vir červ

[denizzz]

tak z hjt jsem smazal co si doporučil. vexplite jsem smazal. ve windows commander jsem smazal icq, to si pak znova nainstaluju. avast mi píše při startu seznam.cz tohle: jméno souboru: a script started by C:\PROGRA~1\INTERN~1\iexplore.exe
jméno vzorku: VBS:Malware-gen
typ malware: Virus/červ
verze VPS: 080723-0, 23.07.2008

tady je momentální log hjt, jestli mám něco odstranit, tak dej vědět.:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:38, on 23.7.2008
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGAMSVR.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\ULTRADVD\DVDMON.EXE
C:\PROGRAM FILES\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAM FILES\COREL\GRAPHICS9\REGISTER\REMIND32.EXE
C:\PROGRAM FILES\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAM FILES\ICQTOOLBAR\TBU2E0\TOOLBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAM FILES\ICQTOOLBAR\TBU2E0\TOOLBAR.DLL
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\SYSTEM\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WT GameChannel] C:\Program Files\WildTangent\Apps\GameChannel.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [TVPprogram] C:\Program Files\TVprogram\TVP.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [KPF4] C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRAM FILES\AHEAD\NERO BACKITUP\NBJ.EXE"
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\PROGRAM FILES\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAM FILES\ICQLITE\ICQLITE.EXE -trayboot
O4 - HKUS\.DEFAULT\..\Run: [NBJ] "C:\PROGRAM FILES\AHEAD\NERO BACKITUP\NBJ.EXE" (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [SUPERAntiSpyware] C:\PROGRAM FILES\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ICQ Lite] C:\PROGRAM FILES\ICQLITE\ICQLITE.EXE -trayboot (User 'Default user')
O4 - .DEFAULT Startup: Spuštění Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE (User 'Default user')
O4 - .DEFAULT Startup: Reminder-cor40212.lnk = C:\Program Files\Corel\Graphics9\Register\Remind32.exe (User 'Default user')
O4 - .DEFAULT Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe (User 'Default user')
O4 - Startup: Spuštění Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Reminder-cor40212.lnk = C:\Program Files\Corel\Graphics9\Register\Remind32.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: autobahn.lnk = C:\Program Files\Autobahn\autobahn.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page into English - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAM FILES\ICQTOOLBAR\TBU2E0\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O20 - Winlogon Notify: !SASWinLogon - C:\PROGRAM FILES\SUPERANTISPYWARE\SASWINLO.DLL

--
End of file - 6359 bytes

[Reklama]

[fredik]

Můžeš zkusit otestovat soubor Internet Exploreru: (C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE) zde: VirusTotal
stačí jen zkopírovat na té stránce do toho prázdného okénka celou cestu a dát odeslat. Pak sem vlož výsledek.

Sice to neřeší problém, ale můžeš zkusit používat na prohlížení webu místo IE některý z "alternativních" prohlížečů Opera nebo Firefox(verzi 2)

Dej sem pak ten log z Mwav.

[denizzz]

ahoj. tady posílám odkaz z výsledku z virus total. nevím přesně co bys odtamtud chtěl, tak se podívej. jo, mozilu jsem kdysy měl, ale z důvodu, že mám windows Me, tak se mi sekala. zkusím pak přejít na jiný.

http://www.virustotal.com/cs/analisis/6 ... 848d116cb6

z MWAV mi nenaskočilo okénko nalezen spyware/adware a vrátilo se mi to zpět na nastavení. zkusil jsem to znova a napsalo to, že databáze je aktuální.

[denizzz]

takže jsem si nainstaloval operu. mám ji jako hlavní prohlížeš a domovskou stránku mám seznam.cz. už se mi při startu seznam.cz neobjevuje avast s upozorněním. takže myslím, že tohle se vydařilo. chci se zeptat, jak mám odstranit explorer. na něm mi to pořád píše z avastu, tak už ho nechci.


při zapnutí pc mi hlásí avast, že vir je v temp/ssupdate.exe
http://www.virustotal.com/cs/analisis/c ... 07532890b1 výsledek

a tohle je z toho avastu
http://www.virustotal.com/cs/analisis/2 ... a9cda4bace

[fredik]

Ohledně toho Mwav. Když dáš kontrolu tak ti vyhodí hlášku že něco našel a když ji potvrdíš tak ti kontrola nepokračuje dál?

Ohledně toho hlášení ssupdate.exe sice je to nestandardní umístnění ale podle všeho by měl patřit k SUPERAntiSpyware. Zkus se podívat na vlastnosti toho souboru.

IE si tam nech a nepoužívej ho. Bohužel už je také problém že máš krapet postarší systém a většina nástrojů co by se dala běžně použít ho už nepodporuje.

[denizzz]

měl si pravdu. ten ssupdate patřil k superantispyware. odinstaloval jsem ho a už se mi avast s upororněním na vir v ssesupdate.exe nezobrazuje. už si mi vyřešil 3 problémy. ten s ssesupdate, iexplorer a icq. takže ti za to moc děkuju.... a teď k tomu poslednímu, k avastu. jsem si říkal, že ho asi odinstaluju a nainstaluju si ho znova nebo jiný antivir. myslíš, že je to dobrý nápad?

[denizzz]

tak už to vypadá, že je to vše, tak jak to bylo dřív. už jsem si icq nainstaloval a chyba se nezobrazuje. tak moc díky za pomoc

[fredik]

Ohledně toho Avastu, můžeš ho zkusit přeinstalovat nebo si dát místo něho nějaký jiný antivir. Nejlepší je otestovat a nechat si tam který ti bude nejvíce vyhovovat.

Nemáš za co, kdyby byl nějaký problém tak dej vědět.