POMOC s odstraněním virové nákazy

[Yelkinson]

zdary potrebuju pomoc

worm.win32.womble.a
spy.html.paylap.bg
trojan.32.agent.brk

tohle mi od rana pise comp!

co stim diky!!!

//název "POMOC" doplněn o konkrétní popis problému

//přesunuto do správné sekce

//mmm

[Reklama]

[memphisto]

v první řadě sem vlož log z HijackThis. příště zakládej topic do správné sekce. prosím o přesun

[Zeppelin]

A také by si mohl změnit název tématu na něco konkrétnějšího-třeba "Pomoc s viry" nebo tak.....

[Yelkinson]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:35:41, on 5.1.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Maxthon2\Maxthon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: BDEX System - {1AC7107A-938F-4347-864C-C51E49EC586E} - C:\WINDOWS\dxpvqlmtqn.dll
O3 - Toolbar: The ensfolr - {3723900A-B26F-40EC-B606-B7B37132B83F} - C:\WINDOWS\ensfolr.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O21 - SSODL: bklgvsf - {0C946FE9-04CD-4E2A-811A-D761F44B451E} - C:\WINDOWS\bklgvsf.dll
O21 - SSODL: ampkfst - {B71950D7-B49B-48AD-87C5-CAB265B42D34} - C:\WINDOWS\ampkfst.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

--
End of file - 2109 bytes



jo a spustil sem v nouzovym rezimu Smitfraudfix a ten vypsal toto:



SmitFraudFix v2.274

Scan done at 11:14:27,09, so 05.01.2008
Run from C:\Documents and Settings\Yelkinson\Plocha\SmitfraudFix
OS: Microsoft Windows XP [Verze 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\xpupdate.exe Deleted
C:\DOCUME~1\YELKIN~1\OBLBEN~1\Error Cleaner.url Deleted
C:\DOCUME~1\YELKIN~1\OBLBEN~1\Privacy Protector.url Deleted
C:\DOCUME~1\YELKIN~1\OBLBEN~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7121542C-E4CB-4DBB-A69F-7C282706D960}: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7121542C-E4CB-4DBB-A69F-7C282706D960}: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7121542C-E4CB-4DBB-A69F-7C282706D960}: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7121542C-E4CB-4DBB-A69F-7C282706D960}: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.46.172.36 213.46.172.37
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=213.46.172.36 213.46.172.37


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

[fredik]

Stáhni si SDFix
- Spusť ho a rozbalí se ti na disk kde je nainstalovaný Windows (typicky to je C:\SDfix)
- Pak restartuj PC do nouzového režimu (zvol možnost: Stav nouze, ne Stav nouze s práci v síti)
- Otevři adresář kde je vybalený SDFix a spusť soubor RunThis.bat tím spustíš program.
* Pak stiskni klávesu Y a pak Enter pro zahájení čistícího procesu.
* Pro dokončení kontroly budeš vyzván ke stisknoutí libovolné klávesy a počítač se restartuje.
* Při nabíhání operačního systému se program spustí znovu a dokončí čistící proces. Až se objeví Finish, budeš muset po vyzvání stisknout libovolnou klávesu, tim se ukončí program a zobrazí se ti ikony na ploše
- Když se skončí načítání ikon na ploše, otevře se ti na obrazovce log z SDFix a zároveň ho uloží do adresáře kde je rozbalený SDFix jako soubor Report.txt
Pak sem zkopíruj jeho obsah + nový log z HJT.

[Yelkinson]

sem to vlozil do te predesle odpovedi takze je to vis!
u toho hj

[fredik]

To co jsi vložil je log ze SmitFraudFix.

Použij SDFix jak jsem psal.

[Yelkinson]

tak bohuzel modra obrazovka pri tom spusteni!

stop:0x00000005 (0x829E8320,0x82bcba00,0x00000001,0x82962198)

normalne sem to spustil podle tveho navodu a hned mi tuto vyskocilo!

[Yelkinson]

co ted???

[fredik]

Stáhni si program si OTMoveIt2(by OldTimer) a ulož si ho na disk C a spusť ho.
- Do prvního levého sloupce (Past List of Files/Folders to be moved) zkopíruj tyto cesty:

Kód: Vybrat vše

C:\WINDOWS\bklgvsf.dll
C:\WINDOWS\ampkfst.dll
C:\WINDOWS\dxpvqlmtqn.dll
C:\WINDOWS\ensfolr.dll

- Do druhého levého spodního sloupce (Past List of Files/Patterns To Search For And Move) zkopíruj tyto cesty:

Kód: Vybrat vše

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AC7107A-938F-4347-864C-C51E49EC586E}
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{3723900A-B26F-40EC-B606-B7B37132B83F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\bklgvsf
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\ampkfst

- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď

************************************************************************************************************************************
Vlož sem log z OTMoveIT a nový log z HJT

[Yelkinson]

File/Folder C:\WINDOWS\bklgvsf.dll not found.
File/Folder C:\WINDOWS\ampkfst.dll not found.
C:\WINDOWS\dxpvqlmtqn.dll unregistered successfully.
C:\WINDOWS\dxpvqlmtqn.dll moved successfully.
C:\WINDOWS\ensfolr.dll unregistered successfully.
C:\WINDOWS\ensfolr.dll moved successfully.
[Manual Searches]
< HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AC7107A-938F-4347-864C-C51E49EC586E} >
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AC7107A-938F-4347-864C-C51E49EC586E}\\ not found.
< HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{3723900A-B26F-40EC-B606-B7B37132B83F} >
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{3723900A-B26F-40EC-B606-B7B37132B83F} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3723900A-B26F-40EC-B606-B7B37132B83F}\ not found.
< HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\bklgvsf >
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\bklgvsf deleted successfully.
< HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\ampkfst >
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\ampkfst deleted successfully.

OTMoveIt2 v1.0.5 log created on 01052008_131925







Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:47, on 5.1.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Maxthon2\Maxthon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\OTMoveIt2.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O21 - SSODL: ampkfst - {B075BAC4-8AE0-45DB-BD66-0C398D0C1D94} - C:\WINDOWS\ampkfst.dll (file missing)
O21 - SSODL: bklgvsf - {FC273ABA-A484-4670-8F05-8FB6D49B421C} - C:\WINDOWS\bklgvsf.dll (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

--
End of file - 2005 bytes

[fredik]

V HJT fixnti tyto položky:
O21 - SSODL: ampkfst - {B075BAC4-8AE0-45DB-BD66-0C398D0C1D94} - C:\WINDOWS\ampkfst.dll (file missing)
O21 - SSODL: bklgvsf - {FC273ABA-A484-4670-8F05-8FB6D49B421C} - C:\WINDOWS\bklgvsf.dll (file missing)

Máš ještě problémy?