Trojan

Pavel777 · Příspěvek od **Pavel777** » stř 19. pro 2007, 22:13

Tak ty dva soubory
C:\WINDOWS\system32\vfLuaPriv2.dll
C:\WINDOWS\system32\drivers\npf.sys
jsou čistý.

Teď jsem si všiml, že po avetaru nebo po combofixu se mi zas zapnula obnova systému. Teď jsem zkoušel jen restart a nezapnulo se to. Navíc mi to po startu píše jestli blokovat javaw. Dávám blokovat, ale řekl bych, že si to stejně dělá co chce

Na ccleaner jdu, ale na co se mám zaměřit?

Pavel777 · Příspěvek od **Pavel777** » stř 19. pro 2007, 22:49

Je to tak, po spuštění testu ComboFix mám zase zapnutou obnovu systému! To není moc příjemný zjištění...
Začínám mít pocit že format C: a nová instalace už by byla rychlejší.

BUBINO · Příspěvek od **BUBINO** » čtv 20. pro 2007, 10:51

Ale ja vam nerozumiem! Za prve , combofis zresetuje nastavenia obnov , cize aj ked ju mate vypnutu , automaticky vam ju nahodi. Ide oto , ze obnova systemu nahrava body v pocitaci a monitoruje stav do urcitych bodov , z ktorych je mozno pocitac obnovit , ale ked mate virusy , obnovenie by sposobilo spustene virusov a navyse pri kontrole je mozne , ze antivir by vam vyhadzoval virusy v obnove systemu a vy by ste mal nervy. Ja som potreboval , aby ste vynuloval a zmaznul subory v obnove systemu a to sa urobi tak , ze sa tato obnova vyone , pocitac restartuje a zase zapne. Potom je prazdna a pokial je vypnuta , combo ju nahodi , takze sa nemusite bat

Co sa tyka javaw je to subor od JAVY a z casu na cas sa updatuje. Ak mate blokaciu , moze vam to naskakovat. Preto ho odblokujte. Ak ste nieco blbo prenastavil , tak preinstalujte antivirus , alebo dajte NODA. Stiahnite si firewall: http://www.viry.cz/forum/viewforum.php?f=3

Toto deletnut: C:\Program Files\Neurotechnologija
Ak mozete a dasa , toto otestujte na virustotal.com:
X:\SETUP.EXE
E:\nvda.exe

Pavel777 · Příspěvek od **Pavel777** » čtv 20. pro 2007, 14:18

OK, obnoveni beru. Já jen že ještě nejsme hotoví a dál tam něco zůstává a se zapnutou obnovo jsem se lekl, že z ní může něco vracet.

Nemůže ten javaw něco tahat dovnitř?

Ty X:\SETUP.EXE E:\nvda.exe musím z registrů mazat ručně? (X mám CD a E je Flash takže by to nemělo dělat binec) V CCleaneru ani HiJackThis jsem je nenašel. Ten nvda mi na virus total zobrazil 1/32 a ten jeden napsal Heuristic: Suspicious Self Modifying File. Je to program na mluvení pro nevidomé

BUBINO · Příspěvek od **BUBINO** » čtv 20. pro 2007, 16:48

Do avengera napiste este toto :

Drivers to unload:
SMTPSVC

Files to delete:
C:\WINDOWS\system32\inetsrv\inetinfo.exe

Je to neaky mail box , ktory zabera cpu .Po rozhovore s radcom som dospel k zaveru , ze by sa mal zmazat. Poznate ho? Ak zabera miesto a pc je spomalene , napada ma on.

Tie programy su ok. Vy ste povedal , ze nie sme hotovy , ja uz nic co by narusalo pc nevidim . javaw.exe je nastroj od javy. Moze stahovat svinstvo , ale to ccleaner ocisti a videli by sme ho.

Urobte este sken s mwav . Nezabudnite updatovat : http://www.viry.cz/forum/viewtopic.php?t=4097
Nastavte podla pokynov a navodu , updatuje a nechajte skenovanie zapnute. Potom sem vlozte log z dolneho okna , nie z horneho !
Ak MWAV nic nenajde , mate pocitac uplne cisty.

Pavel777 · Příspěvek od **Pavel777** » čtv 20. pro 2007, 20:14

Tak teda nevím, jestli je vyhráno. ten C:\WINDOWS\system32\inetsrv\inetinfo.exe na disku vůbec není (a to si myslím, že by měl být IIS od MS - používal jsem to jako web server pro ladění na localhost). Jedině, že by ho nějaká potvora přepsala a nějaký předchozí pokus už smáznul. Mám přesto dávat to unload? Ve službách taky není vidět.

Ten MWAV ještě běží (a dobu ještě bude) ale hned první řádky jsou:
Objekt "grokster Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "grokster Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "bonzibuddy Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "bonzibuddy Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "bonzibuddy Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "savenow Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "Possible Fujacks-type Worm" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\ICQPhone.SipxPhoneManager" odkazuje na neplatný objekt "{82308D15-1A2C-416A-A5BE-21DAF85DDB75}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\MailFileAtt" odkazuje na neplatný objekt "{00020D05-0000-0000-C000-000000000046}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\mapifvbx.object" odkazuje na neplatný objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\mapifvbx.object.1" odkazuje na neplatný objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Provedené akce: Nic nebylo provedeno.
Záznam "HKCR\VisualStudio.VSPolicyExtenderProvider.8.0" odkazuje na neplatný objekt "{2AA841FA-72CF-493d-BD95-81E46540BEC8}". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" odkazuje na neplatný objekt "C:\WINDOWS\Downloaded Program Files\MVSGif.ocx". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" odkazuje na neplatný objekt "C:\WINDOWS\Downloaded Program Files\webscan.dll". Provedené akce: Nic nebylo provedeno.
Záznam "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" odkazuje na neplatný objekt ""C:\Program Files\Java\jre1.5.0_06\bin\javaws.exe"". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "X:\OFF_97PR\Office\Actors\logo.act". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "X:\OFF_97PR\Office\Actors\scribble.act". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "X:\OFF_97PR\Office\Actors\dot.act". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "X:\OFF_97PR\Office\Actors\mnature.act". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "X:\OFF_97PR\Office\Actors\hoverbot.act". Provedené akce: Nic nebylo provedeno.
Záznam "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" odkazuje na neplatný objekt "X:\OFF_97PR\Office\Actors\will.act". Provedené akce: Nic nebylo provedeno.

a další - dále už jen podobné neplatné objekty Na konci už jen viry v C:\avenger\backup.zip...

BUBINO · Příspěvek od **BUBINO** » čtv 20. pro 2007, 20:38

Ak ten subor tam nie je , bude deletnuty , nemusite uz nic robit.
S tymi logmi je vsetko ok , vsetky su ciste a mwav to potvrdil .Nemate

Poprosil by som , aby ste viry v
c:\avenger
c:\quarantine
c:\combofix zrazoval a uploadoval tu : http://www.viry.cz/forum/viewtopic.php?t=30935

Potom ich manualne zmate a aj logy z combofixu , atd.

Precistite pocitac este s ccleanerom a niekolko krat.

Inak je to v poriadku . Odporucal by som si pretriedit neake zlozky v progrm files a nepotrebne zmazat.

Pavel777 · Příspěvek od **Pavel777** » pát 21. pro 2007, 09:34

Tak se mi to pořád nelíbí. Po startu mám v tempu stále okolo dvaceti jar_cachexxxxx.tmp, který nejdou smazat a nedá se do nich ani podívat. Je pravda, že na tomto PC mám Javu - J2SE Runtime Environment), ale myslím, že to tam dřív nebylo a navíc si myslím, že když nemám po startu spouštění IE, tak snad ani ta Java nemá startovat. Je to vůbec od ní?

Dal jsem pryč
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
o kterým nevím, že by mi k něčemu sloužilo - vyhledávání pro pdf??? (na ostatních PC se stejnou verzí pdf to nemám....

Teď váhám co je:
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://ca.com/cz/securityadvisor/virusinfo/webscan.cab

a pak mi není jasný proč mejdou fixnout tři řádky u konce mýho HiJackThis logu. Jak je tam file missing.

V CCleanu je tolik položek v registrech a všude, že mám pocit, že bych to probíral 10 let

Maže to někdo z vás takzvaně "šmahem"

BUBINO · Příspěvek od **BUBINO** » pát 21. pro 2007, 17:24

To usudzujete z toho , ze mate zaplnene cache a pomaly pocitac? Ako pri tych virov by som bol vdacny , ze ten vas pocitac sa este drzi a s tym , ze sa vam to nechce cistit ja nemam nic. Ja vam maximalne poradim "vycistenie" , a je len na vas ci to urobite , ale potom co sa vam este nezda?!

Ccleaner vam vycisti vsetko . Tie subory , pochybujem , ze budu infikovane , pac bolo by to vidiet v neakom logu . Budu od Java Cache.
Štart --> Ovládacie Panely --> Java --> následne nám nabehne okno ( Java Control Panel ) --> klikneme na Delete Files --> nabehne okienko ( Delete Temporary Files), ak niesu označené , tak označíme Všetky 3 možnosti a následne OK.
Systém vykoná vymazanie nepotrebných súborov.

Java nema nic s tym , ze nepouzivate IE. Je to program , ktory podporuje prehliadace , programy a bez nej tazko by vam nieco na nete islo .

Precistite pocitac tym ccleanerom zmazte cachce podla navodu hore.

Pavel777 · Příspěvek od **Pavel777** » pát 21. pro 2007, 17:50

Nejde o to, že by se mi něco nechtělo nebo že by něco bylo pomalý. Je mi jen divný, že tam ty soubory jsou. Mám dojem, že tam předtím nebyly už v době kdy jsem tu Javu používal. Vždy jsem tem mazal komplet...

To vyčištění souborů Javy mě samozřejmě napadlo hned jako první, ale on si ty svoje soubory ukládá jinam - do C:\Documents and Settings\MyAccount\Data aplikací\Sun\Java\Deployment\cache a tuhle složku mám taky čistou. Že by jedna Java dávala svoje temp na dvě místa?

V každém případě jsem vám moc vděčný za pomoc - sám bych tohle nezvládl. Jen mi to ještě trošku vrtá hlavou a když mi tam něco vrtá, tak prostě ještě nemám klid. Taky mi to na tu Javu nesedí to, že po startu Win neběží IE a tudíž by snad neměla ani Java nebo se v tomhle pletu?

Pavel777 · Příspěvek od **Pavel777** » pát 21. pro 2007, 17:56

Ještě detail, který už jsem asi psal, ale .... ty soubory jsou zamčený tak, že nejdou smazat a nedá se do nich ani podívat. To mi připadá dost nestandardní použití tempu. A po tom co se mi tu všecko na jedno kliknutí nastěhovalo bych lépe spal, kdybych někde viděl, že jsou tam tyhle soubory proto nebo proto. Jinak díky moc za váš čas...

BUBINO · Příspěvek od **BUBINO** » pát 21. pro 2007, 18:10

Java , to je program . Presne ako DirextX. Keby ste ho nemal , tak vy bam hry tazko isli .

Ak su zamknute , pouzite presne tento navod : http://www.viry.cz/forum/viewtopic.php?t=6860