Prosím o kontrolu LOGU HijackThis + MWAV

[Pajda.]

PC : Krátce po spuštění se objeví hlášení "V aplikaci Generic Host proces for win32 services došlo k problému a je třeba ji zavřít " (ohlásit problém Micrisoftu ....... odeslat zprávu o chybách..... neodesílat)
Pokud dám neodesílat objeví se hlášení že se provede se restart do 1 minuty a odpočítává.
Pokud potvrdím neodesílat tak se provede retart sám do cca 6minut.

Před spuštěním logátorů proveden úklid smetí.
Tady je log z HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13:46:33, on 12.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\Tata\Plocha\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61005
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=61005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {50E43D86-A74D-11D0-98CE-004005249458} (AnimatedGif Control) - https://www.mojebanka.cz/jars/confwiz/MVSGif.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS4\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O17 - HKLM\System\CS5\Services\Tcpip\..\{0A4912FF-A4D6-4C18-BA59-0D0C8EDFD6F5}: NameServer = 77.48.100.254,77.48.254.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - (no file)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Program Files\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe


a tady z MWAV
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mirar Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "remacc.multiwebsurv Generic Malware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\system32\efvqakj je infikovaný virem Trojan.Win32.Patched.bb !! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\system32\mfipp je infikovaný virem Trojan.Win32.Patched.bb !! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\system32\rgtd je infikovaný virem Trojan.Win32.Patched.bb !! Provedené akce: Nic nebylo provedeno.

Pokoušel jsem se tři uvedené soubory odmazat pomocí killboxu ale marně.
Předem díky.

[Reklama]

[memphisto]

tvůj problém to asi nevyřeší, ale běží ti rezidentně dva antiviry. Avast a WinClamAV (rezidentní štít Spyware Terminátora). Ten u ST vypni a doinstaluj firewall. jinak v logu jsem si nevšiml ničeho špatného jen dwwin.exe je proces Doctora Watsona, který kontroluje a opravuje chyby. To bude asi souviset s tvým problémem.
v logu můžeš fixnout:
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

[Baron Prášil]

vítám na PC-HELP

udělej co píše memphisto+nainstaluj tuto záplatu KB921883

[Pajda.]

Díky za přivítání na fóru.
Tak jsem udělal vše: záplata instalována, spyware terminator odinstalován, fixnuta položka.
Výsledek pořád stejný. Zasílám sken obrazovky. Problém je v tom že restart je rychlejší nežli dokončí scan MWAV, tak nevím zdali je v logu vše. Kopíroval jsem jen věci do doby než to restartlo.
BTW tento problém se vyskytuje i v nouzáku.

[Baron Prášil]

nainstaloval jsi ten firewall?

jakmile naskočí ten odpočet,tak ho zkus zastavit tak,
že napíšeš nebo zkopíruješ do Spustit... shutdown -a a enter

jinak,tenhle problém se docela blbě dohledává,připrav se na to

a rovnou teda udělej combofix,pokud se ti nepodaří dodělat ten mwav

Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log, který se ti zobrazí, jinak ho najdeš zde: C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Pajda.]

Firewal jsem doposud neinstaloval. PC není připojen k netu. Ale samosebou doinstaluju.

Shutdown -a funguje ... taky mne mohlo napadnout
Přikládám teď již kompletní log z MWAV a dále z combofixu

Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mirar Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "remacc.multiwebsurv Generic Malware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".dbk". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" odkazuje na neplatný objekt "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1". Provedené akce: Nic nebylo provedeno

-------------------------------------------------------------------------------------------------------------------
ComboFix 08-02-12.1 - Tata 2008-02-13 12:21:03.6 - NTFSx86

Running from: C:\Documents and Settings\Tata\Plocha\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((( Files Created from 2008-01-13 to 2008-02-13 )))))))))))))))))))))))))))))))
.

2008-02-13 12:13 . 2008-02-13 12:13 0 --a------ C:\23990098.$$$
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-02-13 10:29 . 2008-02-13 10:29 <DIR> d-------- C:\VundoFix Backups
2008-02-13 09:28 . 2008-02-13 09:28 <DIR> d-------- C:\WINDOWS\$hf_mig$
2008-02-12 13:03 . 2008-02-12 13:04 75,172 --a------ C:\zaloha registru.reg
2008-02-12 12:58 . 2008-02-13 10:28 <DIR> d-------- C:\Program Files\CCleaner
2008-02-12 07:38 . 2008-02-13 12:06 26 --a------ C:\WINDOWS\Lic.xxx
2008-02-12 07:37 . 2004-08-17 14:49 147,968 --a------ C:\WINDOWS\R.COM
2008-02-12 07:37 . 2004-08-17 14:49 137,216 --a------ C:\WINDOWS\system32\T.COM
2008-02-07 19:52 . 2008-02-07 19:52 16,896 --a------ C:\Documents and Settings\Tata\winagpl.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-13 10:48 --------- d-----w C:\Program Files\TrojanHunter 5.0
2008-02-13 10:37 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\Spybot - Search & Destroy
2008-02-07 22:05 25,984 ----a-w C:\WINDOWS\system32\drivers\Dkq30.sys
2008-01-04 11:56 --------- d-----w C:\Program Files\Mv2Player
2007-12-25 14:13 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-12-25 14:13 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-12-25 12:53 --------- d-----w C:\Program Files\PDG 4
2007-12-25 12:44 --------- d---a-w C:\Documents and Settings\All Users\Data aplikací\TEMP
2007-12-25 12:01 501 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2007-12-25 11:57 --------- d-----w C:\Documents and Settings\Tata\Data aplikací\Simply Super Software
2007-12-16 20:20 --------- d-----w C:\Documents and Settings\Tata\Data aplikací\Skype
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-11-22 14:49 16,384 ----a-w C:\Documents and Settings\Tata\1.exe
2007-11-17 20:21 1,952,256 ---ha-w C:\WINDOWS\system32\BIT51.tmp
2007-08-28 15:52 17,144 ----a-w C:\Documents and Settings\Tata\Data aplikací\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\cftmon.exe


.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-13 12:22:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-02-13 12:23:21
ComboFix-quarantined-files.txt 2008-02-13 11:22:59


Toť vše.

[Baron Prášil]

ty si asi myslíš,že mi jsme věštci.když nejsi na netu,tak jak víš,že máš všechny aktualizace?
jak dlouho je ten problém?
po nějaký instalaci?
Stáhni si Suspicious File Packer
Rozbal ho a spusť ho (soubor sfp.exe)
Do okna které se ti zobrazí zkopíruj a vlož tento tučně označený text:

C:\Documents and Settings\Tata\winagpl.exe
C:\WINDOWS\system32\drivers\Dkq30.sys
C:\Documents and Settings\Tata\1.exe
C:\WINDOWS\system32\BIT51.tmp

pak klikni na tlačítko Continue
Program se ti přepne do druhého okna Step2: Create archive
Zavři program.
Na ploše se ti vytvoří soubor requested-files[2007-07-30_HH_MM].cab (místo 2007-07-30 budeš mít aktuální datum a kde HH - hodina a MM minuty)

Pokud se ti daný soubor vytvoří zabal ho např. do zipu a vlož ho ke svému příspěvku jako přílohu.

Poznámka: Je možné že už dané soubory nebudeš mít na disku, takže se ti nemusí vytvořit archiv.

[Pajda.]

Špatně jsem napsal že nejsem na netu. Správně jsem měl uvést momentálně nejsem na netu. Vše píšu z jiného PC. Mám zásadu, pokud je nějaký problém odpojím od netu abych eliminoval možnost reinfekce a teprve pak léčím. Jinak aktualizace by měly byt ok. Ono to Pc je mého staršího kolegy, který již vzdal nějaká fóra a raději to svěřil mě protože je s ním daleko větší práce než se mnou.

Soubor nejde odeslat jeho velikost je 1.9MB, povoleno je 0.512MB.
Kam ti ho mám poslat?

[Baron Prášil]

neposílej mi ho.já sem myslel,že ten komp je bez netu.
nech ty řádky zkontrolovat tady http://www.virustotal.com/flash/index_en.html