Dobrý večer,
prosím o pomoc - dle návodu jsem si stáhla hijackthis atd. zde je výsledek.
Logfile of HijackThis v1.99.1
Scan saved at 22:31:50, on 14.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ConMet523f\ConMet.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\WinRAR3_11\WinRAR.exe
C:\DOCUME~1\Rosala\LOCALS~1\Temp\Rar$EX00.390\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ConMet] C:\Program Files\ConMet523f\ConMet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealOne Player\realplay.exe" /RunUPGToolCommandReBoot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C209E9D-F18F-4707-A9E5-62FC557A1B86}: NameServer = 194.228.41.65 194.228.41.113
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
Prosím o pomoc - Critical system errors
- Baron Prášil
- Master Level 7
- Příspěvky: 4882
- Registrován: červen 06
- Pohlaví:
- Stav:
Offline
nainstaluj firewall!
vybrat si můžeš třeba tady
http://viry.cz/forum/viewtopic.php?t=65 ... b226c523ee
fixni(zatrhni políčko vlevo a klik na Fix Checked)
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
červenej soubor smaž killboxem
http://www.bleepingcomputer.com/files/s ... illBox.zip
rozbal,spust a do okýnka zkopíruj tučné
C:\WINDOWS\system32\jbtazy.dll
zaškrtni Delete on Reboot a Unregister .dll Before Deleting
a klikni na křížek.stroj pude do restartu
potom pošli ještě jeden log pro kontrolu
vybrat si můžeš třeba tady
http://viry.cz/forum/viewtopic.php?t=65 ... b226c523ee
fixni(zatrhni políčko vlevo a klik na Fix Checked)
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll
červenej soubor smaž killboxem
http://www.bleepingcomputer.com/files/s ... illBox.zip
rozbal,spust a do okýnka zkopíruj tučné
C:\WINDOWS\system32\jbtazy.dll
zaškrtni Delete on Reboot a Unregister .dll Before Deleting
a klikni na křížek.stroj pude do restartu
potom pošli ještě jeden log pro kontrolu
Díky za pomoc
Snad jsem vše udělala jak jsem měla. Horší je, že mi Firewall hlásí že číslo vytáčené linky bylo změněno... Co s tím? Poradíš ještě? Díky předem.
Pro kontrolu:
Logfile of HijackThis v1.99.1
Scan saved at 1:11:12, on 15.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ConMet523f\ConMet.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\WinRAR3_11\WinRAR.exe
C:\DOCUME~1\Rosala\LOCALS~1\Temp\Rar$EX00.096\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ConMet] C:\Program Files\ConMet523f\ConMet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealOne Player\realplay.exe" /RunUPGToolCommandReBoot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Pro kontrolu:
Logfile of HijackThis v1.99.1
Scan saved at 1:11:12, on 15.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ConMet523f\ConMet.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\WinRAR3_11\WinRAR.exe
C:\DOCUME~1\Rosala\LOCALS~1\Temp\Rar$EX00.096\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ConMet] C:\Program Files\ConMet523f\ConMet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealOne Player\realplay.exe" /RunUPGToolCommandReBoot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
- Baron Prášil
- Master Level 7
- Příspěvky: 4882
- Registrován: červen 06
- Pohlaví:
- Stav:
Offline
Přesně mi to hlásí (když jsem připojená):
UPOZORNĚNÍ: telef.č.vytáčené linky nebo IP adresa VPN serveru mohly být zfalšovány komponentou ActiveX. Tyto komponenty mohou změnit nastavení připojení tak, aby se počítač připojoval k jinému serveru (např. tzv."žluté linky"). Ke změnám mohlo dojít i bez vašeho souhlasu. Pod tím je Telefonní číslo vytáčené linky bylo změněno. Tel.číslo: adsl Adaptér: Internet ADSL Povolíte připojení na toto telefonní číslo? A dole jsou butonky ano pokračovat nebo ne zavěsit. Vždy když odešlu odpověď dám ne, zavěsit a pak se holt připojím znovu - a hledám odpověď od Tebe.
Zkus prosím pomoct. Budu moc vděčná.
Zkusila jsem i znovu nastavit v připojení ADSL linky bránu Firewall - vždy to chce restart a po restartu je brána opět vypnutá..
Předem moc děkuji za odpověď.
UPOZORNĚNÍ: telef.č.vytáčené linky nebo IP adresa VPN serveru mohly být zfalšovány komponentou ActiveX. Tyto komponenty mohou změnit nastavení připojení tak, aby se počítač připojoval k jinému serveru (např. tzv."žluté linky"). Ke změnám mohlo dojít i bez vašeho souhlasu. Pod tím je Telefonní číslo vytáčené linky bylo změněno. Tel.číslo: adsl Adaptér: Internet ADSL Povolíte připojení na toto telefonní číslo? A dole jsou butonky ano pokračovat nebo ne zavěsit. Vždy když odešlu odpověď dám ne, zavěsit a pak se holt připojím znovu - a hledám odpověď od Tebe.
Zkus prosím pomoct. Budu moc vděčná.
Zkusila jsem i znovu nastavit v připojení ADSL linky bránu Firewall - vždy to chce restart a po restartu je brána opět vypnutá..
Předem moc děkuji za odpověď.
- mijaja
- Tvůrce článků
-
Level 6.5
- Příspěvky: 4136
- Registrován: září 05
- Bydliště: Zlín
- Pohlaví:
- Stav:
Offline
- Kontakt:
Jestli tam máš něco, co ti neustále mění nastavení, budeš muset udělat totální očistu kompu. V podpisu mám návod na skener MWAV i s linkem na něj. Vygeneruj z něj log a po úpravě ho dej sem. Stáhni si Rootkit Revealer a nechej rovněž proskenovat komp. Log z něj dej taky sem.
Zdravím - po tuhém boji:
Rootkit log:
HKLM\S-1-5-21-725345543-436374069-842925246-1003\RemoteAccess\InternetProfile 22.4.2003 9:21 5 bytes Data mismatch between Windows API and raw hive data.
MWAV log:
Wed Nov 15 19:38:34 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Wed Nov 15 19:38:43 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.
Wed Nov 15 19:40:45 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\q9abcdex\owastyle[1].css
Wed Nov 15 19:40:45 2006 => System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:40:49 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69ipwb4z\style30[1].css
Wed Nov 15 19:40:49 2006 => System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:40:57 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owacolors[1].css
Wed Nov 15 19:40:57 2006 => System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:40:57 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owastyle[1].css
Wed Nov 15 19:40:57 2006 => System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:40:58 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69qtsls3\style30[1].css
Wed Nov 15 19:40:58 2006 => System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:41:00 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\kd6z8163\owacolors[1].css
Wed Nov 15 19:41:00 2006 => System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: No Action Taken.
Závěrečný odstavec logu:
Wed Nov 15 20:33:19 2006 => ***** Scanning complete. *****
Wed Nov 15 20:33:19 2006 => Total Objects Scanned: 55331
Wed Nov 15 20:33:19 2006 => Total Critical Objects: 19
Wed Nov 15 20:33:19 2006 => Total Disinfected Objects: 0
Wed Nov 15 20:33:19 2006 => Total Objects Renamed: 0
Wed Nov 15 20:33:19 2006 => Total Deleted Objects: 0
Wed Nov 15 20:33:19 2006 => Total Errors: 43
Wed Nov 15 20:33:19 2006 => Time Elapsed: 01:00:40
Wed Nov 15 20:33:20 2006 => Virus Database Date: 11/10/2006
Wed Nov 15 20:33:20 2006 => Virus Database Count: 239678
Wed Nov 15 20:33:20 2006 => Scan Completed.
Nevím jestli je to tak správně, nikdy jsem takhle nespolupracovala přes net.
Ale díky za trpělivost. Čekám na odpověď. Jo a jen malý dotaz, mám se
připravit na šílený účet za ADSL?
Rootkit log:
HKLM\S-1-5-21-725345543-436374069-842925246-1003\RemoteAccess\InternetProfile 22.4.2003 9:21 5 bytes Data mismatch between Windows API and raw hive data.
MWAV log:
Wed Nov 15 19:38:34 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Wed Nov 15 19:38:43 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.
Wed Nov 15 19:40:45 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\q9abcdex\owastyle[1].css
Wed Nov 15 19:40:45 2006 => System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:40:49 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69ipwb4z\style30[1].css
Wed Nov 15 19:40:49 2006 => System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:40:57 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owacolors[1].css
Wed Nov 15 19:40:57 2006 => System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:40:57 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owastyle[1].css
Wed Nov 15 19:40:57 2006 => System found infected with whenu.savenow Spyware/Adware (owastyle[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:40:58 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69qtsls3\style30[1].css
Wed Nov 15 19:40:58 2006 => System found infected with whenu.savenow Spyware/Adware (style30[1].css)! Action taken: No Action Taken.
Wed Nov 15 19:41:00 2006 => Offending file found: C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\kd6z8163\owacolors[1].css
Wed Nov 15 19:41:00 2006 => System found infected with whenu.savenow Spyware/Adware (owacolors[1].css)! Action taken: No Action Taken.
Závěrečný odstavec logu:
Wed Nov 15 20:33:19 2006 => ***** Scanning complete. *****
Wed Nov 15 20:33:19 2006 => Total Objects Scanned: 55331
Wed Nov 15 20:33:19 2006 => Total Critical Objects: 19
Wed Nov 15 20:33:19 2006 => Total Disinfected Objects: 0
Wed Nov 15 20:33:19 2006 => Total Objects Renamed: 0
Wed Nov 15 20:33:19 2006 => Total Deleted Objects: 0
Wed Nov 15 20:33:19 2006 => Total Errors: 43
Wed Nov 15 20:33:19 2006 => Time Elapsed: 01:00:40
Wed Nov 15 20:33:20 2006 => Virus Database Date: 11/10/2006
Wed Nov 15 20:33:20 2006 => Virus Database Count: 239678
Wed Nov 15 20:33:20 2006 => Scan Completed.
Nevím jestli je to tak správně, nikdy jsem takhle nespolupracovala přes net.
Ale díky za trpělivost. Čekám na odpověď. Jo a jen malý dotaz, mám se
připravit na šílený účet za ADSL?
pročisti si PC CCleanerem
poté až to pročistíš tak se podívej jestli tam jsou ty červeně označené soubory pokud ano tak je vymaž:
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\q9abcdex\owastyle[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69ipwb4z\style30[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owacolors[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owastyle[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69qtsls3\style30[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\kd6z8163\owacolors[1].css
jinak tam máš napsaný Total Critical Objects: 19 tak sem zkopíruj těch zbylých 12
poté až to pročistíš tak se podívej jestli tam jsou ty červeně označené soubory pokud ano tak je vymaž:
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\q9abcdex\owastyle[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69ipwb4z\style30[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owacolors[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\k9afoxyz\owastyle[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\69qtsls3\style30[1].css
C:\Documents and Settings\Rosala\Local Settings\temporary internet files\content.ie5\kd6z8163\owacolors[1].css
jinak tam máš napsaný Total Critical Objects: 19 tak sem zkopíruj těch zbylých 12
Zdravím, mezitím jsem ccleanrem vyčistila komp takže total critical objects jsou 3. Zde je opakovaný log z MWAV:
Thu Nov 16 10:35:27 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-aware 6 Personal". Action Taken: No Action Taken.
Thu Nov 16 10:37:32 2006 => Scanning File C:\WINDOWS\system32\netware.drv
Thu Nov 16 10:40:08 2006 => Scanning File C:\DOCUME~1\Rosala\LOCALS~1\Temp\Spyware.sdb
Thu Nov 16 10:25:23 2006 => Scanning File C:\DOCUME~1\Rosala\LOCALS~1\Temp\virus.avi
Thu Nov 16 10:32:21 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Thu Nov 16 10:32:31 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.
Thu Nov 16 10:40:08 2006 => Scanning File C:\DOCUME~1\Rosala\LOCALS~1\Temp\virus.avi
Thu Nov 16 10:40:10 2006 => ***** Scanning complete. *****
Thu Nov 16 10:40:10 2006 => Total Objects Scanned: 20869
Thu Nov 16 10:40:10 2006 => Total Critical Objects: 3
Thu Nov 16 10:40:10 2006 => Total Disinfected Objects: 0
Thu Nov 16 10:40:10 2006 => Total Objects Renamed: 0
Thu Nov 16 10:40:10 2006 => Total Deleted Objects: 0
Thu Nov 16 10:40:10 2006 => Total Errors: 44
Thu Nov 16 10:40:10 2006 => Time Elapsed: 00:14:07
Thu Nov 16 10:40:10 2006 => Virus Database Date: 11/10/2006
Thu Nov 16 10:40:10 2006 => Virus Database Count: 239678
Thu Nov 16 10:40:10 2006 => Scan Completed.
Po restartu se mi objevilo okno upozornění od centra zabezpečení: V zájmu ochrany počítače bránou Firewall systému Windows zablokovala některé systémy.. atd. (ta v té době nebyla po restartu zapnuta)
Ptá se jestli chci tento program nadále blokovat - a napíše mi tam že se jedná o program Sunbelt Kerio Firewall GUI. A volbu blokovat, odblokovat a později.
Zbavím se toho někdy? Prosím!! Pomohla by totání reinstalace Win XP?
Thu Nov 16 10:35:27 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-aware 6 Personal". Action Taken: No Action Taken.
Thu Nov 16 10:37:32 2006 => Scanning File C:\WINDOWS\system32\netware.drv
Thu Nov 16 10:40:08 2006 => Scanning File C:\DOCUME~1\Rosala\LOCALS~1\Temp\Spyware.sdb
Thu Nov 16 10:25:23 2006 => Scanning File C:\DOCUME~1\Rosala\LOCALS~1\Temp\virus.avi
Thu Nov 16 10:32:21 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Thu Nov 16 10:32:31 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.
Thu Nov 16 10:40:08 2006 => Scanning File C:\DOCUME~1\Rosala\LOCALS~1\Temp\virus.avi
Thu Nov 16 10:40:10 2006 => ***** Scanning complete. *****
Thu Nov 16 10:40:10 2006 => Total Objects Scanned: 20869
Thu Nov 16 10:40:10 2006 => Total Critical Objects: 3
Thu Nov 16 10:40:10 2006 => Total Disinfected Objects: 0
Thu Nov 16 10:40:10 2006 => Total Objects Renamed: 0
Thu Nov 16 10:40:10 2006 => Total Deleted Objects: 0
Thu Nov 16 10:40:10 2006 => Total Errors: 44
Thu Nov 16 10:40:10 2006 => Time Elapsed: 00:14:07
Thu Nov 16 10:40:10 2006 => Virus Database Date: 11/10/2006
Thu Nov 16 10:40:10 2006 => Virus Database Count: 239678
Thu Nov 16 10:40:10 2006 => Scan Completed.
Po restartu se mi objevilo okno upozornění od centra zabezpečení: V zájmu ochrany počítače bránou Firewall systému Windows zablokovala některé systémy.. atd. (ta v té době nebyla po restartu zapnuta)
Ptá se jestli chci tento program nadále blokovat - a napíše mi tam že se jedná o program Sunbelt Kerio Firewall GUI. A volbu blokovat, odblokovat a později.
Zbavím se toho někdy? Prosím!! Pomohla by totání reinstalace Win XP?
- mijaja
- Tvůrce článků
-
Level 6.5
- Příspěvky: 4136
- Registrován: září 05
- Bydliště: Zlín
- Pohlaví:
- Stav:
Offline
- Kontakt:
V centru zabezpečení nechej odblokovat to Kerio a jakmile najede, tak wokenní firewall vypni. No a co se toho logu RootkitRevealeru týká, tak to je v pořádku, rootkita tam nemáš, v tom mwavu jsou nálezy ještě 3, ale bylo by lepší ten log zabalit do zipu a poslat mi jej na mail (v podpisu) já ti jej přeberu, protože teď jsi tam našla jen jeden šmejd (ty zbývající řádky jsou v pořádku) a stále dva chybí.
Totální reinstal je až poslední řešení.
Totální reinstal je až poslední řešení.
- mijaja
- Tvůrce článků
-
Level 6.5
- Příspěvky: 4136
- Registrován: září 05
- Bydliště: Zlín
- Pohlaví:
- Stav:
Offline
- Kontakt:
Takže tady máš výsledek:
Thu Nov 16 19:26:05 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Thu Nov 16 19:26:21 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.
Thu Nov 16 19:28:33 2006 => Offending file found: C:\Documents and Settings\All Users\Nabídka Start\online security guide.url
Thu Nov 16 19:28:33 2006 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: No Action Taken.
Thu Nov 16 19:28:33 2006 => Offending file found: C:\Documents and Settings\All Users\Nabídka Start\security troubleshooting.url
Thu Nov 16 19:28:33 2006 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: No Action Taken.
A řešení takhle:
Tyhle soubory najdi a smaž -
C:\Documents and Settings\All Users\Nabídka Start\online security guide.url
C:\Documents and Settings\All Users\Nabídka Start\security troubleshooting.url
Tento klíč musíš najít v registru systému:
dej: Nabídka Start>>Spustit- do okénka napiš regedit a zmáčkni Entern nebo OK. V editoru registrů vyhledej tento klíč:
HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
a v něm v pravém okně tuto hodnotu virusbursters a smaž ten řádek
Thu Nov 16 19:26:05 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Thu Nov 16 19:26:21 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.
Thu Nov 16 19:28:33 2006 => Offending file found: C:\Documents and Settings\All Users\Nabídka Start\online security guide.url
Thu Nov 16 19:28:33 2006 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: No Action Taken.
Thu Nov 16 19:28:33 2006 => Offending file found: C:\Documents and Settings\All Users\Nabídka Start\security troubleshooting.url
Thu Nov 16 19:28:33 2006 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: No Action Taken.
A řešení takhle:
Tyhle soubory najdi a smaž -
C:\Documents and Settings\All Users\Nabídka Start\online security guide.url
C:\Documents and Settings\All Users\Nabídka Start\security troubleshooting.url
Tento klíč musíš najít v registru systému:
dej: Nabídka Start>>Spustit- do okénka napiš regedit a zmáčkni Entern nebo OK. V editoru registrů vyhledej tento klíč:
HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
a v něm v pravém okně tuto hodnotu virusbursters a smaž ten řádek
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 33 hostů