Blokování přístupu k internetu a násilné vypínání antiviru

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: memphisto, Mods_junior, Mods_senior, Security team

Blokování přístupu k internetu a násilné vypínání antiviru

Odeslatod T. H. » 12 Zář 2007 06:34

Dobrý den, mohu požádat o pomoc? Před třemi dny mi antivir Nod32 hlásil napadení virem Nuwar. Po jeho odstranění bylo vše O.K., ale po následném spuštění vždy počítač asi dvě minuty nic nechce provádět. Pak vyskočí vždy asi 4 hlášení, že antivir Avast nebude moci chránit příchozí a odesílanou poštu a připojení k internetu. Pomocí programu HiJackThis jsem chtěl dočistit systém a zjistil jsem, že to nebude tak jednoduché. Když chci fixnout položky O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe (file missing) a O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe (file missing), tak vůbec HiJackThis nereaguje. Přitom Photoshop Elements 3.0 jsem z disku již smazal.
Děkuji předem za pomoc.
Tom

Přikládám výpis log:

Logfile of HijackThis v1.99.1
Scan saved at 1:57:33, on 12.9.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\HIJACKTHIS\VYHLEDÁNÍ A LIKVIDACE SPYWARE hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe (file missing)
T. H.
nováček
 
Věrnost fóru:
Věrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóru
 
Příspěvky: 2
Pohlaví: Nespecifikováno

google adsense
Google
 

Odeslatod bellatrix » 12 Zář 2007 15:18

hjt mava problemy s fixovanim sluzieb, je lepsie ich "rucne" zastavit: -> klik na start -> run/spustit -> napis: "services.msc" bez uvodzoviek -> tieto sluzby zastav a nastav typ spustania na zakazane:
Adobe Active File Monitor (AdobeActiveFileMonitor)
Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect)

+ odporucam doinstalovat firewall

stiahni ComboFix: http://www.techsupportforum.com/sectool ... mboFix.exe -> spusti combofix (najlepsie by bolo ho spustit v nudzovom rezime) -> postupuj podla pokynov -> neklikaj behom scanu do okna (moze byt restartovany pocitac, tak sa nezlakni) -> scan trva cca 10minut -> po skonceni vloz log z C:\combofix.txt
Uživatelský avatar
bellatrix
Level 2
Level 2
 
Věrnost fóru:
Věrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóru
 
Příspěvky: 225
Bydliště: mám
Pohlaví: Nespecifikováno

Odeslatod T. H. » 13 Zář 2007 08:06

Dobrý den, přikládám ten výsledek z combofix. Nevím, zda to ovšem bude k něčemu ještě dobré, protože jsem v záchvatu aktivního úklidu asi smazal nějaké důležité součásti systému, protože po restartu mi PC zastavilo na hlášení NTLDR nenalezen - restartujte ctrl+alt+del a tak pořád dokola. Jsem asi mrtvý muž... jestli přijdu o data na disku, která tam měla manželka uložena. Mnohokrát děkuji za případnou další radu a pomoc. T. H.

ComboFix 07-09-10.6 - "U§ivatel" 2007-09-12 18:36:20.2 - NTFSx86
Syst‚m Microsoft Windows XP Professional 5.1.2600.1.1250.1.1029.18.353 [GMT 2:00]
.

((((((((((((((((((((((((( Files Created from 2007-08-12 to 2007-09-12 )))))))))))))))))))))))))))))))
.

2007-09-12 18:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-12 18:13 401,720 --a------ C:\Program Files\NOVí HiJackThis.exe
2007-09-12 18:13 40,204 --a------ C:\Program Files\¬EæTINA PRO ¬ISTI¬ james_cc_reveksl.exe
2007-09-12 18:13 2,720,456 --a------ C:\Program Files\¬ISTI¬ REGISTRU ccleaner.exe
2007-09-12 18:13 1,485,491 --a------ C:\Program Files\ComboFix.exe
2007-09-11 21:39 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-09-11 21:39 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-09-11 21:39 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-09-11 21:39 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-09-11 21:39 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-09-11 21:39 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-09-11 21:36 135,680 --a------ C:\WINDOWS\R.COM
2007-09-11 21:36 130,048 --a------ C:\WINDOWS\system32\T.COM
2007-09-11 20:35 <DIR> d-------- C:\Program Files\RegCleaner
2007-09-11 20:12 <DIR> d-------- C:\Program Files\HIJACKTHIS_0
2007-09-11 20:10 6,481,136 --a------ C:\Program Files\Nutn‚_firewall_Kerio.exe
2007-09-11 20:10 549,808 --a------ C:\Program Files\¬IæT•NÖ REGISTRÞ RegCleaner.EXE
2007-09-11 20:10 218,112 --a------ C:\Program Files\VYHLEDµNÖ A LIKVIDACE SPYWARE hijackthis.exe
2007-09-11 20:10 19,338,408 --a------ C:\Program Files\SKEN_SYST?MU_mwav.exe
2007-09-11 20:10 13,146,072 --a------ C:\Program Files\ANTIVIR_nod32_nentczst.exe
2007-09-11 00:05 <DIR> dr-h----- C:\DOCUME~1\ADMINI~1\Data aplikac¡
2007-09-11 00:05 <DIR> dr------- C:\DOCUME~1\ADMINI~1\Nab¡dka Start
2007-09-11 00:05 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Okoln¡ tisk rny
2007-09-11 00:05 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Okoln¡ s¡œ
2007-09-11 00:05 <DIR> d-------- C:\DOCUME~1\ADMINI~1\æablony
2007-09-11 00:05 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Plocha
2007-09-11 00:05 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Obl¡ben‚ polo§ky
2007-09-11 00:05 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Dokumenty

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-12 01:10 825 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-09-11 23:51 9870125 --a------ C:\Program Files\MWAV.LOG
2007-09-10 23:19 --------- d-------- C:\Program Files\Common Files\soft602
2007-09-10 23:02 348288 --a------ C:\WINDOWS\system32\drivers\tcpip.VVVVVVVVVVVVsys
2007-09-10 23:02 348288 --a------ C:\WINDOWS\system32\drivers\tcpip.VVsys
2007-09-10 00:05 0 --------- C:\WINDOWS\system32\drivers\tcpip.V02sys
2007-09-10 00:05 0 --------- C:\WINDOWS\system32\drivers\tcpip.V01sys
2007-09-10 00:05 0 --------- C:\WINDOWS\system32\drivers\tcpip.V00sys
2007-09-03 10:48 --------- d-------- C:\Program Files\Paint Shop Pro 5
2007-08-11 08:55 --------- d-------- C:\Program Files\Media Art
2007-07-30 16:46 --------- d-------- C:\Program Files\zprava_535
2007-07-30 16:29 156865 --a------ C:\Program Files\zprava_535.zip
2007-07-29 22:06 13146072 --a------ C:\Program Files\nentczst.exe
2007-07-29 21:44 423736 --a------ C:\Program Files\avgarkt-setup-1.1.0.42.exe
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-05-26 08:13 1953992 --a------ C:\Program Files\PPVIEWER.EXE
2007-05-26 08:03 27024112 --a------ C:\Program Files\PowerPointViewer(2).exe
2007-05-16 18:54 63854 --a------ C:\Program Files\ZVF19.ZIP
2007-05-12 20:57 746949 --a------ C:\Program Files\anamk108.zip
2007-03-31 06:54 35884 --a------ C:\Program Files\iMerge1_2.zip
2007-03-19 23:52 10376152 --a------ C:\Program Files\QuickTimeInstallCache.qdat
2007-03-19 23:46 574632 --a------ C:\Program Files\QuickTimeInstaller.exe
2007-02-02 00:26 3483260 --a------ C:\Program Files\DNG_Camera_Raw_3_4.zip
2007-01-23 19:02 5600030 --a------ C:\Program Files\pbrush351.exe
2007-01-22 00:40 380431 --a------ C:\Program Files\blackframe.zip
2007-01-22 00:37 92790 --a------ C:\Program Files\hotpx_xtr.zip
2007-01-22 00:35 1111801 --a------ C:\Program Files\HOTPIXELS pzapgui.zip
2005-10-16 10:14 640681 --a------ C:\Program Files\installregistax21.exe
2005-10-16 10:11 876261 --a------ C:\Program Files\installregistax3a.exe
2005-10-16 10:04 1032544 --a------ C:\Program Files\autostitch.zip
2005-10-16 09:54 380431 --a------ C:\Program Files\blackframe_2.zip
C:\Program Files\VYHLEDÁNÍ A LIKVIDACE SPYWARE hijackthis.exe
C:\Program Files\SKEN_SYSTÉMU_mwav.exe
C:\Program Files\Nutné_firewall_Kerio.exe
C:\Program Files\NOVÝ HiJackThis.exe
C:\Program Files\CCLEANER NÁVOD.doc
C:\Program Files\ÈISTIÈ REGISTRU ccleaner.exe
C:\Program Files\ÈIŠTÌNÍ REGISTRÙ RegCleaner.EXE
C:\Program Files\ÈEŠTINA PRO ÈISTIÈ james_cc_reveksl.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-10-02 14:37]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-10-02 14:19]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-03-19 23:53]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-20 18:05]
"OEXPRESS"="" []

C:\DOCUME~1\ALLUSE~1\NABDKA~1\Programy\POSPUT~1\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:54]

R2 GenPort;GenPort;C:\WINDOWS\System32\drivers\GenPort.sys
R2 MapMem;MapMem;C:\WINDOWS\System32\drivers\MapMem.sys
R2 NTRemap;NTRemap;C:\WINDOWS\System32\drivers\NTRemap.sys
R3 PSched;Plánovaè paketù technologie QoS;C:\WINDOWS\System32\DRIVERS\psched.sys
R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\System32\drivers\stac97na.sys
R3 STAC97NH;STAC97NH;C:\WINDOWS\System32\drivers\stac97nh.sys
R3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys
S4 AdobeActiveFileMonitor;Adobe Active File Monitor;C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
S4 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
Schedule

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-12 18:37:34
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-12 18:38:13
C:\ComboFix-quarantined-files.txt ... 2007-09-12 18:38
C:\ComboFix2.txt ... 2007-09-12 18:19
.
--- E O F ---
T. H.
nováček
 
Věrnost fóru:
Věrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóru
 
Příspěvky: 2
Pohlaví: Nespecifikováno

Odeslatod fredik » 13 Zář 2007 08:24

K tomu NTDLR se podívej např. sem mělo by ti to pomoc:
NTLDR nenalezen - restartujte počítač stiskem kláves Ctrl+Alt+Del...
Uživatelský avatar
fredik
člen Security týmu
Master Level 7
Master Level 7
 
Věrnost fóru:
Věrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóru
 
Příspěvky: 4662
Pohlaví: Muž

Odeslatod bellatrix » 13 Zář 2007 14:32

+ potom sa pokus rocne zmazat tieto subory:
C:\WINDOWS\system32\drivers\tcpip.VVVVVVVVVVVVsys
C:\WINDOWS\system32\drivers\tcpip.VVsys
C:\WINDOWS\system32\drivers\tcpip.V02sys
C:\WINDOWS\system32\drivers\tcpip.V01sys
C:\WINDOWS\system32\drivers\tcpip.V00sys

a potom hod dalsi log z combofixu...
Uživatelský avatar
bellatrix
Level 2
Level 2
 
Věrnost fóru:
Věrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóru
 
Příspěvky: 225
Bydliště: mám
Pohlaví: Nespecifikováno

Odeslatod zlobyl » 13 Zář 2007 17:25

Určitě doinstalovat SP2!
Prosím, omluvte mou častou nepřítomnost na fóru.Bohužel jsou věci, které člověk nemůže ovlivnit a já tudíž nemám moc času, abych se sem dostal.Budu se snažit tady být vždy, když to bude možné, ale nic zaručit nemohu.Je mi to líto.
Uživatelský avatar
zlobyl
Tvůrce článků
Level 4.5
Level 4.5
 
Věrnost fóru:
Věrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóruVěrnost fóru
 
Příspěvky: 1760
Bydliště: Slaný
Pohlaví: Nespecifikováno


Zpět na HiJackThis

Kdo je online

Uživatelé procházející toto fórum: CommonCrawl [Bot], Google [Bot] a 2 anonymních uživatelů