Log z HJT, prosím o kontrolu Vyřešeno

[Knoll Jaroslav]

Prosím o kontrolu logu, sekl se mi komp, najela modrá smrt. Vybral sem sice nějaký balast ale....furt to není ono


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:30, on 4.6.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Documents and Settings\Telefony1\Plocha\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.atlas.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://msn.atlas.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1029,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://msn.atlas.cz
O14 - IERESET.INF: MS_START_PAGE_URL=http://msn.atlas.cz
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2plxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O24 - Desktop Component 0: (no name) - E:\Waterfall.gif
O24 - Desktop Component 1: (no name) - file:///E:/Waterfall.gif

--
End of file - 4722 bytes


Díky moc

[Reklama]

[zlobyl]

V HJT fixni:

Kód: Vybrat vše

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

Aktualizuj si Javu:

1. Najdi si na té stránce položku Java Runtime Environment (JRE) 6 Update 6 a klikni u ní na tlačítko Download.
2. Na následující stránce zvol platformu Windows a zaškrtni políčko u I agree to the Java SE Runtime Environment 6 License Agreement.
3. Tlačítkem Continue se dostaneš na stránku pro stažení.
4. Klikni na odkaz pod Windows Offline Instalation jre-6u6-windows-i586-p.exe a stáhni si soubor do PC.
5. Zavři všechny prohlížeče a přes Start-Ovládací panely-Přidat nebo odebrat programy odinstaluj všechny staré verze javy (položky se budou pravděpodobně jmenovat Java (TM)... nebo podobně)
6. Restartuj PC a nainstaluj javu ze staženého souboru.

Jinak by se nám hodil alespoň chybový kód z té modré obrazovky.

[Knoll Jaroslav]

Díky za rady, ten řádek jsem v HJT odpálil, a hodil sem i tu javu do pc. Ty kody z modrých obrazovek mám, opsal sem si je, jen sem nechtěl s nimi otravovat, když už mi nenabíhají. Nejdříve co se stalo, hrál sem hru, najednou se pc sekl a sam se rastArtnul, najelo mi toto:

***STOP:0x0000007B (0x814368B0, 0x00000006, 0x00000006, 0x00000000)
INACESIBLE_BOOT_DEVICE

Pc nereagoval na nic, tak sem ho vypnul natvrdo nemám restrt tlačítko, a odpojil flasku pokud na ní neco není a není to kvůli ní. Pc pak najel až na plochu. zadal sem avastu kontrolu po restartu a připojil flasku at se zkontroluje. Našel mi naní 2 trojany, nechal sem je strčit do truhly. Jenže po koci skenu se Pc sekl. Opět vyp/zap a najelo mi toto:

***STOP: 0x0000001E (0x00000006, 0x80548E53, 0x00000000, 0x77FBBE44)
KMODE_EXCEPTION_NOT _HANDLED
***Address 80548E53 base at 80400000, DateStamp 427b58bb-ntoskrnl.exe

Opět sem to vypnul, odpojil flasku, a najel pc behem nájezdu mi ukazoval tohle:

1782-Disk Controller Failure
Initializing Intel(r) Boot Agent versio 3.0.0.5
PXE 2.0 Build 078(WfM 2.0), RPL V2.73
The following configuration options were automatically updated:
No fixed disk present
F1: Save changes

dal sem tedy F1 a pc najel znovu a ukázal tohle:

131072 KB OK
1782-Disk Controller Failure
Initializing Intel(r) Boot Agent versio 3.0.0.5
PXE 2.0 Build 078(WfM 2.0), RPL V2.73
The following configuration options were automatically updated:
Disk 1: 10 005 MBytes
If you care running Unix, you need to configure your system using the COMPAQ Diagnostics diskette
F1: save changes

a tak sem opět dal F1 a pc najel až na plochu, vyházel jsem nějaké veci a odistaloval programy u kterých sem usoudil, že je nepotřebuju. Nechal sem to projet CCleanrem, WindowsCarem, zdefragmentoval sem disk. Pak sem zapl avast a zjistil se že ty trojáky v truhle nejsou a tak jsem tu flasku nechal projet znovu v normal modu. Našel je a já je nechal smazat. Od té doby to už najíždí jakž takž. Schválně sem ale projel pc MVAVem a ten mi našel toto na disku C:

Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Objekt "look2me Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Záznam "HKCR\SongsDB.SDBDropTarget" odkazuje na neplatný objekt "{AB97EDE4-091B-405F-83E6-9A31AD18EDAF}". Provedené akce: Nic nebylo provedeno.

Záznam "HKCR\SongsDB.SDBDropTargetRip" odkazuje na neplatný objekt "{7903D765-DA8C-4CB9-ADF2-F88D82E6BFFE}". Provedené akce: Nic nebylo provedeno.

Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt "C:\PROGRA~1\GAMESP~1\GSAPak.exe -launch". Provedené akce: Nic nebylo provedeno.

Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt "C:\Program Files\GameSpy Arcade\GSAPak.exe -launch". Provedené akce: Nic nebylo provedeno.

Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".h3c". Provedené akce: Nic nebylo provedeno.

Záznam "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" odkazuje na neplatný objekt ".h3m". Provedené akce: Nic nebylo provedeno.

a toto na disku E tedy flashce:

Soubor E:\autorun.inf je infikovaný virem Worm.Win32.VB.fi !! Provedené akce: Nic nebylo provedeno.

Skusím si stáhnout nějaké aktualizace, případně použiju jiný antivir, a antispyware

a jen tak mimochodem tady je nový log HJT po fixnutí řádku a nainstalování javy 6

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:07, on 2008-06-06
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\WINNT\System32\mdm.exe
C:\WINNT\System32\MsiExec.exe
C:\Documents and Settings\Telefony1\Plocha\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.atlas.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://msn.atlas.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1029,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://msn.atlas.cz
O14 - IERESET.INF: MS_START_PAGE_URL=http://msn.atlas.cz
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2plxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O24 - Desktop Component 0: (no name) - E:\Waterfall.gif
O24 - Desktop Component 1: (no name) - file:///E:/Waterfall.gif

--
End of file - 4804 bytes

Je to dlouhé čtení, díky za trpělivost

[zlobyl]

Log je OK.

Na té flashce je zřejmě virus, který se aktivuje pomocí Autorunu.
Doporučoval bych si z flashky přetáhnout veškerá důležitá data (při vložení flashky do PC držet klávesu Shift pro vyřazení autorunu) a potom flashdisk zformátovat.

Jinak se tedy už problém neobjevuje?

[Knoll Jaroslav]

S tou flaskou to skusím, co se týče těch modrých obrazovek to je OK, pc nabíhá docela v pohodě. Ještě se nemůžu ale zbavit těch virů na disku C:
Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Objekt "look2me Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Formátovat disk C, se mi zrovna nechce, i když mám naštestí udělanou zálohu.

[zlobyl]

To už je v pořádku-je to jen jakésy podezření na nákazu (klíče v registru které mohou souviset s nákazou)-všímej si jen položek, u kterých je uvedena i cesta ke konkrétnímu souboru.Ty tam nemáš žádné, takže je to OK.

[Knoll Jaroslav]

Díky za všechny rady, flašku jsem zformátoval a už je OK.