Prosím o kontrolu logu

[RakeW]

Předesílám, že jsem v tomhle absolutní zelenáč. Přítelkyně mi donesla komp, že jí nejde zapnout. Není to tak dávno, co měl její disk vadný boot sector, takže jsem myslel, že se to opět stalo. Když jsem ale počítač zapojil, normálně se rozjel. Nevím, v čem byl (je?) problém, ale rozhodl jsem se, že to aspoň trochu vyčistím. Takže moje HiJacková premiéra. Mohl by mi to prosím někdo zkontrolovat? Díky moc.

---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:40, on 16.4.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HP\HP Software Update\HPWUCli.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.atlas.cz/?from=icqhp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5940 bytes

[Reklama]

[fredik]

Vítej na Pc-help

Log je v pořádku, ale chybí ji tam základní zabezpečení. Takže doporučil bych ji tam doinstalovat minimálně antivir, vybrat si může např. některý zde: viewtopic.php?f=85&t=23697

Případně také, pokud je Pc připojené k internetu tak i firewall:
Můžeš si vybrat některý zde uvedený nebo některý jiný z odkazu: Přehled osobních firewallů
Firewally zdarma:
Comodo - kvalitní, pokročilý, s mnoha funkcemi, originálně v angličtině
Kerio - přehledný, větší možnosti nastavení, náročnější na systémové prostředky, v češtině
ZoneAlarm - jednoduchý, kompatibilní, nenáročný na systémové prostředky, málo možností nastavení, v angličtině + návod

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
po zaškrtnutí klikni na tlačítko Fix Checked

Pokud nutně nepotřebuje aby se ji spouštěli tyto programy při startu PC, tak by je mohla vypnout.
Winamp Agent
DAEMON Tools
obě položky se dají vypnout přímo v programech (Winamp & DAEMON Tools).

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Můžeš případně pročistit PC od dočasných souborů např. pomocí: CCleaner

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Chtělo by to o problému trochu víc informací. Jestli nešel spustit vůbec, nebo psal nějakou chybu a nenajel atd. ...
Pokud by problém přetrvával zkus si založit téma v sekci: Problémy s hardwarem a popsat tam problém + informace o Hardware Pc. Tam už ti pak poradí a řeknou víc co bude potřeba.

[RakeW]

Vřele díky za obsáhlou odpověď.

Co se týče antiviru, tak měla NOD32, ale jen (prošlou) zkušební verzi. Potom měla nějaký (nevím přesně, jaký) problém a vyřešila to právě odinstalací NODa (jak na to přišla, je mi záhadou ). Právě proto tu bylo to podezření na nějakou havěť v počítači. Ale jak říkám, po převozu se komp tvářil jakoby nic.

Bohužel už jsem jí ho zase musel vrátit, ale hned jak se k tomu dostanu, fixnu, co je potřeba, zkusím ten CCleaner a doinstaluju plnou NOD32. Ten Winamp Agent (pokud je to tray icon Winampu) a Daemon je v pořádku, obě věci používá.

Co se týče firewallu, tak nevím jestli má smysl doinstalovávat nějaký program třetí strany. Do internetu se ten komp připojuje skrz regionální wi-fi a ta je proti útokům zvenčí zajištěná. Takže by měl smysl pouze v případě, že by se jí nějakým způsobem podařilo spustit něco, co by chtělo odesílat ven, ne (případně proti útokům zevnitř sítě, ale to se mi nezdá příliš pravděpodobné)? Nestačil by na to Windows firewall se svým "povolit aplikaci odesílání dat..."? Nevím ale, jestli není to, co jsem teď napsal, úplně mimo. Každopádně já to takhle chápu . Kdyžtak mě uveď na pravou míru.

[fredik]

Můžeš pak ještě po použití CCleaneru provést kontrolu pomocí: Mwav a vložit sem pak z něho případně log.

Problém může přijít i ze sítě které je členem. Otázka je jak by si poradila s jeho nastavením. Pokud ale nepatří mezi "chronické" stahovače a nepohybuje se po různých pochybných stránkách, tak by s tím integrovaným firewallem co je v XpSP2 mohla vystačit, ale ...
Instalace FW je doporučení a je pak už jen na zvážení daného uživatele jestli tak učiní nebo ne. Jak už jsi zmínil tak integrovaný FW nekontroluje odchozí komunikaci a existují i způsoby jak ho obejít. Takže zkus nad tím pouvažovat (zvážit pro a proti) a případně tam některý nainstalovat.

[RakeW]

Díky za další rady.

Tady je ten log z Mwav:

Object "ace club casino Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ace club casino Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ace club casino Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{B691A6F4-9707-4B5C-8A1A-60C2AF6B3B47}\RP57\A0006898.exe//data0007 infected by "Trojan-Downloader.Win32.Zlob.een" Virus! Action Taken: No Action Taken.
File D:\!zaloha\Moje věci- Zuzana Vybíralová\do školy\mspass_setup.exe/mspass.exe//PE_Patch.UPX//UPX tagged as "not-a-virus:PSWTool.Win32.Messen.110". No Action Taken.

[fredik]

Log z Mwav je v pořádku, jediná potvora je v obnově systému, odstraníš to např. pomocí tohoto:
Stáhni si a spusť T-cleaner a postupuj podle instrukcí o kterých tě bude program informovat.

Případně můžeš smazat tento soubor:
D:\!zaloha\Moje věci- Zuzana Vybíralová\do školy\mspass_setup.exe