viry v registrech

[NEZNALEC]

cau, mam dotaz, mel jsem nake viry v registrch nasel mi je nod32 a taky trojan hunter, oba je dokazaly smazat ale po nejake dobe mi opet ukazaly ze ten vir tam porad, je taj jsem zformatoval disk, a bylo to oka ale 2hy den mi opet nod nahlasil ze tam je porad, tak jsem zformatoval znovu jestli se tam nahodou nestahl z netu znovu, a uz mi ani jeden vir nehlasi nic, ale zato adaware mi nasel nejake ty spamy a 9 v registr keys a 3 v registr value, nevim cim je mam smazat, a strane mam od te doby komp dojebany, nekdy mi procak pracuje i na 80% a to nemam pustene nic, a ve spravci uloh mi hlasi ze jen necine procesy jedou na 99%, sem tam TASKMGR nejake to procento a nebo system, nevite co s tim? dik

[Baron Prášil]

pošli log z HJT
HijackThis stahneš tady-
http://www.bleepingcomputer.com/files/M ... ckThis.zip
rozbal do vlastní složky,spusť,klikni na "Do a system scan and save a logfile"
Vygenerovaný texťák zkopíruj sem.

[NEZNALEC]

Logfile of HijackThis v1.99.1
Scan saved at 18:00:27, on 17.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\BitLord\BitLord.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Jirka\Plocha\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=62548
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{A17FBBB1-57B3-4FF6-971C-C4DCB04E5FB6}: NameServer = 10.152.40.4,10.152.16.116
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[X-Spidy-X]

K tem necinym procesum... Tak je to spravne. Procenta znamenaj na kolik procent zrovna cpu "odpociva". Pokud bys tam mel nulu, tak bys na tom byl hodne spatne. Na sto procent vytizenej!!

[Shit]

...ale zato adaware mi nasel nejake ty spamy a 9 v registr keys a 3 v registr value, nevim cim je mam smazat,....

Projeď PC třeba Spybotem. Spybot Ti nabídne možnost fixu.

[NEZNALEC]

co je to ten fix?

[Baron Prášil]

v logu nevidim důvod zpomalení.

fixni jenom tohle

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

jak píše Shit,nainstaluj Spybot S&D
http://www.safer-networking.org/en/mirrors/index.html

nastav češtinu,aktualizuj,zapni rezident (Režim>Pro pokročilé>Nástroje>Rezidentní a zaškrtni oboje) a projeď komp. co najde smaž.

[Baron Prášil]

ještě by to chtělo SP2!

[NEZNALEC]

jak se fixnout to R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) ???

[Baron Prášil]

v logu kterej se vygeneroval v okně programu,vlevo zafajfkuješ tu trojku a stiskneš Fix checked.

[NEZNALEC]

no to jsem udelal a v tom momente mi nahlasil ten skybot DULEZITA zmena v registrech, a jak to projedu znovu v tom HJT taj je to tam porad to R3 bla bla bla

[Baron Prášil]

ano,ve Spybotu musíš změnu povolit a zapamatovat v tom okně který na tebe vyskočí.

[NEZNALEC]

oka mam to dik, a jeste ted koukam ze oproti tomu min logu mi to hodilo jeste polozku : O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll



taky pryc?

[Baron Prášil]

ne,to je ten Spybot

jak se ten komp chová?

[NEZNALEC]

a jo docela uz fpoho, uvidim zitra po restartu a tak, a nejspis vim z ceho sem to mel jeden kamos mi porad posilal nesmyslne odkazy na icq a ted sem na netu nasel toto http://bonusweb.idnes.cz/hardware/hwnew ... 61017.html

tak si davejte bacha

[Baron Prášil]

je to relativně nová věc a objevujou se nový varianty-
http://www.viry.cz/go.php

[NEZNALEC]

ajeeeeje, ten spybot me porad nachazi nejake STATCOUNTER a SWIZZOR smazu je ale restartu jsou tam zase. a navic mi ted vyn pri vypinani hlasi nakou chybu knihovny DLL

[Baron Prášil]

to první má něco s reklamou,to druhý je trojan.
skus vypnoutrezident u toho Trojan Huntera(možná se z něčim mlátí)
a projeď komp NODem v nouzovým režimu(kde nespuštěj žádnej prohlížeč) a všechno co najde smaž. zkontroluj jestli máš čerstvou aktualizaci,tady
http://www.eset.cz/cz

[Shit]

...zkontroluj jestli máš čerstvou aktualizaci,tady
http://www.eset.cz/cz

NOD32 trial má pozdější aktualizace databáze mršin, než plný NOD - mohu uvést i důvody, ale to není podstatné...
AVS má stejně rychlou (aktuální) databázi mršin jako plnohodnotný KAV/KIS - možná to je lepší řešení, než trialka NODu 32.

[NEZNALEC]

nic porad nic.., nod mi ty dva viry vubec nenajde... a to mam nej aktualizaci. najde to jen ten spybot, a po restartu tam jsou porad