Prosím o preventivní kontrolu

[Pikulinto]

nějakou záhadou se mě do PC dostal virus,projel jsem to MWAVem ale nějak se tam asi ještě drží,našel mi Trojan-Downloader a Smitrfraud Browser Hijacker.Ke všmu se začal místo Mozilly pouštět IE.

Logfile of HijackThis v1.99.1
Scan saved at 16:29:45, on 5.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\devldr32.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
D:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
D:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\Program Files\Eset\nod32kui.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\WINDOWS\system32\CTsvcCDA.EXE
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\Program Files\Canon\CAL\CALMAIN.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\PROGRA~1\FREEDO~1\fdm.exe
D:\Program Files\ICQ6\ICQ.exe
D:\Program Files\ESET\nod32.exe
D:\Documents and Settings\Štefan\Dokumenty\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinPatrol] D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [SpywareTerminator] "D:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Stáhnout Free Download Managerem - file://D:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Stáhnout vybrané Free Download Managerem - file://D:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Stáhnout vše Free Download Managerem - file://D:\Program Files\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6515C572-571B-49FF-B9E4-430B9445BFB0}: NameServer = 10.132.11.1,62.209.208.1
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - D:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe

[Reklama]

[Baron Prášil]

tak udělej ještě jednou sken MWAVem a hoď sem log
ať to vidíme

http://www.viry.cz/forum/viewtopic.php?t=4097

[Pikulinto]

log z MWAV

Objekt "smitfraud Browser Hijacker" nalezen v souborech! Aktivně obsazen: Vstupy vymazány.
Vstup "HKCR\ICQ.IEToolbar" špatně odkazuje "{855F3B16-6D32-4fe6-8A56-BBB695989046}". Aktivně obsazen: Vstupy vymazány.
Vstup "HKCR\ToolbarICQToolbar.ICQToolbarObject" špatně odkazuje "{855F3B16-6D32-4fe6-8A56-BBB695989046}". Aktivně obsazen: Vstupy vymazány.
Vstup "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" špatně odkazuje "XTTB00001.XTTB00001Toolbar". Aktivně obsazen: Vstupy vymazány.

Trojan zmizel ale ten smitfraud je tu pořád
a ještě,NOD nenašel nic

[fredik]

Podle výsledku Mwav vše vymazal.

Měl by to být neškodný pozůstatek v registru či možný falešný poplach a žádnou bezpečností hrozbu by neměl představovat.

Pro klid tvé duše, pokud tam máš furt jak říkáš ten záznam "smitfraud Browser Hijacker" tak udělej následují.
Spusť Mwav a klikni na tlačítko View log / Zobrazit log a v logu najdi více informací o dané položce a zkopíruj to sem.

[Pikulinto]

takže MWAV už nic nenašel,vypl jsem obnovení systému a resetnul a je to zdáse už čisté,pro jistotu ještě přikládám log z hijack

Logfile of HijackThis v1.99.1
Scan saved at 18:47:33, on 5.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\devldr32.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\CTsvcCDA.EXE
D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
D:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
D:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\Program Files\Eset\nod32kui.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\Eset\nod32krn.exe
D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\Program Files\Canon\CAL\CALMAIN.exe
D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Program Files\ICQLite\ICQLite.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Štefan\Dokumenty\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinPatrol] D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [SpywareTerminator] "D:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Stáhnout Free Download Managerem - file://D:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Stáhnout vybrané Free Download Managerem - file://D:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Stáhnout vše Free Download Managerem - file://D:\Program Files\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6515C572-571B-49FF-B9E4-430B9445BFB0}: NameServer = 10.132.11.1,62.209.208.1
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - D:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe

[Baron Prášil]

máš to v pořádku a máš to dobře zabezpečený.

to s tou obnovou bylo chytrý (tady to praktikuje hlavně Mijaja a má recht,tam se může něco schovat.)
takže

[Pikulinto]

vyzkoušel jsem to v praxi,resetnul a ono to asi zafungovalo,takže mohu doporučit ostatním.Jen když tu mám takovou stráž jak se to tam dostalo,asi jen mou blb...í,taky jsem přemýšlel nad tím ICQ 6,jen co jsem ho nainstaloval tak se to spustilo.Ale nevím přesně
Ale i tak díky všem

[memphisto]

vyzkoušel jsem to v praxi,resetnul a ono to asi zafungovalo,takže mohu doporučit ostatním.Jen když tu mám takovou stráž jak se to tam dostalo,asi jen mou blb...í,taky jsem přemýšlel nad tím ICQ 6,jen co jsem ho nainstaloval tak se to spustilo.Ale nevím přesně
Ale i tak díky všem

všobecně jsou s icq 6 velké problémy a viděl bych ho jako příčinu tvého problému.kámošovi se stalo něco podobného.udělal to co tady radili a taky to začalo od té doby co nainstaloval icq 6

[Baron Prášil]

za fredika a memphista a mě:neni zač