trojan-spy.Win32.zbot.ikh Vyřešeno

[Migu3L]

Zde hazim ten log ohledne meho problemu s timto virem

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:04:03, on 13.8.2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
C:\Windows\regedit.exe
C:\Windows\system32\NOTEPAD.EXE
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: run=C:\Windows\system32\portmap.exe
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GR469A~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [portmap.exe] C:\Windows\system32\portmap.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\Migu3L\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\Windows\system32\portmap.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{23F208A5-7DFD-49AA-B6FC-398AB1BE1C7D}: NameServer = 10.107.10.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GRA32A~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 5173 bytes

[Reklama]

[Damned]

Spusť HJT (HijackThis), vypni prohlížeče, odpoj se od internetu a fixni (spustit HJT, "Do a system scan only",
zatrhnout políčko před hodnotou, zmáčknout "Fix checked" a poté "Ano"):

F3 - REG:win.ini: run=C:\Windows\system32\portmap.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [portmap.exe] C:\Windows\system32\portmap.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\Windows\system32\portmap.exe
*****************************************************************************************************************************************
Má Win7 taky příkazovej řádek? Napiš.
Já zatím najdu aplikaci na Win7, snad najdu

[Migu3L]

Provedeno.

JJ prikazovy radek tu je.

[Damned]

V XP to je takto:

Start--->Spustit a napiš cmd (zjeví se černé dosovské okno).

Pokud je to takto i ve Win7 tak do černé obrazovky vedle předepsané cesty napiš/zkopíruj:

Kód: Vybrat vše

DEL /f /s C:\Windows\system32\portmap.exe

Měl by ti napsat: Odstraňuji soubor....
*****************************************************************************************************************************************
Stáhni si :Dr. Web CureIt
dej update , po aktualizaci spusť úplnou kontrolu.
Tlačítky dole můzeš soubor léčit, smazat, přesunout nebo přejmenovat.

Po skončení mi sem zkopíruj výsledný log.

[Migu3L]

Po vlozeni prikazu od tebe a potvrzeni vypsano toto:

Ostraněný soubor - C:\Windows\system32\portmap.exe

Na stahovani se pracuje, ale jelikoz mam momentalne nahradni net od vodafone, z duvodu vypadku naseho AP, tak to bude chvili trvat, cca este +/-10minut tedy do 15:20.

Po stazeni a provedeni vsech nezbytnych akci, sem vlozim i ten log.

[Damned]

Dobrá, i ten sken bude trvat dlouho.

[Damned]

Pokud už máš hotovo, tak mi sem dej ten log. Do SZ mi to neposílej, všimnu si odpovědi.

[Migu3L]

Pokousim se to sem dat, ale kvuli tomu spatnymu netu,to nejak nejde, on kdyz ma ten log 36MB, tak se nedivim.

[Damned]

Pošli alespoň hlavičku. Podrobnosti, kontrolováno,smazáno, vyléčeno, nejde vyléčit atd

[Migu3L]

Je to co si chtel?

0F8278BCd01\frog.exe
C:\Documents and Settings\Migu3L\AppData\Local\Application Data\Mozilla\Firefox\Profiles\6jbynplu.default\Cache\0F8278BCd01
BackDoor.Poison.767

0F8278BCd01
C:\Documents and Settings\Migu3L\AppData\Local\Application Data\Mozilla\Firefox\Profiles\6jbynplu.default\Cache
V archivu jsou infikované objekty
Přesunut.

pinch.exe
C:\Documents and Settings\Migu3L\AppData\Local\Application Data\Temp
BackDoor.Poison.767
Smazán.

smile.exe
C:\Documents and Settings\Migu3L\AppData\Local\Application Data\Temp
ackDoor.Poison.767
Smazán.

0F8278BCd01\frog.exe
C:\Documents and Settings\Migu3L\DoctorWeb\Quarantine\0F8278BCd01
BackDoor.Poison.767

0F8278BCd01
C:\Documents and Settings\Migu3L\DoctorWeb\Quarantine
V archivu jsou infikované objekty
Přesunut.

F je flashka, sem ji zapomel vytahnout

daemon4123-lite.exe/data007\data001
F:\progr\daemon\daemon4123-lite.exe/data007
Adware.Shopper

daemon4123-lite.exe/data007\data002
F:\progr\daemon\daemon4123-lite.exe/data007
Adware.SaveNow.128

data007
F:\progr\daemon
Kontejner obsahuje nakažené objekty

daemon4123-lite.exe
F:\progr\daemon
V archivu jsou infikované objekty
Přesunut.

[Damned]

To, že je něco na Flashce (né ve flašce) neznamená, že to není vir.

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware, pokud jo tak klikni na tlačítko konec
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Provést rychlý sken a klikni na tlačítko Skenovat
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Zobrazit výsledky
- pak zvol možnost uložit log a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.

[Migu3L]

Jj jasny ta flashka, ale nejvetsi problem mam s tim ntb ted, ten vir byl v souboru frog.exe

Programek uz stahuji