kontrola logu(vyřešeno)

filous06 · Příspěvekod **filous06** » 01 pro 2006 13:32

Dobrý den, asi týden byl klid ale bohužel mě avast opět začal hlásit Win32:Swizzor-gen [Trj] infiltrací ze souboru jak jsem psal výše. Posílám log z hijacku:

Logfile of HijackThis v1.99.1
Scan saved at 13:31:19, on 1.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Ondra.F\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WebTransBHO Class - {2DB66063-BB98-466A-AA0D-3E7ACF5ED853} - C:\TRANSLAT\WEBIE.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: WebTranslator - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - C:\TRANSLAT\WEBIE.DLL
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: WebTran - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - (no file)
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: &Nastavit překladač - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &označený text - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &stránku - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3526151328
O17 - HKLM\System\CCS\Services\Tcpip\..\{774A19F4-5466-4567-B48D-0330643ADF75}: NameServer = 10.30.1.1,82.202.114.2
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SNMP - Unknown owner - C:\WINDOWS\System32\snmp.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Reklama

mijaja · Příspěvekod **mijaja** » 01 pro 2006 13:41

logu máš jen tohle:

O9 - Extra button: (no name) - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - (no file)

to fixni.

O23 - Service: SNMP - Unknown owner - C:\WINDOWS\System32\snmp.exe (file missing)
tuhle službu zakaž!

Ale lepší by byl jednak sken mwavew (podle návodu v mém podpisu) a jednak také log Avastu.

filous06 · Příspěvekod **filous06** » 01 pro 2006 14:05

log z avastu na mwavu pracuju

1.12.2006 13:00:12 SYSTEM 1656 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
1.12.2006 12:00:14 SYSTEM 1656 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
28.11.2006 6:21:14 SYSTEM 1648 Při pokusu o automatickou aktualizaci došlo k chybě. Zkontrolujte prosím log soubory.
28.11.2006 6:21:13 SYSTEM 1648 Funkce setifaceUpdatePackages() selhala. Návratová hodnota je 0xC0000142, dwRes je C0000142.
28.11.2006 2:15:08 SYSTEM 1648 Funkce setifaceUpdatePackages() selhala. Návratová hodnota je 0xC0000142, dwRes je C0000142.
28.11.2006 2:15:08 SYSTEM 1648 Při pokusu o automatickou aktualizaci došlo k chybě. Zkontrolujte prosím log soubory.
27.11.2006 22:09:03 SYSTEM 1648 Při pokusu o automatickou aktualizaci došlo k chybě. Zkontrolujte prosím log soubory.
27.11.2006 22:09:02 SYSTEM 1648 Funkce setifaceUpdatePackages() selhala. Návratová hodnota je 0xC0000142, dwRes je C0000142.
24.11.2006 18:22:44 Ondra 3868 Virus "Win32:Adware-gen. [Adw]" byl nalezen v souboru "C:\Program Files\Download Plugin\DlPlugin-Moz\setup2.exe".
24.11.2006 18:00:16 SYSTEM 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
24.11.2006 17:00:39 SYSTEM 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
20.11.2006 10:00:08 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
20.11.2006 9:09:13 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
20.11.2006 9:00:05 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
19.11.2006 20:00:26 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
19.11.2006 19:00:09 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
19.11.2006 18:00:25 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
19.11.2006 17:00:11 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
19.11.2006 15:09:00 Ondra 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "C:\RECYCLER\S-1-5-21-854245398-1604221776-725345543-1003\Dc105.exe".
19.11.2006 15:08:57 Ondra 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "C:\RECYCLER\S-1-5-21-854245398-1604221776-725345543-1003\Dc99.exe".
19.11.2006 15:08:52 Ondra 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "C:\RECYCLER\S-1-5-21-854245398-1604221776-725345543-1003\Dc100.exe".
19.11.2006 15:08:40 Ondra 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "C:\RECYCLER\S-1-5-21-854245398-1604221776-725345543-1003\Dc72.exe".
19.11.2006 15:00:04 SYSTEM 1648 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".

filous06 · Příspěvekod **filous06** » 01 pro 2006 15:08

mwav:

Fri Dec 01 14:43:29 2006 => Offending Key found: HKLM\Software\magnet !!!
Fri Dec 01 14:43:33 2006 => Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Dec 01 14:43:34 2006 => Offending Key found: HKCU\\magnet !!!
Fri Dec 01 14:43:34 2006 => Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Dec 01 14:43:33 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\virusburster !!!
Fri Dec 01 14:43:33 2006 => Object "virusburst Trojan" found in File System! Action Taken: No Action Taken.

Fri Dec 01 14:46:36 2006 => ***** Scanning complete. *****

Fri Dec 01 14:46:36 2006 => Total Objects Scanned: 27039
Fri Dec 01 14:46:36 2006 => Total Critical Objects: 3
Fri Dec 01 14:46:36 2006 => Total Disinfected Objects: 0
Fri Dec 01 14:46:36 2006 => Total Objects Renamed: 0
Fri Dec 01 14:46:36 2006 => Total Deleted Objects: 0
Fri Dec 01 14:46:36 2006 => Total Errors: 24
Fri Dec 01 14:46:36 2006 => Time Elapsed: 00:06:10
Fri Dec 01 14:46:36 2006 => Virus Database Date: 11/30/2006
Fri Dec 01 14:46:36 2006 => Virus Database Count: 246832

Fri Dec 01 14:46:36 2006 => Scan Completed.

mijaja · Příspěvekod **mijaja** » 01 pro 2006 15:25

Stáhni si Ccleaner (návod a link mám v podpisu) a nainstaluj.
Stáhni si SmitFraudFix, rozbal jej na ploše a nachystej na použití.

Restartuj do nouzového režimu, odpoj se od internetu

Spustíš SmitFraudFix - objeví se modrá obrazovka aplikace a stiskneš volbu 4. Proběhne update programu. Potom zmáčkni volbu 2.
Nechej proskenovat počítač.
Pokud budeš dotázán, zda povolíš čištění registrů (Do you want to clean the registry ?), stiskni klávesu Y (pozor na záměnu Y a Z na klávesnici)
Pokud budeš dotázán na odstranění zavirovaných souborů z počítače (Replace infected file ?), stiskneš opět klávesu Y.

Potom začni vyhledávat a mazat soubor

C:\Program Files\Download Plugin\DlPlugin-Moz\setup2.exe".

Potom dej: Nabídka Start>>Spustit- do okénka napiš regedit a zmáčkni Enter nebo OK. V editoru registrů dej vyhledávámí a najdi v něm tyto klíče:

HKLM\Software\magnet
HKCU\\magnet
HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\virusburster

a smaž je.

Ten zbytek, odkud se ten šmejd hlásil byl v koši.

Spusť Ccleaner a dej vyčistit windows, aplikace i registry. Potom nakoukni do složek Temp a Temporary Internet Files ve všech profilech Documents and Settings a Windows, jestli jsou prázdné a vysyp koš. Restartuj do normálu a uvidíme.

filous06 · Příspěvekod **filous06** » 02 pro 2006 16:23

Smitfraudem jsem to projel, ale ten soubor C:\Program Files\Download Plugin\DlPlugin-Moz\setup2.exe se mi nepodařilo najít. Trojana mi to hlásí dál

sakiri · Příspěvekod **sakiri** » 02 pro 2006 18:23

stáhni si Killbox a spusť ho.
Do volného řádku zkopíruj tenhle tučnej text:
C:\Program Files\Download Plugin\DlPlugin-Moz\setup2.exe

a zaškrtni volbu Delete on Reboot.
A stiskni bílý křížek v červeném kolečku.
PC půjde do restartu.
Po restartu sem dej log z HJT + log Avastu +proscanuj PC MWAVem +pro jistotu si stáhni Rootkit Revealer rozbal ho a spusť ho klikni na tlačítko Scan po dokončení scanu kilkni na File> save a uložený log sem zkopíruj.

filous06 · Příspěvekod **filous06** » 03 pro 2006 11:03

hijack:

Logfile of HijackThis v1.99.1
Scan saved at 11:01:34, on 3.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Ondra.F\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WebTransBHO Class - {2DB66063-BB98-466A-AA0D-3E7ACF5ED853} - C:\TRANSLAT\WEBIE.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: WebTranslator - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - C:\TRANSLAT\WEBIE.DLL
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: WebTran - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: &Nastavit překladač - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &označený text - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &stránku - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\TRANSLAT\WEBIE.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3526151328
O17 - HKLM\System\CCS\Services\Tcpip\..\{774A19F4-5466-4567-B48D-0330643ADF75}: NameServer = 10.30.1.1,82.202.114.2
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

avast:

19.11.2006 15:00:04 SYSTEM 1648 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
19.11.2006 15:08:40 Ondra 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "C:\RECYCLER\S-1-5-21-854245398-1604221776-725345543-1003\Dc72.exe".
19.11.2006 15:08:52 Ondra 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "C:\RECYCLER\S-1-5-21-854245398-1604221776-725345543-1003\Dc100.exe".
19.11.2006 15:08:57 Ondra 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "C:\RECYCLER\S-1-5-21-854245398-1604221776-725345543-1003\Dc99.exe".
19.11.2006 15:09:00 Ondra 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "C:\RECYCLER\S-1-5-21-854245398-1604221776-725345543-1003\Dc105.exe".
19.11.2006 17:00:11 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
19.11.2006 18:00:25 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
19.11.2006 19:00:09 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
19.11.2006 20:00:26 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
20.11.2006 9:00:05 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
20.11.2006 9:09:13 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
20.11.2006 10:00:08 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
24.11.2006 17:00:39 SYSTEM 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
24.11.2006 18:00:16 SYSTEM 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
24.11.2006 18:22:44 Ondra 3868 Virus "Win32:Adware-gen. [Adw]" byl nalezen v souboru "C:\Program Files\Download Plugin\DlPlugin-Moz\setup2.exe".
27.11.2006 22:09:02 SYSTEM 1648 Funkce setifaceUpdatePackages() selhala. Návratová hodnota je 0xC0000142, dwRes je C0000142.
27.11.2006 22:09:03 SYSTEM 1648 Při pokusu o automatickou aktualizaci došlo k chybě. Zkontrolujte prosím log soubory.
28.11.2006 2:15:08 SYSTEM 1648 Funkce setifaceUpdatePackages() selhala. Návratová hodnota je 0xC0000142, dwRes je C0000142.
28.11.2006 2:15:08 SYSTEM 1648 Při pokusu o automatickou aktualizaci došlo k chybě. Zkontrolujte prosím log soubory.
28.11.2006 6:21:13 SYSTEM 1648 Funkce setifaceUpdatePackages() selhala. Návratová hodnota je 0xC0000142, dwRes je C0000142.
28.11.2006 6:21:14 SYSTEM 1648 Při pokusu o automatickou aktualizaci došlo k chybě. Zkontrolujte prosím log soubory.
1.12.2006 12:00:14 SYSTEM 1656 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
1.12.2006 13:00:12 SYSTEM 1656 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
1.12.2006 14:00:15 SYSTEM 1656 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
1.12.2006 15:00:51 SYSTEM 1656 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
1.12.2006 17:00:13 SYSTEM 1648 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
1.12.2006 18:00:06 SYSTEM 1648 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 3:00:10 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 9:00:09 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 10:00:06 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 11:00:30 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 12:00:11 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 13:00:16 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 14:00:37 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 16:03:21 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 17:00:12 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
2.12.2006 18:04:26 SYSTEM 1644 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".
3.12.2006 11:00:18 SYSTEM 1652 Virus "Win32:Swizzor-gen [Trj]" byl nalezen v souboru "http://bins.dns-look-up.com/bins/int/upAYB.int".

filous06 · Příspěvekod **filous06** » 03 pro 2006 11:32

mwav:

Sun Dec 03 11:07:02 2006 => Scanning File C:\Documents and Settings\Ondra.F\Plocha\SmitfraudFix.exe
Sun Dec 03 11:07:45 2006 => File C:\Documents and Settings\Ondra.F\Plocha\SmitfraudFix.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.

Sun Dec 03 11:10:31 2006 => ***** Scanning complete. *****

Sun Dec 03 11:10:31 2006 => Total Objects Scanned: 26715
Sun Dec 03 11:10:31 2006 => Total Critical Objects: 1
Sun Dec 03 11:10:31 2006 => Total Disinfected Objects: 0
Sun Dec 03 11:10:31 2006 => Total Objects Renamed: 0
Sun Dec 03 11:10:31 2006 => Total Deleted Objects: 0
Sun Dec 03 11:10:31 2006 => Total Errors: 18
Sun Dec 03 11:10:31 2006 => Time Elapsed: 00:05:42
Sun Dec 03 11:10:31 2006 => Virus Database Date: 11/30/2006
Sun Dec 03 11:10:31 2006 => Virus Database Count: 246832

Rootkit:

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 3.12.2006 11:22 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 3.12.2006 11:21 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 3.12.2006 11:21 0 bytes Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\0702FD1Ed01 3.12.2006 11:27 46.99 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\0BAC7123d01 3.12.2006 11:27 23.48 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\11AFDDA3d01 3.12.2006 11:26 36.87 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\142DB2ECd01 3.12.2006 11:26 20.37 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\1E3414A5d01 3.12.2006 11:25 23.30 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\2028F6DEd01 3.12.2006 11:26 21.90 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\20679442d01 3.12.2006 11:27 17.05 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\2ADE74EDd01 3.12.2006 11:27 17.13 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\323EBA75d01 3.12.2006 11:26 24.21 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\4826050Cd01 3.12.2006 11:26 26.02 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\506794A7d01 3.12.2006 11:27 24.35 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\5DA2F62Ad01 3.12.2006 11:25 29.13 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\7345976Bd01 3.12.2006 11:25 189.00 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\7407B96Ad01 3.12.2006 11:26 27.47 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\7ECD7087d01 3.12.2006 11:27 20.84 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\84AD1744d01 3.12.2006 11:25 24.69 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\87CC6016d01 3.12.2006 11:27 16.53 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\90BAAC9Cd01 3.12.2006 11:27 50.36 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\A09A48C9d01 3.12.2006 11:26 23.30 KB Hidden from Windows API.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\A7066C6Ad01 3.12.2006 11:27 16.48 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\AF570C38d01 3.12.2006 11:27 38.59 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\D0B0951Bd01 3.12.2006 11:27 16.76 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\E71E3F6Dd01 3.12.2006 11:27 57.92 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\E872F528d01 3.12.2006 11:27 19.09 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Ondra.F\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\0f6gbi9i.default\Cache\F7A4998Dd01 3.12.2006 11:26 29.13 KB Hidden from Windows API

Marinus · Příspěvekod **Marinus** » 03 pro 2006 12:47

Za sebe tam problémy vidím dva:

- Jednak to, co se neúspěšně odstranilo, je Adware.Lop, to jest cokoli, co se spouští jako víceslovný hloupě pojmenovaný .exe soubor ve víceslovné hloupě pojmenované složce pod adresářem Data Aplikací.

Typický příklad z tvého logu:

O4 - HKLM\..\Run: [SAVEDARTCLOSEHOPE] C:\Documents and Settings\All Users.WINDOWS\Data aplikací\compokaysavedart\RemoteDraw.exe
O4 - HKCU\..\Run: [ELSEDELETE] C:\DOCUME~1\Ondra.F\DATAAP~1\THESEC~1\copyflapbind.exe

- A za další, ten Lop se vždy instaluje jako adware k nějakému podvodnému programu (NetPumper, Messenger Plus), v tvém případě k programu Download Plugin (for Internet Explorer, Mozilla). Jenže tím, že si killboxoval a odstranil soubor setup2.exe, si přišel o možnost korektní odinstalace. To znamená, podívej se do nabídky Přidat nebo odebrat programy jestli tam nemáš uvedený řádek Download Plugin ... Jestli ano, jdi zpět do složky C:\!Killbox a najdi tam ten soubor setup2.exe a vrať ho zpět do umístění C:\Program Files\Download Plugin\DlPlugin-Moz\ a následně spusť přes Přidat nebo odebrat programy odinstalaci.

Pokud i přesto budeš mít problémy, tak na viry.cz/forum používají aplikaci LopFind - http://sweb.cz/Marinus/LopFind.bat Stáhni ji, spusť ji a vlož sem log, který se objeví.

filous06 · Příspěvekod **filous06** » 03 pro 2006 13:44

Log z Lopfind

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C je Disk.
S‚riov‚ źˇslo svazku je A4C1-08D6.

Věpis adres ýe C:\Documents and Settings\All Users.WINDOWS\DATAAP~1

17.11.2006 09:45 <DIR> PC Suite
16.11.2006 20:53 <DIR> Yahoo! Companion
12.11.2006 20:02 <DIR> Spybot - Search & Destroy
10.11.2006 18:35 <DIR> BinFlagWaitAnti
29.10.2006 13:02 <DIR> Spyware Terminator
28.10.2006 09:14 <DIR> compokaysavedart
21.10.2006 10:58 <DIR> Symantec
22.08.2006 11:23 <DIR> BIZSCR
03.08.2006 16:28 <DIR> Adobe Systems
22.07.2006 01:08 <DIR> Windows Genuine Advantage
12.07.2006 11:24 <DIR> Adobe
16.03.2006 22:54 <DIR> ACD Systems
18.12.2005 13:07 <DIR> MSN6
17.12.2005 14:34 <DIR> QuickTime
16.12.2005 13:57 62 desktop.ini
16.12.2005 13:57 <DIR> Microsoft
16.12.2005 13:57 <DIR> .
16.12.2005 13:57 <DIR> ..
1 soubor…, 62 bajt…
Adres ý…: 17, Volněch bajt…: 18152284160
Svazek v jednotce C je Disk.
S‚riov‚ źˇslo svazku je A4C1-08D6.

Věpis adres ýe C:\Documents and Settings\Ondra.F\DATAAP~1

17.11.2006 10:30 27816 NMM-MetaData.db
17.11.2006 10:29 <DIR> Nokia Multimedia Player
17.11.2006 10:28 <DIR> Datalayer
17.11.2006 09:45 <DIR> Nokia
17.11.2006 09:45 <DIR> PC Suite
28.10.2006 09:13 <DIR> Thesectbone
01.09.2006 16:59 <DIR> vlc
30.08.2006 09:31 <DIR> Real
04.08.2006 15:33 <DIR> iPodder
03.08.2006 17:58 <DIR> Opera
03.08.2006 12:39 <DIR> ICQLite
23.07.2006 20:10 <DIR> Talkback
23.07.2006 20:10 <DIR> Mozilla
19.07.2006 18:00 <DIR> WebCatcher
18.07.2006 08:07 <DIR> Google
15.07.2006 21:08 <DIR> Macromedia
23.06.2006 14:29 <DIR> Sun
11.06.2006 17:09 <DIR> GtechCz
11.06.2006 17:09 <DIR> vkm
26.05.2006 15:27 <DIR> COWON
20.04.2006 19:28 <DIR> IrfanView
30.03.2006 23:57 <DIR> Design Science
23.03.2006 23:10 <DIR> PDM
05.01.2006 19:04 <DIR> MSN6
25.12.2005 19:41 <DIR> Help
22.12.2005 20:34 <DIR> Ahead
17.12.2005 14:33 <DIR> Graphisoft
17.12.2005 14:24 <DIR> ICQ
17.12.2005 14:04 <DIR> AdobeUM
17.12.2005 13:47 <DIR> ACD Systems
17.12.2005 13:44 <DIR> Adobe
17.12.2005 13:39 <DIR> Identities
17.12.2005 13:39 62 desktop.ini
17.12.2005 13:39 <DIR> Microsoft
17.12.2005 13:39 <DIR> ..
17.12.2005 13:39 <DIR> .
2 soubor…, 27878 bajt…
Adres ý…: 34, Volněch bajt…: 18152284160
Svazek v jednotce C je Disk.
S‚riov‚ źˇslo svazku je A4C1-08D6.

Věpis adres ýe C:\Documents and Settings\Administrator\DATAAP~1

12.11.2006 17:57 62 desktop.ini
12.11.2006 17:57 <DIR> Microsoft
12.11.2006 17:57 <DIR> ..
12.11.2006 17:57 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 18152284160
Svazek v jednotce C je Disk.
S‚riov‚ źˇslo svazku je A4C1-08D6.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

24.12.2005 09:49 62 desktop.ini
24.12.2005 09:48 <DIR> ..
24.12.2005 09:48 <DIR> Microsoft
24.12.2005 09:48 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 18152284160
Svazek v jednotce C je Disk.
S‚riov‚ źˇslo svazku je A4C1-08D6.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

16.12.2005 09:12 <DIR> ..
16.12.2005 09:12 <DIR> Microsoft
16.12.2005 09:12 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 18152280064
Svazek v jednotce C je Disk.
S‚riov‚ źˇslo svazku je A4C1-08D6.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

16.12.2005 09:12 <DIR> ..
16.12.2005 09:12 <DIR> Microsoft
16.12.2005 09:12 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 18152280064

******************************************

2) Výpis souborů ze složky C:\WINDOWS\Tasks pro zjištění podezřelých .job souborů:

Svazek v jednotce C je Disk.
S‚riov‚ źˇslo svazku je A4C1-08D6.

Věpis adres ýe C:\WINDOWS\Tasks

28.10.2006 09:14 264 A9192B4F91AEA03F.job
16.12.2005 13:09 6 SA.DAT
16.12.2005 13:06 65 desktop.ini
16.12.2005 09:00 <DIR> ..
16.12.2005 09:00 <DIR> .
3 soubor…, 335 bajt…
Adres ý…: 2, Volněch bajt…: 18˙152˙280˙064

******************************************

3) Vyhledávání podvodných programů ve složce Program files:

Adresář C:\Program Files\Adv Nepřítomen !

Adresář C:\Program Files\C2Media Nepřítomen !

Adresář C:\Program Files\Download Plugin Nepřítomen !

Adresář C:\Program Files\Messenger Plus! 3 Nepřítomen !

Adresář C:\Program Files\NetPumper Nepřítomen !

Adresář C:\Program Files\Proxy download Nepřítomen !

Marinus · Příspěvekod **Marinus** » 03 pro 2006 13:59

A poslední z mého výkladu: Lop se spouští jako šesnáctimístný .job soubor pod složkou C:\WINDOWS\Tasks

Takže, teď to všechno odpráskneme:

Stáhni si Avenger - http://swandog46.geekstogo.com/avenger.exe
- Zvol Input script manually a klikni na Lupu
- Do následně otevřeného prázdného okna zkopíruj tento text:

Kód: Vybrat vše

Files to delete:
"C:\WINDOWS\Tasks\A9192B4F91AEA03F.job" 

Folders to delete:
"C:\Documents and Settings\Ondra.F\DATAAP~1\Thesectbone"  
"C:\Documents and Settings\All Users.WINDOWS\DATAAP~1\BinFlagWaitAnti" 
"C:\Documents and Settings\All Users.WINDOWS\DATAAP~1\compokaysavedart"

- Stiskni Done
- Klikni na Semafor, potvrď obě hlášky a počítač se restartuje

Po restartu by se měl objevit log z Avengeru, zkopíruj ho sem.

kontrola logu(vyřešeno)

Kdo je online