Win32/Adware.Toolbar.SearchColours

[Anonymous_]

Dobry den prosim o pomoc uz si vazne nevim rady s timto virem. Takze co mi dela - otevira mi ruzne bannery (v prohlizeci IE), pak otevira winantivirus.com (ve FF - default prohlizec), vypnuty windows FW, nemohu ho zapnout :( ... Nevim jestli je tohle vsechno zpusobene jednim virem/spywarem (asi ne) ale opravdu si s tim nevim vubec rady.... NOD32 vzdy smaze ale sam se znovu obnovi. Ad-aware nic nenajde. Spybot vzdy najde a smaze ale objevi se znovu. Spybot najde vzdy nejake cookies (Avenue A, Winsoftware.WinAntiVirusPro2006).
Jo takze tady je log z hijack this ale myslim ze tam nic moc zajimaveho neni....

Logfile of HijackThis v1.99.1
Scan saved at 17:46:30, on 1.1.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programy\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ADSL\ADSL USB MODEM\DSLMON.exe
C:\Programy\Miranda IM\miranda32.exe
C:\Programy\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programy\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programy\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\HANS~1.JAN\LOCALS~1\Temp\Dočasný adresář 1 pro hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programy\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\ADSL\ADSL USB MODEM\DSLMON.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6819840785
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 6820017097
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F947760-BC9D-47F7-AA0B-30F36644580A}: NameServer = 192.168.1.5
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programy\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


A pak tady je jeste vypis z NODa jeden z tech kousku:
Čas Modul Objekt Jméno Virus Akce Uživatel Informace
1.1.2007 17:47:24 AMON soubor C:\DOCUME~1\HANS~1.JAN\LOCALS~1\Temp\kdktpkco.exe Win32/Adware.Toolbar.SearchColours aplikace uložen do karantény - smazán JAN-QNI8OLZ3IHL\Hans Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\WINDOWS\explorer.exe. Soubor byl přesunut do karantény. Můžete zavřít toto okno.
1.1.2007 17:47:22 IMON soubor http://82.98.235.61/execpyd.exe?uid=A7F ... 5126DC2328 Win32/Adware.Toolbar.SearchColours aplikace uložen do karantény - spojení přerušeno JAN-QNI8OLZ3IHL\Hans

Dekuji moc vsem za reseni a odpovedi, hledal jsem i na googlu nasel jsem nejakou jednu stranku s nejakym manualnim mazanim nejakou spanelskou ... Prelozil jsem si to (babelfish) no a zkousel jsem vse co tam psali ale vetsinou sem treba ty registry co psali at smazu nemel.
PS.: Doufam ze jsem to napsal spravne o pomoc s virem pisu poprve.

/logy vyhozeny z kódu, takhle se v nich lépe orientuje
/mikel

[fredik]

Tuto službu zastavte: měla by se jmenovat icrss manager 32bit

O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)

Start -> Spustit - > napiš services.msc a dej OK. Otevře se ti okno Služby. V ní ji najdi a ve vlastnostech nastavte typ spouštění na zakázáno.

Pak vyhledej na disku a smaž červeně označený soubor:
C:\WINDOWS\system\icrss.exe

Kdyby problém přetrvával tak dej vědět.

[Anonymous_]

Tuto službu zastavte: měla by se jmenovat icrss manager 32bit

O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)

Start -> Spustit - > napiš services.msc a dej OK. Otevře se ti okno Služby. V ní ji najdi a ve vlastnostech nastavte typ spouštění na zakázáno.

Pak vyhledej na disku a smaž červeně označený soubor:
C:\WINDOWS\system\icrss.exe

Kdyby problém přetrvával tak dej vědět.

Dekuji za reakci ale i po zastaveni teto sluzby (soubor jsem nenalezl - uz byl smazan) Mam v pocitaci stale nejaky virus "Win32/Adware.Toolbar.SearchColours" ktery mi stale otevira reklamni okna viz vyse :( take mi tu zustal winantiviruspro spyware ktery take otevira sve reklamni okna ...
Jeste chvili pockam jestli nekdo z Vas neco nevymysli - vse moc dekuji - ale pomalu a jiste me napada reinstalace windows :( i kdyz jsem system reinstaloval nedavno.

[Baron Prášil]

udělej to co radí fredik a ten exáč smaž killboxem
stahni si killbox
http://www.bleepingcomputer.com/files/s ... illBox.zip
rozbal,spust a do okýnka zkopíruj tučné
C:\WINDOWS\system\icrss.exe
zaškrtni Delete on Reboot
a klikni na křížek.stroj pude do restartu

[fredik]

Zkus přejmenovat soubor HijackThis.exe třeba na test.exe pak ho spusť a udělej nový log z něho a dej ho sem.

[Pic]

Jinak Firewal ve Windows není třeba spouštět, protože máš Kerio.