Trojan a Worm, další problém - k dořešení (fajfka neplatí) Vyřešeno

[Jožka7]

Prosím o pomoc. Začal blbnout PC, tak jsem stáhl Anti-Malware. Úplný scan odhalil:

Malwarebytes' Anti-Malware 1.36
Verze databáze: 2084
Windows 5.1.2600 Service Pack 2

6.5.2009 22:35:51
mbam-log-2009-05-06 (22-35-51).txt

Typ skenu: Úplný sken (C:\|D:\|)
Objektu skenováno: 135938
Uplynulý cas: 58 minute(s), 25 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 3

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.

Dal jsem všechny odstranit, ale nepovedlo se, prý až po restartu. Po restartu se objevila na SpyBotu hláška o změně důležité polořky v registrech právě Anti-Malware, kterou jsem zakázal.

Sejmul jsem i log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:10, on 6.5.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Jožka\Plocha\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4504354800
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 5061 bytes


A nakonec ComboFix:

ComboFix 09-05-05.05 - Jožka 06.05.2009 23:02.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.382.156 [GMT 2:00]
Spuštěný z: c:\documents and settings\Jožka\Plocha\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090506-0] *On-access scanning disabled* (Updated)
FW: Sunbelt Personal Firewall *enabled*
* Vytvořen nový Bod Obnovení
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-04-06 do 2009-05-06 )))))))))))))))))))))))))))))))
.

2009-05-06 19:31 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-06 19:31 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-06 19:31 . 2009-05-06 19:31 -------- d-----w c:\program files\Malwarebytes' Anti-Malware

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-29 21:34 . 2007-03-21 18:52 200768 ----a-w c:\windows\system32\drivers\fwdrv.err
2009-03-29 12:29 . 2001-10-25 12:00 46196 ----a-w c:\windows\system32\perfc005.dat
2009-03-29 12:29 . 2001-10-25 12:00 309990 ----a-w c:\windows\system32\perfh005.dat
2009-03-18 09:17 . 2007-03-25 15:42 1593 ----a-w c:\windows\mozver.dat
2009-02-25 13:09 . 2009-01-31 09:39 43520 ----a-w c:\windows\system32\CmdLineExt03.dll
2009-01-23 14:59 . 2008-10-11 09:09 67688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2009-01-23 14:59 . 2008-10-11 09:09 54368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2009-01-23 14:59 . 2008-10-11 09:09 34944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2009-01-23 14:59 . 2008-10-11 09:09 46712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2009-01-23 14:59 . 2008-10-11 09:09 172136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2008-07-04 333120]
"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-10-12 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQLite\\ICQLite.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\SmartFTP Client\\SmartFTP.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [4.4.2008 16:55 114768]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [26.4.2007 11:21 302000]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [26.4.2007 11:21 72624]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [4.4.2008 16:55 20560]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe [26.4.2007 11:21 1234480]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [25.10.2001 14:00 69120]
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKLM-Run-RegistryUpdate - (no file)


.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Jožka\Data aplikací\Mozilla\Firefox\Profiles\u8y7tlfc.default\
FF - prefs.js: browser.startup.homepage - hxxp://tkkati.webgarden.cz
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-06 23:11
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
Celkový čas: 2009-05-06 23:17
ComboFix-quarantined-files.txt 2009-05-06 21:17

Před spuštěním: 1 987 121 152
Po spuštění: 2 011 901 952

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

95


Co dál???

[Reklama]

[jaro3]

Log z CF po výmazech O.K.

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:

Kód: Vybrat vše

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE


ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix[mezera]/u

takže jestli nejsou problémy,tak vyčisti systém CCleanerem
a použij i T-Cleaner
smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš>spustíš

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni select all found, pak klik empty selected.
Pokud chceš zachovat svoje uložená hesla, klikni na No.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

Pokud nejsou problémy , je to vše.

[Jožka7]

Ahoj,
velmi děkuji.
Rychlý scan Anti-Malware negativní, v HJT fixnuty 2 ze 3 (následující položku se nepovedlo najít):
"R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant ="

Aktuální log zde:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:30:44, on 7.5.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Jožka\Plocha\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4504354800
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 4539 bytes

[jaro3]

Log O.K. , pokud nejsou problémy , je to vše.

[Jožka7]

O.K., ještě jednou velmi děkuji a dávám fajfku. Hezký den!

[Jožka7]

Tak se opět hlásím, vyskytly se problémy (blbne browser, nejdou aktualizovat některé programy)... dal jsem scan Mwav a pozitivní nález (relevantní část logu):

Thu May 07 09:33:49 2009 => **********************************************************
Thu May 07 09:33:49 2009 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Thu May 07 09:33:49 2009 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Thu May 07 09:33:49 2009 => **********************************************************
Thu May 07 09:33:49 2009 => Source: C:\DOCUME~1\JOKA~1\Plocha\mwav.exe
Thu May 07 09:33:49 2009 => Verze 9.1.9 (C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\mexe.com)
Thu May 07 09:33:49 2009 => Log soubor: C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\MWAV.LOG
Thu May 07 09:33:49 2009 => Datum a čas posledního testu: 07.05.2007 10:40:32
Thu May 07 09:33:49 2009 => MWAV Registered: FALSE.
Thu May 07 09:33:49 2009 => User Account: Jožka
Thu May 07 09:33:49 2009 => OS Type: Windows Workstation
Thu May 07 09:33:49 2009 => OS: Windows XP
Thu May 07 09:33:49 2009 => Ver: Service Pack 2 (Build 2600)
Thu May 07 09:33:49 2009 => Windows Root Folder: C:\WINDOWS
Thu May 07 09:33:49 2009 => Windows Sys32 Folder: C:\WINDOWS\system32
Thu May 07 09:33:49 2009 => Local Fixed Drives: c:\,d:\
Thu May 07 09:33:49 2009 => MWAV Mode: Only Scan files.
Thu May 07 09:33:50 2009 => Poslední datum souborů používaných MWAV: 04 May 2007 07:40:2.
Thu May 07 09:34:03 2009 => AV knihovna načtena...
Thu May 07 09:34:03 2009 => MWAV doing self scanning...
Thu May 07 09:34:03 2009 => Testování souboru C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\getvlist.exe
Thu May 07 09:34:04 2009 => Testování souboru C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\main.avi
Thu May 07 09:34:04 2009 => Testování souboru C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\virus.avi
Thu May 07 09:34:04 2009 => Testování souboru C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\ScanningProcess.exe
Thu May 07 09:34:04 2009 => Testování souboru C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\kave.dll
Thu May 07 09:34:04 2009 => Testování souboru C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\msvl64.dll
Thu May 07 09:34:04 2009 => Testování souboru C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\prloader.dll
Thu May 07 09:34:04 2009 => MWAV files are clean.
Thu May 07 09:34:32 2009 => Datum vydání databáze: 5/4/2007
Thu May 07 09:34:32 2009 => Verze virové databáze: 313059
Thu May 07 09:34:56 2009 => Stahování Antivirus a Antispyware databází...
Thu May 07 09:39:28 2009 => Stahování nebylo dokončeno!
Thu May 07 09:41:13 2009 => Stahování Antivirus a Antispyware databází...
Thu May 07 09:45:45 2009 => Stahování nebylo dokončeno!

Thu May 07 09:46:32 2009 => **********************************************************
Thu May 07 09:46:32 2009 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Thu May 07 09:46:32 2009 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Thu May 07 09:46:32 2009 =>
Thu May 07 09:46:32 2009 => Podpora [EN]: support@mwti.net
Thu May 07 09:46:32 2009 => Web: http://www.mwti.net
Thu May 07 09:46:32 2009 => **********************************************************
Thu May 07 09:46:32 2009 => Verze 9.1.9 (C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\mexe.com)
Thu May 07 09:46:32 2009 => Log soubor: C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\MWAV.LOG
Thu May 07 09:46:32 2009 => User Account: Jožka
Thu May 07 09:46:32 2009 => Windows Root Folder: C:\WINDOWS
Thu May 07 09:46:32 2009 => Windows Sys32 Folder: C:\WINDOWS\system32
Thu May 07 09:46:32 2009 => OS: Windows XP
Thu May 07 09:46:32 2009 => Ver: Service Pack 2 (Build 2600)
Thu May 07 09:46:34 2009 => Poslední datum souborů používaných MWAV: 04 May 2007 07:40:2.

Thu May 07 09:46:34 2009 => Nastavení vybraná uživatelem:
Thu May 07 09:46:34 2009 => Kontrola paměti: Zapnuto
Thu May 07 09:46:34 2009 => Kontorla registrů: Zapnuto
Thu May 07 09:46:34 2009 => Kontrola souborů po spuštění: Zapnuto
Thu May 07 09:46:34 2009 => Kontrola systémových složek: Zapnuto
Thu May 07 09:46:34 2009 => Kontrola systémových oblastí: Vypnuto
Thu May 07 09:46:34 2009 => Kontrola služeb: Zapnuto
Thu May 07 09:46:34 2009 => Kotrola disku: Vypnuto
Thu May 07 09:46:34 2009 => Kontrola všech disků:Zapnuto
Thu May 07 09:46:34 2009 => Kontrola složek: Zapnuto
Thu May 07 09:46:34 2009 => Vybrané složky = C:\WINDOWS

Thu May 07 09:48:41 2009 => Testování HKLM\SYSTEM\CurrentControlSet\Services\VxD

Thu May 07 09:48:41 2009 => ***** Testování registrů a souborů na přítomnost Adware/Spyware *****
Thu May 07 09:48:42 2009 => Loading Spyware Signatures from new External Database [Name: C:\DOCUME~1\JOKA~1\LOCALS~1\Temp\spydb.avs, Size: 226506].
Thu May 07 09:49:06 2009 => Indexed Spyware Databases Successfully Created...

Thu May 07 09:49:20 2009 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Thu May 07 09:49:49 2009 => Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Thu May 07 09:49:52 2009 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Thu May 07 09:49:52 2009 => Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Thu May 07 09:49:53 2009 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Thu May 07 09:49:53 2009 => Objekt "gain.gator Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Thu May 07 09:50:02 2009 => Offending Folder found: C:\Documents and Settings\Jožka\Data aplikací\icq\bart\1024
Thu May 07 09:50:02 2009 => Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

Thu May 07 09:50:04 2009 => Offending file found: C:\Documents and Settings\Jožka\Plocha\5100\program files\hewlett-packard\hp deskjet assistant\bin\components\strres.dll
Thu May 07 09:50:04 2009 => System found infected with winfixer/errorsafe Adware (strres.dll)! Action taken: Nic nebylo provedeno.

Thu May 07 10:30:40 2009 => ***** Test dokončen, kontrolu proveďte na www.viry.cz. *****

Thu May 07 10:30:40 2009 => Testovaných objektů: 64021
Thu May 07 10:30:40 2009 => Kritických objektů: 5
Thu May 07 10:30:40 2009 => Celkem vyléčených objektů: 0
Thu May 07 10:30:40 2009 => Celkem přejmenováno: 0
Thu May 07 10:30:40 2009 => Smazaných objektů: 0
Thu May 07 10:30:40 2009 => Celkem chyb: 2
Thu May 07 10:30:40 2009 => Uplynulý čas: 00:44:05
Thu May 07 10:30:40 2009 => Datum vydání databáze: 5/4/2007
Thu May 07 10:30:40 2009 => Verze virové databáze: 313059

Thu May 07 10:30:40 2009 => Test je dokončen, kontrolu lze provést na www.viry.cz.

[jaro3]

Stáhni si program OTMoveIt3 (by OldTimer) a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

:Processes
explorer.exe

:Services

:Reg

:Files

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.

Vymaž obsah této složky:
C:\DOCUME~1\JOKA~1\LOCALS~1\Temp

Stáhni si :Dr. Web CureIt
dej update , po aktualizaci dej start.
Tlacitky dole muzeš soubor léčit, smazat, přesunout nebo přejmenovat

[Jožka7]

Omlouvám se za pozdní odpověď, byl jsem pryč...
První akce provedena, log zde:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Jožka\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_614.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_79c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Jožka\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\u8y7tlfc.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Jožka\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\u8y7tlfc.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Jožka\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\u8y7tlfc.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Jožka\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\u8y7tlfc.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Jožka\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\u8y7tlfc.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05102009_142904


Následně proveden restart, výmaz Temp a odstartován Dr.Web s výsledkem:


RegUBP2b-Jožka.reg C:\Documents and Settings\All Users\Data aplikací\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Smazán.
T-Cleaner.exe C:\Documents and Settings\Jožka\Plocha Trojan.StartPage.21667 Smazán.
A0000027.reg C:\System Volume Information\_restore{5EE98E7B-E080-400C-8CD1-7BA4296BFCF9}\RP1 Trojan.StartPage.1505 Smazán.
A0000028.exe C:\System Volume Information\_restore{5EE98E7B-E080-400C-8CD1-7BA4296BFCF9}\RP1 Trojan.StartPage.21667 Smazán.

[jaro3]

Ještě tam něco je , hp deskjet assistant\bin\components\strres.dll atd. navrhuji nejprve toto:

Proveď kontrolu a vlož sem log z Kaspersky Online Scanner!

-Ve vistě musíš prohlížeč otevřít jako administrátor. K užití skeneru je třeba stáhnout a nainstalovat programové soubory a databázi.
-V Linuxu skener neskenuje RAM, boot. sektor a MBR, takže nemůže detekovat nákazy v těchto místech.
-Skener detekuje nákazy, které jsou již v PC, takže se potom dají manuálně smazat.
-Před skenem je vhodné vypnout rez. ochranu antiviru a antispywaru.
Klikni na Accept, k potvrzení podmínek.
Pokud se Ti objeví okno zabezpečení prostředí java- dej přijmout.
- Začne se stahovat databáze a program.
- Po jeho skončení klikni vlevo na pod Scan na My computer
Začne sken Tvého PC.
Sken může trvat i několik hodin.. Po ukončení skenu klikni na Scan Report.
Poté zvol Save a název zvol: KAV.
Obsah mi sem prosím zkopíruj.

[Jožka7]

Probíhá pátý pokus o spuštění scanneru, nedaří se updatovat databázi. Jen jednou se update rozjel poté, co se objevila chybová hláška javy, ale to zas vypadl signál. Zbylé pokusy nic, takže zatím bez úspěchu.

[jaro3]

Tak zkus toto:
Spusť F-Secure Online Scanner z některého odkazu.
http://support.f-secure.com/enu/home/ols.shtml
http://support.f-secure.com/enu/home/ols3.shtml#

Tento skener je možno použít jen v prohlížeči Internet Explorer! Postupuj podle instrukcí na stránce F-Secure pro správnou instalaci. Akceptuj licenci. Po instalaci ActiveX, klikni na Full System Scan. Když stahování skončeno, automaticky začne sken . Vyčkej konce skenu, po jeho dobu neprováděj jiné operace ani neklikej myší. Když skončí sken klikni na tlačítko Automatic clearing (recommended). Poté klikni na tlačítko Show Report a zkopíruj a vlož sem .

[Jožka7]

Tak Kaspersky se nakonec povedlo rozjet, ale scan je negativní:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Tuesday, May 12, 2009
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, May 12, 2009 08:24:26
Records in database: 2166758
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\

Scan statistics:
Files scanned: 23752
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 04:14:08

No malware has been detected. The scan area is clean.

The selected area was scanned.



Mám dát ty další scany? Pokud ano, provedu zítra...