win32@mx

[memphisto]

to "v pořádku" byla reakce na uživatelovu odpověď že mu to dlouho trvalo

[bodion]

aha , este nieco...

[memphisto]

počkej na další rady fredika.sežeň si pak, ale to je jen doporučení, ten service pack 2

[bodion]

dufam ze fredik mi nenapise nic velmi zlozite

[memphisto]

z toho strach mít nemusíš.fredik je profík a vysvětlí ti všechno "po lopatě" (jednoduše)

[fredik]

Podívej se na disk C a měl by tam být soubor rapport.txt (je to log ze Smitfraudfix-u, protože ti tam ta položka zůstala) tak sem zkopíruj jeho obsah.

Jestli to nebude ten postup moc složitý tak udělej toto:
Stáhni si SDFix a spusť ho ,vybalí se do vlastní složky (bude asi na C:\SDfix).

Poté restartuj PC do nouzového režimu.Otevři složku kde je vybalený SDFix a spusť soubor RunThis.bat a stiskni Y pro zahájení čistícího procesu.
Pro dokončení bude třeba stisknout libovolnou klávesu a počítač se restartuje.
Při nabíhání operačního systému budeš muset po vyzvání stisknout libovolnou klávesu pro vstup do do Win.

Po naběhnutí OS by ti měl zobrazit výpis SDFixu tak ho sem zkopíruj pokud by ti nevyběhne tak je umístěný ve své vlastní složce jako Report.txt (nezapomeň sem zkopírovat jeho obsah).

Pokud by to bylo složité tak udělej toto:
Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe[/color]
po zaškrtnutí klikni na tlačítko Fix Checked

Pokud jsi použil SDFix tak ten by měl ten soubor smazat sám, pokud ne tak udělej toto:
Zkus se pak podívat jestli najdeš tento soubor, pokud jo tak ho smaž, kdyby ne tak řekni smažeme ho jinak:
C:\WINDOWS\System32\mssmpp.exe
a řekni jestli se ti ho podařilo najít. Pro lepší nalezeni si zapni zobrazení skrytých a systémových souborů:

Zapni zobrazování skrytých souborů přes Ovládací panely -> Možnosti složky -> karta Zobrazení. Tam zaklikni možnost Zobrazovat skryté soubory a složky. Pak dej Ok.

Zkopíruj sem ten log jak jsem psal a pokud použiješ i SDFix tak i z něho.

[bodion]

SmitFraudFix v2.176

Scan done at 16:19:40,59, pi 18. 05. 2007
Run from C:\Documents and Settings\vlad\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOCUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOCUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\DOCUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOCUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted
C:\DOCUME~1\vlad\FAVORI~1\Online Security Test.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{90A4F46B-54D1-48C9-955E-8265F471A2E3}: DhcpNameServer=158.195.2.2 158.195.2.6
HKLM\SYSTEM\CS1\Services\Tcpip\..\{90A4F46B-54D1-48C9-955E-8265F471A2E3}: DhcpNameServer=158.195.2.2 158.195.2.6
HKLM\SYSTEM\CS2\Services\Tcpip\..\{90A4F46B-54D1-48C9-955E-8265F471A2E3}: DhcpNameServer=158.195.2.2 158.195.2.6
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=158.195.2.2 158.195.2.6
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=158.195.2.2 158.195.2.6
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=158.195.2.2 158.195.2.6


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

[fredik]

Teď to bude trochu zmatené ale snad se v tom vyznáš. V předchozím příspěvku sem ti ještě dopsal co je potřeba udělat tak se na to podívej a pak řekni co vše si z toho provedlo a co se povedlo.

K tomu Smitfraudfix-u:
Tak už je to jasné proč to neodranilo
Máš starou verzi Smitfraudfix-u. Buď si stáhni poslední verzi odsud, nebo když znovu spustíš tu verzi kterou máš tak v menu zvol možnost 4 čímž provedeš Update programu. Měl by se ti provést update z verze (SmitFraudFix v2.176) kterou máš na verzi (SmitFraudFix v2.183) s ní zopakuj ten postup jak už bylo napsáno.

Pak sem dej nový log z HJT + ty další logy (SDFix, nový log z Smitfraudfix).

[bodion]

no super, tak v tom mam teraz gulas, prave som doconcil ten sdfix, to ked urobim zase tym novym , mam opat urobit aj sdfix zase?

sdfix:

SDFix: Version 1.84

Run by vlad - pi 18. 05. 2007 - 18:38:22,24

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\SYSTEM32\ERASEM~2.EXE - Deleted
C:\WINDOWS\system32\eraseme_22527.exe - Deleted
C:\WINDOWS\system32\eraseme_22701.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\TFTP3668 - Deleted
C:\WINDOWS\system32\TFTP560 - Deleted
C:\WINDOWS\Temp\del.bat - Deleted



Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

C:\WINDOWS\LastGood.Tmp\INF\oem0.inf
C:\WINDOWS\LastGood.Tmp\INF\oem0.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem1.inf
C:\WINDOWS\LastGood.Tmp\INF\oem1.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem2.inf
C:\WINDOWS\LastGood.Tmp\INF\oem2.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem3.inf
C:\WINDOWS\LastGood.Tmp\INF\oem3.PNF

Finished

[fredik]

Nebude potřeba znovu spouštět SDFix. Teď to projeď tím aktualizovaným Smitfraudfix-em a dej sem z něho log + nový log z HijackThis.

[bodion]

ten list zo smitfraud sa mi nepodarilo skopirovat, lebo mi nenabehol po restarte do normalneho rezimu

[bodion]

tu je posledny hijacklist, dufam

Logfile of HijackThis v1.99.1
Scan saved at 19:19:06, on 18. 5. 2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Microcom\ADSL DeskPorte USB\CnxDslTb.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\vlad\LOCALS~1\Temp\Rar$EX00.331\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - C:\Program Files\Image ActiveX Access\iesplg.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Microcom\ADSL DeskPorte USB\CnxDslTb.exe" "Microcom\ADSL DeskPorte USB"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe