Prosím o pomoc...

[McGruderová]

Dobrý den,

prosím o pomoc s virem... Používám Spyware Terminator a NOD32, oba dva programy mi vir najdou, ale odstranit ho nedokážou. NOD32 háže tyto hlášky:

C:\System Volume Information\_restore{9D7E0FD1-187D-4AE2-A646-3A85E3917D7A}\RP234\A0034375.exe »NSIS »Installer.exe »NSIS »ShoppingReport.dll - Win32/Adware.Toolbar.Shopper application

C:\System Volume Information\_restore{9D7E0FD1-187D-4AE2-A646-3A85E3917D7A}\RP240\A0034767.EXE »WISE »Zapu-SecuredEMule-Installer.exe »NSIS »Installer.exe »NSIS »ShoppingReport.dll - Win32/Adware.Toolbar.Shopper application

C:\System Volume Information\_restore{9D7E0FD1-187D-4AE2-A646-3A85E3917D7A}\RP240\A0034767.EXE - Win32/Adware.Toolbar.Shopper application

Spyware sice vir smaže a při rescanu hlásí čistý PC, ale další den je tam vir znovu.

Berte prosím v potaz, že jsem ženská.

[McGruderová]

Přidávám ještě svůj hijack log...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:46, on 15.1.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\QIP\qip.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Eset\nod32.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QIP2005] C:\Program Files\QIP\qip.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3257818618
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3259414265
O17 - HKLM\System\CCS\Services\Tcpip\..\{48338B41-EA08-4410-BADC-AF7B61FFE2DE}: NameServer = 10.3.3.1,212.24.128.8
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Program Files\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6420 bytes

[BUBINO]

Prajem pekny den!

Vypnite obnovu systemu :
Start >> Ovladacie Panely >> System >> Obnovovanie systemu. Kliknite na ramcek - Vypnut sluzbu obnovovanie systemu na vsetkych jednotkach. Potvrdte Pouzit/Apply a restartujte pocitac. Ak ramcek ostane po restartovany oznaceny, tak ho odznacte.Malo by to byt ok.

[McGruderová]

Budu mít hloupý dotaz - proč vypínat obnovu systému? Neměla bych se spíš vrátit k nějakému vzdálenějšímu bodu obnovení, dokud tam ještě vir nebyl? Omlouvám se, že vám do toho kecám, ale nechci neuváženě čachrovat se systémem. Děkuji!

[BUBINO]

Ak sa vratite do neakeho casoveho budu, tak sa vam obnovia virusy ktore ste mala + smejd tam zostane a bude vam to hlasit nadalej. Teraz vas nechapem, ako myslite neuvazene cachrovat? Nemozete tym nic pokazet a log vypada ok, cize tym, ze ju vypnete, zmaze sa bod obnovenia a smejdy sa zmaznu.

[McGruderová]

Děkuji mnohokrát, vir je pryč. Nebyla jsem si jistá, jak přesně bude smazání bodu obnovy fungovat, ale nakonec mi pomohl strejda google. Ještě jednou moc díky.

[BUBINO]

Nemate zac, rado sa stalo. Aj na buduce

[NobodyLovesMe]

Slušný antivir zahlásí,že soubor momentálně nelze smazat a zeptá se,jestli se má soubor smazat při příštím startu systému.Vypínat obnovení není dobrý nápad.Pokud se vyskytne nějaký problém,nelze se vrátit do stavu,kdy to bylo ještě v pořádku.Systém automaticky vytváří nové kontrolní body a staré maže-podle toho,kolik se nechá procent pro obnovy.Staré zálohy,kdy byl v systému vir tedy systém automaticky nahradí novými,které jsou již čisté.

[BUBINO]

Zavisi od varianty smejda a aj keby sa vytvoril bod obnovy, tak ten smejd tam ostane, pretoze sa nachadza v obnove. Zavisi aj od toho, kolko ma dotycny povoleny miesta na ukladanie. Vypnut obnovu systemu nie je nic hrozne, pretoze sa da hned vytvorit bod obnovenia, nemusi nikto cakat, kym to system urobi sam a pokial ide o viry, obnovu vypinaju na vsetkych forach, ktore sa tymto zaoberaju a pokial ich antivir neodstrani.