Prosím o kontrolu logu

[marjano.com]

Prosím o kontrolu logu,děkuji


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:20, on 10.2.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programky\Adobe photoshop element 6.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Power Manager\PM.exe
C:\windows\system32\services.exe
C:\Programky\Adobe photoshop element 6.0\apdproxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\AnyDATA\EasyWirelessNet\EasyWirelessNet.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\msiexec.exe
c:\Programky\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {E0F2CD88-0795-4C53-A139-66C55FC5AA08} - C:\WINDOWS\System32\appmgmt.dll (file missing)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Recoveru systems] C:\WINDOWS\TEMP\svchast.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Recoveru systems] C:\WINDOWS\TEMP\svchast.exe (User 'Default user')
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &HTPE - C:\Programky\Hattrick\HTPE_IEextension\hattriX\HTPE.htm
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programky\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programky\ICQ\ICQLite\ICQLite.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/sho ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD6A729A-1087-407A-B50B-F96E75744469}: NameServer = 160.218.10.200 160.218.43.200
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O22 - SharedTaskScheduler: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O22 - SharedTaskScheduler: OpenGL additional - {8A5849C4-93F3-429D-FF34-660A2068897C} - (no file)
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programky\Adobe photoshop element 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\Documents and Settings\Master\~tmp0374.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5163 bytes

[Reklama]

[Baron Prášil]

vítám tě na fóru PC-HELP

vidim nějaký stopy lítého boje,avšak někdo přežil

spust služby - napsáním příkazu services.msc do Spustit... v nabídce START a klik na OK
najdi ieupdater zastav a typ spuštění dej na zakázáno

fixni
v okně programu HJT zaškrtni nalevo u položek co napíšu a potom klik na Fix checked
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM (toto je nějaká Argentina,neznáš-fixni)
O2 - BHO: (no name) - {E0F2CD88-0795-4C53-A139-66C55FC5AA08} - C:\WINDOWS\System32\appmgmt.dll (file missing)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKUS\S-1-5-18\..\Run: [Recoveru systems] C:\WINDOWS\TEMP\svchast.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Recoveru systems] C:\WINDOWS\TEMP\svchast.exe (User 'Default user')
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O22 - SharedTaskScheduler: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O22 - SharedTaskScheduler: OpenGL additional - {8A5849C4-93F3-429D-FF34-660A2068897C} - (no file)

použij Avenger
V hlavním dialogu je potřeba zvolit "Input script manually" a dále stisknout tlačítko s lupou. Otevře se editor, do kterého se již vkládají samotné "skripty".Skript se uvede do chodu stisknutím tlačítka se semaforem. Program se ještě zeptá, zda to myslíme vážně a následně nabídne okamžitý restart celého systému (doporučeno).
skript

Kód: Vybrat vše

Files to delete:
C:\WINDOWS\TEMP\svchast.exe
C:\Documents and Settings\Master\~tmp0374.exe

Po restartu pošli z avengera log co na tebe vybafne+nový log z hijackthis

nainstaluj firewall
vyber si tady,doporučuju ZoneAlarm nebo Comodo
návod na ZA http://www.kn.vutbr.cz/docs/conf/zonealarm/
na comodo http://www.nforce.cz/modules.php?name=N ... cle&sid=18

[marjano.com]

*******************

Script file located at: \??\C:\WINDOWS\System32\qjbpajvt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\TEMP\svchast.exe not found!
Deletion of file C:\WINDOWS\TEMP\svchast.exe failed!

Could not process line:
C:\WINDOWS\TEMP\svchast.exe
Status: 0xc0000034

toto je výpis z avengera:

File C:\Documents and Settings\Master\~tmp0374.exe not found!
Deletion of file C:\Documents and Settings\Master\~tmp0374.exe failed!

Could not process line:
C:\Documents and Settings\Master\~tmp0374.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

plus toto je nový výpis z HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:07:14, on 10.2.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programky\Adobe photoshop element 6.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\AnyDATA\EasyWirelessNet\EasyWirelessNet.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Programky\totalcmd\TOTALCMD.EXE
c:\Programky\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {E0F2CD88-0795-4C53-A139-66C55FC5AA08} - C:\WINDOWS\System32\appmgmt.dll (file missing)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &HTPE - C:\Programky\Hattrick\HTPE_IEextension\hattriX\HTPE.htm
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programky\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programky\ICQ\ICQLite\ICQLite.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/sho ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD6A729A-1087-407A-B50B-F96E75744469}: NameServer = 160.218.10.200 160.218.43.200
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programky\Adobe photoshop element 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - C:\Documents and Settings\Master\~tmp0374.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4206 bytes

bohuzel po najití ieupdateru jediné co mohu provést je kliknout pravým tl. na všechny úkoly,tam se pouze zobrazí SPUSTIt,ostatní příkazy jsou šedě označeny bez možnosti jiné volby (typ spouštění Automaticky) když kliknu na příkaz spustit,hodí to hlášku:V počítači Local computer nelze spustit službu ieupdater,chyba2:systém nemůže nalézt uvedený soubor

ten firewall jdu instalovat nyní

[Baron Prášil]

takže po instalaci firewallu pošli log z combofixu
Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log, který se ti zobrazí, jinak ho najdeš zde: C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[marjano.com]

tu je:

ComboFix 08-02.05.3 - Master 2008-02-10 17:36:12.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.1.1029.18.166 [GMT 1:00]
Running from: C:\Documents and Settings\Master\Plocha\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - system32: deleted 12 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Data aplikací\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Data aplikací\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\Master\www.google.com\favicon.ico
C:\Documents and Settings\Master\www.google.com\index.html
C:\Documents and Settings\Master\www.google.com\thank.html
C:\WINDOWS\inet20126
C:\WINDOWS\inet20126\mm.pid
C:\WINDOWS\inet20126\www.google.com\favicon.ico
C:\WINDOWS\inet20126\www.google.com\Google_files\hp0.gif
C:\WINDOWS\inet20126\www.google.com\Google_files\hp1.gif
C:\WINDOWS\inet20126\www.google.com\Google_files\hp2.gif
C:\WINDOWS\inet20126\www.google.com\Google_files\hp3.gif
C:\WINDOWS\inet20126\www.google.com\index.html
C:\WINDOWS\inet20126\www.google.com\thank.html
C:\WINDOWS\system32\drivers\etc\hosts.tim
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\rnplf12.dll
C:\WINDOWS\system32\RunOnce.t__
C:\WINDOWS\system32\RunOnce.tm_
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll

----- BITS: Possible infected sites -----

hxxp://195.238.242.23
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NPF
-------\LEGACY_NTIO256
-------\NPF
-------\ntio256


((((((((((((((((((((((((( Files Created from 2008-01-10 to 2008-02-10 )))))))))))))))))))))))))))))))
.

2008-02-10 17:04 . 2008-02-10 17:04 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-02-10 17:02 . 2008-02-10 17:25 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-02-10 09:51 . 2008-02-10 09:51 <DIR> d-------- C:\Program Files\ESET
2008-02-07 15:03 . 2004-02-01 22:54 569,368 --a------ C:\WINDOWS\system32\olelib.tlb
2008-02-07 15:03 . 2003-05-14 21:07 389,120 --a------ C:\WINDOWS\system32\actskn43.ocx
2008-02-07 15:03 . 1998-04-24 00:00 368,912 --a------ C:\WINDOWS\system32\vbar332.dll
2008-02-07 15:03 . 2003-01-26 15:48 147,456 --a------ C:\WINDOWS\system32\Vbzip11.dll
2008-02-07 15:03 . 1998-12-02 09:11 143,360 --a------ C:\WINDOWS\system32\vbuzip10.dll
2008-02-07 15:03 . 1998-06-18 00:00 32,768 --a------ C:\WINDOWS\system32\Regtool5.dll
2008-02-07 15:03 . 1999-04-17 23:36 10,752 --a------ C:\WINDOWS\system32\aamd532.dll
2008-02-07 15:03 . 2008-02-10 06:36 34 --a------ C:\WINDOWS\system32\msghdf12.ocx
2008-02-07 15:02 . 2008-02-10 08:18 <DIR> d-------- C:\Program Files\Spy Cleaner Gold Trial
2008-02-06 23:26 . 19,584 C:\WINDOWS\system32\drivers\prmirmjf.dat
2008-01-15 10:09 . 2008-01-15 10:09 <DIR> d-------- C:\WUTemp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-10 08:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-01 15:01 --------- d-----w C:\Program Files\Google
2007-12-21 07:21 33,800 ----a-w C:\WINDOWS\system32\drivers\epfwtdir.sys
2007-12-21 07:20 30,216 ----a-w C:\WINDOWS\system32\drivers\easdrv.sys
2007-12-21 07:19 39,944 ----a-w C:\WINDOWS\system32\drivers\eamon.sys
2007-12-14 21:50 --------- d-----w C:\Program Files\Java
2007-12-14 21:46 --------- d-----w C:\Program Files\GTRAN
2007-12-11 12:02 108,144 -c--a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E0F2CD88-0795-4C53-A139-66C55FC5AA08}]
C:\WINDOWS\System32\appmgmt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="C:\Programky\Firewall\ZoneAlarm\zlclient.exe" [2007-11-14 16:05 919016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"RunStartupScriptSync"= 0 (0x0)
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)
"MemCheckBoxInRunDlg"= 0 (0x0)
"NoAutoTrayNotify"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\aqvzza.exe]
C:\DOCUME~1\Master\LOCALS~1\Temp\aqvzza.exe

R3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);C:\WINDOWS\System32\DRIVERS\adusbmdm65.sys [2005-05-02 12:55]
R3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);C:\WINDOWS\System32\DRIVERS\adusbser65.sys [2005-05-02 12:55]

.
Contents of the 'Scheduled Tasks' folder
"2007-09-26 17:09:58 C:\WINDOWS\Tasks\abkcoo.job"

[Baron Prášil]

toto odinstaluj Spy Cleaner Gold Trial

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:

Kód: Vybrat vše

File::
C:\WINDOWS\System32\appmgmt.dll

Folder::
C:\Program Files\Spy Cleaner Gold Trial

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E0F2CD88-0795-4C53-A139-66C55FC5AA08}]

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť

- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu

+ toto C:\WINDOWS\system32\drivers\prmirmjf.dat
nech otestovat tady http://www.virustotal.com/flash/index_en.html
nepoužívej "Procházet" ale vlož do okna celou cestu,tučně označenou,k souboru metodou Ctrl+C > Ctrl+V

[marjano.com]

no omlouvám se za svoji neschopnost,ale pokud dám odinstalovat,hlásí mi to:Could not open INSTALL.LOG file,jak v pruvodci odebráním programů,tak i pomocí souboru uninstall

[Baron Prášil]

nevadí-vždy udělej komplet vše co poradim(nebo jinej rádce) a pošli co máš poslat a připiš u čeho byl problém a jakej.takže log z comba a výsledek z virustotal

[marjano.com]

oki,takže po vytvoření txt souboru CFScript jsem po vzoru vložil na Combofix,doposud OK,proběhl proces,který končil větou o vytváření "závěrečného logu" či té zzávěrečné zprávě,pak obrazovka zbělala a konec,čekal jsem asi 20min,ale PC nijak nereagovalo,ani kontrolka se nijak nerozsvěcovala,že by se PC obtěžovalo cosi dělat....tedy vypnutí PC při dalším startu vše naběhlo OK,Spy Cleaner Gold Trial již snad v PC není ( díval jsem se na pruvodce odinstalování) bohužel mi nevyjela žádná závěr. zpráva :( nechal jsem aspon na příslušných stránkách otestovat soubor z výše zadané cesty,výsledek:0 bytes size received / Se ha recibido un archivo vacio

[Baron Prášil]

fajn.a já sem jednoho šmejda přehlídnul

tak použij avenger

Kód: Vybrat vše

Files to delete:
C:\WINDOWS\System32\appmgmt.dll
C:\DOCUME~1\Master\LOCALS~1\Temp\aqvzza.exe
C:\WINDOWS\system32\drivers\prmirmjf.dat

Folders to delete:
C:\Program Files\Spy Cleaner Gold Trial

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\aqvzza.exe
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E0F2CD88-0795-4C53-A139-66C55FC5AA08}

Po restartu pošli z avengera log

[marjano.com]

Tu je ten log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iqrkgqfr

*******************

Script file located at: \??\C:\WINDOWS\ujhusfrn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\WINDOWS\System32\appmgmt.dll for deletion
Deletion of file C:\WINDOWS\System32\appmgmt.dll failed!

Could not process line:
C:\WINDOWS\System32\appmgmt.dll
Status: 0xc0000022



File C:\DOCUME~1\Master\LOCALS~1\Temp\aqvzza.exe not found!
Deletion of file C:\DOCUME~1\Master\LOCALS~1\Temp\aqvzza.exe failed!

Could not process line:
C:\DOCUME~1\Master\LOCALS~1\Temp\aqvzza.exe
Status: 0xc0000034



Could not open file C:\WINDOWS\system32\drivers\prmirmjf.dat for deletion
Deletion of file C:\WINDOWS\system32\drivers\prmirmjf.dat failed!

Could not process line:
C:\WINDOWS\system32\drivers\prmirmjf.dat
Status: 0xc0000022



Folder C:\Program Files\Spy Cleaner Gold Trial not found!
Deletion of folder C:\Program Files\Spy Cleaner Gold Trial failed!

Could not process line:
C:\Program Files\Spy Cleaner Gold Trial
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\aqvzza.exe deleted successfully.


Registry key HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E0F2CD88-0795-4C53-A139-66C55FC5AA08} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E0F2CD88-0795-4C53-A139-66C55FC5AA08} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[Baron Prášil]

no,alespoň jeden klíč smazanej.zajímá mě jak se chová komp a hijackthis.
před tím než vygeneruješ novej log z hijackthis,restartuj pc.