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.

Thu Nov 16 19:28:33 2006 => Offending file found: C:\Documents and Settings\All Users\Nabídka Start\online security guide.url
Thu Nov 16 19:28:33 2006 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: No Action Taken.

Thu Nov 16 19:28:33 2006 => Offending file found: C:\Documents and Settings\All Users\Nabídka Start\security troubleshooting.url
Thu Nov 16 19:28:33 2006 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: No Action Taken.

A řešení takhle:

Tyhle soubory najdi a smaž -
C:\Documents and Settings\All Users\Nabídka Start\online security guide.url
C:\Documents and Settings\All Users\Nabídka Start\security troubleshooting.url


Tento klíč musíš najít v registru systému:

dej: Nabídka Start>>Spustit- do okénka napiš regedit a zmáčkni Entern nebo OK. V editoru registrů vyhledej tento klíč:

HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!

a v něm v pravém okně tuto hodnotu virusbursters a smaž ten řádek

[Rosala]

Soubory jsem smazala i v regeditu jsem smázla ty hodnoty.
Tím je trojan venku?

Jestli ano, jsem dlužník. Fakt díky moc za ochotu a pomoc.