Máám hodně virů

[da.backer]

Čauves ted jsem zapnul PC a AVAST mi nahlásil celkem dost virů jsou to ČERVY, DROPPER, WIN 32,HLDEWND TYHLE druhy nevíte jak je odstranit ? Dík

[Reklama]

[Rewqa]

Proste je smaz pomoci Avastu. Nebo kdyz to nepude tak do truhly.

[Baron Prášil]

no,Rewga to myslí "prostě". druhá věc je jestli to tak prostě půjde
takže pokud by si to chtěl zkusit tímto konvenčním způsobem,tak nejprve spust sken Avastem po restartu a poté kompletní sken systému-ideálně v nouzovém režimu.

když to nezabere,pošli log z hijackthis (návod v podpisu)

[da.backer]

To co vyskocilo rano tak to jsem dal do truhly ted toho tady skace snad Stovka. Je to v Windows/system32/dk/ruzne cislo a koncovka INS.

Nelze vylecit a truhla ocividne nepomaha.

V liste start je nejaky SETUP nekdy jednou nekdy dvakrat ale neni nic videt cili se neotevre zadne okno.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:14, on 28.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programy\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programy\Alwil Software\Avast4\aswUpdSv.exe
C:\Programy\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\o2flash.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programy\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Programy\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programy\RocketDock\RocketDock.exe
C:\Programy\Alwil Software\Avast4\ashDisp.exe
C:\Programy\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dwwin.exe
C:\Programy\Mozilla Firefox 3 Beta 3\firefox.exe
C:\Programy\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Program Files\Burn4Free Toolbar\v3.3.0.0\Burn4Free_Toolbar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programy\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Program Files\Burn4Free Toolbar\v3.3.0.0\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programy\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Avast] C:\\Programy\\Alwil Software\\Avast4\\ashDisp.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programy\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\Programy\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programy\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programy\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programy\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programy\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programy\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programy\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programy\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programy\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programy\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\System32\o2flash.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6274 bytes

[Baron Prášil]

v logu nic nevidím

zamysli se,jestli jsi před tím,co to začalo,něco neinstaloval.

ale v každém případě nainstaluj firewall
vyber si tady,doporučuju ZoneAlarm,Comodo nebo Ashampoo
návod na ZA http://www.kn.vutbr.cz/docs/conf/zonealarm/
na comodo http://www.nforce.cz/modules.php?name=N ... cle&sid=18
Ashampoo Firewall free + čeština

a nainstaluj též antispyware
Spyware Terminator nebo Spybot S&D
návod na ST http://www.viry.cz/forum/viewtopic.php?t=44730
návod na Spybot http://www.jaknato.com/index.php?clanek ... tne-slouzi
aktualizuj ho a proskenuj komp

a udělej sken MWAVem podle návodu v podpisu a pošli z něho log.

po instalaci těch doporučených softů můžeš poslat log z hijackthis -uvidíme jestli jsme něco nepodráždili.

[Rewqa]

Jestli ti tam toho skace stovka nebylo by lepsi preinstalovat system?

[Baron Prášil]

ok, Rewga už to s tebou pořeší !! a já se pujdu bavit.pátek

[Rewqa]

Tak ted nevim jestli si ze me delas srandu nebo jestli to myslis vazne

[da.backer]

Bezi to 5 min a uz toho naslo 22 kritických objektu..

právě že by to bylo lepsi ale mám v pC hodne hudby atd...

[Rewqa]

To bezi Avast nebo nejakej anti spyware? Jestli tam tech viru mas fakt mega moc samozrejme by bylo lepsi to preinstalovat, ale asi je to krajni moznost.

[da.backer]

LOG z MWAW




Soubor C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe je infikovaný virem Worm.Win32.AutoRun.czg !! Provedené akce: Nic nebylo provedeno.
Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "worm.ircbot.gen Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "wareout Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "wareout Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "wareout Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "wareout Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "wareout Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "wareout Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mirar Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mediaadvantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mediaadvantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mediaadvantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mediaadvantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mediaadvantage Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\AecX.ppDSDetl.1" odkazuje na neplatný objekt "{1D1E2805-5904-9A8A-A7C9-F7D4F7486ECD}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\ezPMUtils.GameController" odkazuje na neplatný objekt "{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\spmServices.DRMClient" odkazuje na neplatný objekt "{47052E2F-3D7D-43F9-93CB-AD85D062D097}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\spmServices.NamedStrings" odkazuje na neplatný objekt "{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\spmServices.PluginWindow" odkazuje na neplatný objekt "{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".3". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".bak". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".odt". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".rlg". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".vdj". Provedené akce: Nic nebylo provedeno.
Soubor C:\DOCUME~1\Thief\LOCALS~1\TEMPOR~1\Content.IE5\6PZ9JKUM\ddram[1].exe//lam2.exe indentifikován jako "not-a-virus:PSWTool.Win32.PassView.162". Nic nebylo provedeno.
Soubor C:\DOCUME~1\Thief\LOCALS~1\TEMPOR~1\Content.IE5\6PZ9JKUM\ddram[2].exe//lam2.exe indentifikován jako "not-a-virus:Client-IRC.Win32.mIRC.603". Nic nebylo provedeno.
Soubor C:\DOCUME~1\Thief\LOCALS~1\TEMPOR~1\Content.IE5\CZ9ST34W\ims2[1].exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\DOCUME~1\Thief\LOCALS~1\TEMPOR~1\Content.IE5\CZ9ST34W\ise[1].exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Documents and Settings\Thief\Local Settings\Temporary Internet Files\Content.IE5\6PZ9JKUM\ddram[1].exe//lam2.exe indentifikován jako "not-a-virus:PSWTool.Win32.PassView.162". Nic nebylo provedeno.
Soubor C:\Documents and Settings\Thief\Local Settings\Temporary Internet Files\Content.IE5\6PZ9JKUM\ddram[2].exe//lam2.exe indentifikován jako "not-a-virus:Client-IRC.Win32.mIRC.603". Nic nebylo provedeno.
Soubor C:\Documents and Settings\Thief\Local Settings\Temporary Internet Files\Content.IE5\CZ9ST34W\ims2[1].exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\Documents and Settings\Thief\Local Settings\Temporary Internet Files\Content.IE5\CZ9ST34W\ise[1].exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\dream.exe//lam2.exe indentifikován jako "not-a-virus:Client-IRC.Win32.mIRC.603". Nic nebylo provedeno.
Soubor C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe je infikovaný virem Worm.Win32.AutoRun.czg !! Provedené akce: Nic nebylo provedeno.
Soubor C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\sys.exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP25\A0004566.exe indentifikován jako "not-a-virus:AdTool.Win32.WhenU.t". Provedené akce: Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP36\A0007134.dll indentifikován jako "not-a-virus:AdTool.Win32.WhenU.r". Provedené akce: Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP53\A0015883.exe je infikovaný virem Worm.Win32.AutoRun.czg !! Provedené akce: Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP55\A0016011.exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP56\A0018356.exe je infikovaný virem Worm.Win32.AutoRun.czg !! Provedené akce: Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP56\A0018419.exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP56\A0018420.exe je infikovaný virem Worm.Win32.AutoRun.dcm !! Provedené akce: Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP56\A0018451.exe//lam2.exe indentifikován jako "not-a-virus:Client-IRC.Win32.mIRC.603". Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP56\A0018457.exe indentifikován jako "not-a-virus:NetTool.Win32.Sniffer.c". Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP56\A0018460.exe//UPX indentifikován jako "not-a-virus:PSWTool.Win32.PassView.162". Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP56\A0018468.exe indentifikován jako "not-a-virus:NetTool.Win32.Sniffer.c". Nic nebylo provedeno.
Soubor C:\System Volume Information\_restore{D17A5953-6E27-4B26-AAC8-1514A82B20C7}\RP56\A0018469.exe//UPX indentifikován jako "not-a-virus:PSWTool.Win32.PassView.162". Nic nebylo provedeno.
Soubor C:\WINDOWS\system32\dk\lam2.exe indentifikován jako "not-a-virus:NetTool.Win32.Sniffer.c". Nic nebylo provedeno.
Soubor C:\WINDOWS\system32\dk\lam5.exe//UPX indentifikován jako "not-a-virus:PSWTool.Win32.PassView.162". Nic nebylo provedeno.

[Argoneus]

no fuj.... sice tam toho je dost ale půlka z toho sou kraviny, takže nejdřív to projeď CCleanerem a pak pošli nový log MWAV