PC-HELP.CZ

Prosím o kontrolu logu... Jde mi pomalu IE a nebo nejde skoro vubec... pomale nabihani stranek... připojenim to bejt nemuže pže hry po síti nebo třebas ICQ běhá uplně normálně... takže počítám s virem, nechal jsem zapracovat Spywera, ten však nic nenašel a ja v logu z HJ taky nic nevidim... tak se mi na to pls někdo mrkněte.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53, on 15. 9. 2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Crawler lišta - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Britanik - {479BEE90-08C0-44fa-AE28-06BA96963B5B} - C:\Program Files\Britanik\britanik.dll
O9 - Extra 'Tools' menuitem: Britanik - {479BEE90-08C0-44fa-AE28-06BA96963B5B} - C:\Program Files\Britanik\britanik.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O16 - DPF: CW App KB R9 - https://www.mojebanka.cz/jars/cwapp.cab
O16 - DPF: GEMINI IBS 32 GEMB Applet Security - https://ib.internetbanka.cz/ibs31/bin/I ... .3.0.0.cab
O16 - DPF: GEMINI IBS 32 GEMB Applet Utilities - https://ib.internetbanka.cz/ibs31/bin/I ... .99.99.cab
O16 - DPF: IB App KB R9 - https://www.mojebanka.cz/jars/ibapp.cab
O16 - DPF: KTPro SP KB R9 - https://www.mojebanka.cz/jars/ktpsp.cab
O16 - DPF: SH App KB R9 - https://www.mojebanka.cz/jars/shapp.cab
O16 - DPF: {11239DD1-7F13-4114-AFD7-6FD638C1B1FF} (ICASign Class) - https://download.ica.cz/ICARenewal.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ADC518E-B607-11D4-B395-0001020F4519} (SigVer Class) - https://portal.ozp.cz/obj/Signer.cab
O16 - DPF: {702B8921-6171-4375-A8DA-474D4054B8CA} (ICAEnroll Class) - https://download.ica.cz/ICAEnroll.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0915ADC-3B61-47B0-9226-7185CE634D48}: NameServer = 62.40.68.2,195.129.12.83
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ArcGIS License Manager - Unknown owner - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PPA Dumper (ppa_service) - Unknown owner - C:\WINDOWS\system32\ppa_service.exe
O23 - Service: RegVac Registry Service (RegVacService) - Super Win Software, Inc. - C:\Program Files\RegVac Registry Cleaner\RegVserv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 6926 bytes

mascombo fix

Prosim... frediku nebo zlobile koukni mi na to... dikes

Otestuj PC MWAVem nebo Eset on-line scannerem nebo Kaspersky on-line scannerem a sděl nám výsledek.

Jinak po zběžné kontrole mě zatím nic vysloveně neuhodilo do očí-jen jedna věc.Znáš tohle:

Tak ten generic.exe neznám ale v procesech už ho mám asi přes půl roku...

MWAV:

Soubor C:\WINDOWS\system32\438fc9ee.sys je infikovaný virem Virus.Win32.Rustock.a !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\WINDOWS\system32\438fc9ee.sys je infikovaný virem Virus.Win32.Rustock.a !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\WINDOWS\system32\windows_update.exe je infikovaný virem NULL.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\DOCUME~1\Radek\LOCALS~1\TEMPOR~1\Content.IE5\4P27GDIB\KB908823[1].exe je infikovaný virem Backdoor.Win32.UltimateDefender.gen !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\Documents and Settings\All Users\Dokumenty\Dokumenty\desktop.ini je infikovaný virem VB.CO.Leftover !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\Documents and Settings\Jindra\Dokumenty\Vyzvánění, tapety a filmy do K800i\SE_K800i_Fullscreen_Games_And_Softwares_By_MadeByMe\Softwares\Float's mobile\VBRun60sp5.exe je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\Documents and Settings\Jindra\Dokumenty\Vyzvánění, tapety a filmy do K800i\SE_K800i_Fullscreen_Games_And_Softwares_By_MadeByMe\Softwares\My Phone Explorer\MyPhoneExplorer_Setup_1.4.5.exe je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\Documents and Settings\Jindra\Dokumenty\Vyzvánění, tapety a filmy do K800i\SE_K800i_Fullscreen_Games_And_Softwares_By_MadeByMe\Softwares\Sony Ericsson\Sony Ericsson Image Editor 1.9.2.exe je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\Documents and Settings\Jindra\Dokumenty\Vyzvánění, tapety a filmy do K800i\SE_K800i_Fullscreen_Games_And_Softwares_By_MadeByMe\Softwares\Sony Ericsson\Sony Ericsson MMS Home Studio 1.1.285.exe je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\Documents and Settings\Jindra\Dokumenty\Vyzvánění, tapety a filmy do K800i\SE_K800i_Fullscreen_Games_And_Softwares_By_MadeByMe\Softwares\Sony Ericsson\XTNDConnect.PC.v5.0.Upgrade.Retail-SHOCK\xcpc50_upg.exe je infikovaný virem Exe.Corrupted !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\Documents and Settings\Radek\Local Settings\Temporary Internet Files\Content.IE5\4P27GDIB\KB908823[1].exe je infikovaný virem Backdoor.Win32.UltimateDefender.gen !! Provedené akce: Ponecháno, neodstraněno!.
Soubor C:\Documents and Settings\tatulda\Plocha\ca_setup.exe//WISE0023.BIN//UPX byl indentifikován jako "not-a-virus:PSWTool.Win32.Cain.284". Ponecháno, neodstraněno!
Soubor C:\Documents and Settings\tatulda\Plocha\štefiho rychty\saminside\SAMInside.exe byl indentifikován jako "not-a-virus:PSWTool.Win32.SAMInside.n". Ponecháno, neodstraněno!
Soubor C:\Documents and Settings\tatulda\Plocha\štefiho rychty\saminside\Tools\GetHashes.exe//ASPack byl indentifikován jako "not-a-virus:PSWTool.Win32.SAMInside.o". Ponecháno, neodstraněno!
Soubor C:\Documents and Settings\tatulda\Plocha\štefiho rychty\saminside\Tools\LRConvert.exe//ASPack byl indentifikován jako "not-a-virus:PSWTool.Win32.SAMInside.g". Ponecháno, neodstraněno!
Soubor C:\Program Files\Crawler\Toolbar\ctbr.dll indentifikován jako "not-a-virus:AdWare.Win32.WebSearch.bv". Provedené akce: Ponecháno, neodstraněno!.

PECHY15 píše:Tak ten generic.exe neznám ale v procesech už ho mám asi přes půl roku...

Tak ten bude nejspíše v pořádku-i když pro klid v duši ho můžeš nechat otestovat.

Ohledně těch souborů-nejsou to žádné důležité soubory, a tudíž bych s nimy udělal krátký proces.Zkus použít Avenger se scriptem:


Dále použij Gmer.

Takže tady je Avenger :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "TDSSserv" found!
ImagePath: \systemroot\system32\drivers\TDSSserv.sys
Start Type: 1 (System)

Rootkit scan completed.

File "C:\WINDOWS\system32\438fc9ee.sys" deleted successfully.
File "C:\WINDOWS\system32\windows_update.exe" deleted successfully.
File "C:\Documents and Settings\All Users\Dokumenty\Dokumenty\desktop.ini" deleted successfully.
File "C:\Documents and Settings\Radek\Local Settings\Temporary Internet Files\Content.IE5\4P27GDIB\KB908823[1].exe" deleted successfully.

Error: file "C:\DOCUME~1\Radek\LOCALS~1\TEMPOR~1\Content.IE5\4P27GDIB\KB908823[1].exe" not found!
Deletion of file "C:\DOCUME~1\Radek\LOCALS~1\TEMPOR~1\Content.IE5\4P27GDIB\KB908823[1].exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

A le ten GMER mi nefachá, pišemi to, že system32\config\system je proces využívanej jinym procesem.

Použij SDFix v nouzovém režimu.

Tak s tim už bude trošku problém... do nouzáku nemůžu, zobrazuje se mi modrá smrt...

Tak zkus nejprve použít znovu Avenger s tímto scriptem:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "TDSSserv" found!
ImagePath: \systemroot\system32\drivers\TDSSserv.sys
Start Type: 1 (System)

Rootkit scan completed.


Error: could not delete registry value "HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal|tdssserv.sys"
Deletion of registry value "HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal|tdssserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network|tdssserv.sys"
Deletion of registry value "HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network|tdssserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Tak zkus zvolit při startu možnost Nouzový režim se systémem MS-DOS a pokud to naběhne, tak můžeš spustit explorer a máš v podstatě nouzový režim.

PS: Omlouvám se za delší nepřítomnost.