Zpomaluje se mi PC (vyřešeno)

Jan Pašek · Příspěvekod **Jan Pašek** » 29 říj 2006 21:54

Po kontrolách ostatními AV prostředky a možná že je tam spousta smetí navíc. A zřejmě v této činnosti budeme pokračovat zítra odpol.snad.

Mwaw
Sun Oct 29 19:28:43 2006 => Offending value found in HKLM\Software\Licenses: {k7c0db872a3f777c0} !!!
Sun Oct 29 19:29:03 2006 => Object "spywarestrike Trojan" found in File System! Action Taken: No Action Taken.

Sun Oct 29 19:29:04 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Sun Oct 29 19:29:04 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Hijack
Logfile of HijackThis v1.99.1
Scan saved at 21:45:39, on 29.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\SCROLL~1\MouseElf.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Mx-3 B-Cup Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\MouseElf.EXE
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: MX-3 B-Cup XP (Mx-3 B-Cup Service) - Unknown owner - C:\WINDOWS\system32\Mx-3 B-Cup Service.exe" s (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Reklama

mijaja · Příspěvekod **mijaja** » 30 říj 2006 08:04

No Jeníčku, nemáš tam nic aktivně škodlivého, ale příliš velkou důvěru ve mně nevzbuzují soubory od Brother Industries Ltd - v jednom topicu se tady řešily jeho softy stažené z netu, které byly plné virů. Jestli máš orig.CD s ovladači, mohlo by to být v pořádku. Jestli jsi je stahoval, raději celý soft od Brother Industries Ltd zkontroluj na Jotti.

Ten nález MWAVu pochopitelně smaž:

C:\WINDOWS\gpinstall.exe
HKLM\Software\Licenses: {k7c0db872a3f777c0}

Potom popřemýšlíme, co dál.

Jan Pašek · Příspěvekod **Jan Pašek** » 30 říj 2006 10:07

Jen ještě než to gpinstal.exe smažu ... mám tucha že to je nějaká malího hra. Jedná se pouze o instalační utilitu nebo po odmazání lehne celá hra. Protože pokud bych mu to smazáním toho souboru zbořil celé je lepší celou hru odinstalovat a provést čištění registrů.

mijaja · Příspěvekod **mijaja** » 30 říj 2006 15:24

No Jeníčku ten gpinstal.exe není ze žádné hry - k čemu patří, by ti mohli říct ti co mluví eskymácky.

Jinak na té stránce si můžeš stáhnout i nový soubor a nahradit ten zavirovaný. Zkontroloval jsem ho po stažení na Virustotalu a tady máš výsledek:

Kód: Vybrat vše

Complete scanning result of "gpinstal.exe", received in VirusTotal at 10.30.2006, 15:14:44 (CET).

Antivirus   Version   Update   Result
AntiVir   7.2.0.34   10.30.2006   no virus found
Authentium   4.93.8   10.30.2006   no virus found
Avast   4.7.892.0   10.30.2006   no virus found
AVG   386   10.27.2006   no virus found
BitDefender   7.2   10.30.2006   no virus found
CAT-QuickHeal   8.00   10.30.2006   no virus found
ClamAV   devel-20060426   10.30.2006   no virus found
DrWeb   4.33   10.30.2006   no virus found
eTrust-InoculateIT   23.73.40   10.28.2006   no virus found
eTrust-Vet   30.3.3168   10.30.2006   no virus found
Ewido   4.0   10.30.2006   no virus found
Fortinet   2.82.0.0   10.30.2006   no virus found
F-Prot   3.16f   10.28.2006   no virus found
F-Prot4   4.2.1.29   10.30.2006   no virus found
Ikarus   0.2.65.0   10.30.2006   no virus found
Kaspersky   4.0.2.24   10.30.2006   no virus found
McAfee   4883   10.27.2006   no virus found
Microsoft   1.1609    10.26.2006   no virus found
NOD32v2   1.1843   10.30.2006   no virus found
Norman   5.80.02   10.30.2006   no virus found
Panda   9.0.0.4   10.29.2006   no virus found
Sophos   4.10.0   10.26.2006   no virus found
TheHacker   6.0.1.108   10.30.2006   no virus found
UNA   1.83   10.27.2006   no virus found
VBA32   3.11.1   10.29.2006   no virus found
VirusBuster   4.3.15:9   10.29.2006   no virus found

Aditional Information
File size: 602586 bytes
MD5: 27aaa474ccbd791e816f6b23564e5b47
SHA1: 96c1dc3c4eef8f5943d3df3f21f581184db90953

Jan Pašek · Příspěvekod **Jan Pašek** » 30 říj 2006 18:26

Mno dík za snahu já nevím nic mi to neříká tak půjde ven. a pustíme se do toho zbytku. Pořád se mi mrcha pc zpomaluje až zatuhává tak se podíváme co bychom pro něj mohli udělat a pak dořeším další rozdělaná témata mám tu asi ještě 2.
Nejprve vymažeme co jsme včera našli a ze zvědavosti sem nainstaloval Speed - O - Meter už to hlásilo chybu tak půjde ven pak znovu pročistím registry a spustím AD ware a ozvuse.

Jan Pašek · Příspěvekod **Jan Pašek** » 30 říj 2006 18:52

Jejda už sem tu zas Toho trojana nemůžu najít když dám do hledání "HKLM" vyběhne na mne nějakej soubor z RegScrube nebo jak se ten prográmek na to čištění menuje a to se mi zdá býti podezřelé jinak naštěstí mám pevné připojení.

Jan Pašek · Příspěvekod **Jan Pašek** » 30 říj 2006 19:18

Tohle vyhazuju za pomoci adware každej den:

Spuštěna kontrola cookies
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie - Byl poznán objekt!
Typ : IECache Entry
Data : správce@2o7[2].txt
Hodnocení TAC : 3
Kategorie : Data Miner
Poznámka : Hits:4
Hodnota : Cookie:správce@2o7.net/
Expires : 29.10.2011 16:18:50
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie - Byl poznán objekt!
Typ : IECache Entry
Data : správce@rambler[2].txt
Hodnocení TAC : 3
Kategorie : Data Miner
Poznámka : Hits:3
Hodnota : Cookie:správce@rambler.ru/
Expires : 1.1.2008 1:00:00
LastSync : Hits:3
UseCount : 0
Hits : 3

Výsledek kontroly cookies
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nové kritické objekty: 2
Doposud nalezené objekty: 2

Dá se s tim něco udělat.

mijaja · Příspěvekod **mijaja** » 30 říj 2006 19:41

To jsou cookies od stránek, kam jsi strkal nos. Zvláště správce@rambler.ru

Tohle bych zkopíroval do zakázaných stránek firewallu, aby to nepropouštěl a potom mazat!

Jan Pašek · Příspěvekod **Jan Pašek** » 30 říj 2006 19:56

Hele zeptám se po lamovsku start..nastavení..brána firewal Woken a kam dál a zadat co to si tu napsal červeně nebo internetovou adresu.

mijaja · Příspěvekod **mijaja** » 30 říj 2006 20:14

Jeníčku, žádná brána firewall woken :evil:

ale poctivé Kerio, ZoneAlarm nebo Outpost atd. Do wokenního firewallu nenastavíš adresy na blokování.

Jan Pašek · Příspěvekod **Jan Pašek** » 30 říj 2006 20:25

Já vedět ty se zlobit ale ja lama něco najít a snad mě to chodila Start .. nastavení .. možnosti internetu ... záložka zabezpečení .. klik servery s omezeným přístupem ... Klik tlačítko servery a zapsat adresu a klik přidat.

mijaja · Příspěvekod **mijaja** » 30 říj 2006 20:38

To je sice taky možnost, ale není tak spolehlivá jak firewall.

Zpomaluje se mi PC (vyřešeno)

Zpomaluje se mi PC (vyřešeno)

Kdo je online