Prosím o kontrolu logu

Arnošt Dadák · Příspěvekod **Arnošt Dadák** » 29 čer 2007 19:32

Ahoj lidi prosím vás program Mwav mi tu našel několik virů ale nic s tím neudělal protože to mě chtělo zakoupit plnou verzi.Jinej antivir mi to ale nenajde znáte někdo něco tak ůčinnýho jako Mwav ale aby nejen nacházel ale i mazal??? jinak šlo o viry typu Worm není na ně nákej program?

//příspěvky sem spojil,předpokládám,že jde o stejný problém.
na ten log se jdu podívat a otázky zodpovím
//Baron Prášil

Reklama

Arnošt Dadák · Příspěvekod **Arnošt Dadák** » 29 čer 2007 19:47

Počítač se mi zasekává tak
Scan saved at 19:38:18, on 29.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Petr\Plocha\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F786FD26-7020-4B8F-B088-C220A2A62A56}: NameServer = 88.146.189.14,88.146.189.10
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

jsem poprvé udělal tuto kontrolu :

Baron Prášil · Příspěvekod **Baron Prášil** » 29 čer 2007 20:05

takže nejdřív ten log z hijackthis

v něm šmejd vidět neni,ale...

aby si měl dobře zabezpečenej systém potřebuješ
FIREWALL
vyber si tady,doporučuju Comodo

u Spybotu zapni TeaTimer
Režim>Pro pokročilé>Nástroje>Rezidentní

fixni zbytečnosti
v okně programu HJT zaškrtni nalevo u položek co napíšu a potom klik na Fix checked

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

a teď k tomu MWAVu. nevím kde a jakou verzi si stáhnul,ale všechno co potřebuješ vědět o MWAVu a
nebojíš se zeptat,najdeš tady MWAV
takže udělej podle toho návodu log a pošli ho sem

Arnošt Dadák · Příspěvekod **Arnošt Dadák** » 01 črc 2007 21:54

Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\R.COM je infikovaný virem Trojan.Win32.Pakes.x3 !! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\REGEDIT.COM je infikovaný virem Trojan.Win32.Pakes.x3 !! Provedené akce: Nic nebylo provedeno.
Soubor C:\WINDOWS\regedit.exe je infikovaný virem Trojan.Win32.Pakes.x3 !! Provedené akce: Nic nebylo provedeno.

Baron Prášil · Příspěvekod **Baron Prášil** » 01 črc 2007 22:42

jj.

takže avenger podle návodu tady
http://www.viry.cz/forum/viewtopic.php?t=21484 (bod 2.)

avšak použij tento skript

Files to delete:
C:\WINDOWS\R.COM
C:\WINDOWS\REGEDIT.COM
C:\WINDOWS\regedit.exe

a po restartu pošli z Avengera log

Příspěvekod **mikel** » 01 črc 2007 23:52

Barone & Arnošte: po vyléčení nezapomeňte zkopírovat zdravý regedit.exe zpět do adresáře Windows!

Baron Prášil · Příspěvekod **Baron Prášil** » 02 črc 2007 10:12

tady je.po akci avengera,to nakopíruj do toho umístění(rozbalený)

(díky,mikele :wink:

)

Baron Prášil · Příspěvekod **Baron Prášil** » 02 črc 2007 19:49

ten log sem smazal. měl jsi použít ten skript co sem napsal a ne ten co je na tom odkazu.

Arnošt Dadák · Příspěvekod **Arnošt Dadák** » 02 črc 2007 20:36

No ja to zkoušel ale ten skript cos mi tady napsal mi to nechce vzít píše to Valid script a samý error a error code:a náký číslo prostě to nejde a s tamtím dlouhým skriptem to šlo v poho tak nevím no....

Baron Prášil · Příspěvekod **Baron Prášil** » 02 črc 2007 20:40

tak skript

Files to delete:
C:\WINDOWS\regedit.exe

Folders to delete:
C:\WINDOWS\R.COM
C:\WINDOWS\REGEDIT.COM

Arnošt Dadák · Příspěvekod **Arnošt Dadák** » 02 črc 2007 20:59

Tak jo povedlo se ted to šlo jo a jak to myslel kolega že mám vyléčenej regedit exe nakopírovat zpátky dowindows já zas tohle jako..... ani nevímkde je ten vyléčenej ??? chceš ten novej výpis z avengera?

Arnošt Dadák · Příspěvekod **Arnošt Dadák** » 02 črc 2007 21:00

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vcwwteso

*******************

Script file located at: \??\C:\WINDOWS\system32\hlqknpbd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\regedit.exe deleted successfully.

Error: C:\WINDOWS\R.COM is not a folder! It may instead be a file.
Deletion of folder C:\WINDOWS\R.COM failed!

Could not process line:
C:\WINDOWS\R.COM
Status: 0xc0000103

Error: C:\WINDOWS\REGEDIT.COM is not a folder! It may instead be a file.
Deletion of folder C:\WINDOWS\REGEDIT.COM failed!

Could not process line:
C:\WINDOWS\REGEDIT.COM
Status: 0xc0000103

Completed script processing.

*******************

Finished! Terminate.