Navazují na dané téma, ve Windows to

**Axegrinder** · #1 14.února 2008, 09:50

Podle Carbon, může mít i virus.

Logfile Trend Micro HijackThis v2.0.2
Skenování uložen v 16:49:26 dne 14/02/2008
Platforma: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Zavádecí mód: Normální
Běžící procesy:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ SERVICES.EXE
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Program Files \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Linksys Wireless-G Wireless USB Network Monitor \ WLService.exe
C: \ Program Files \ Linksys Wireless-G Wireless USB Network Monitor \ WUSB54GSv2.exe
C: \ WINDOWS \ Explorer.exe
C: \ WINDOWS \ RTHDCPL.EXE
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ WINDOWS \ tsnp2std.exe
C: \ WINDOWS \ vsnp2std.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ WINDOWS \ system32 \ RUNDLL32.EXE
C: \ Program Files \ MSN Messenger \ MsnMsgr.Exe
C: \ WINDOWS \ system32 \ Program Ctfmon.exe
C: \ Program Files \ Google \ Google Updater \ GoogleUpdater.exe
C: \ Program Files \ MessengerDiscovery \ MessengerDiscovery Live.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ MSN Messenger \ usnsvc.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.co.uk/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyServer = webcache.virginmedia.com: 3128
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O2 - BHO: SSVHelper třídy - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - (AA58ED58-01DD-4d91-8333-CF10577473F7) - c: \ program files \ google \ googletoolbar1.dll
O2 - BHO: Google Toolbar Notifikátor BHO - (AF69DE43-7D58-4638-B6FA-CE66B5AD205D) - C: \ Program Files \ Google \ GoogleToolbarNotifier \ 2.1.1119.1736 \ s wg.dll
O3 - Toolbar: & Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - c: \ program files \ google \ googletoolbar1.dll
O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [nwiz] nwiz.exe / install
O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM \ .. \ Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [tsnp2std] C: \ WINDOWS \ tsnp2std.exe
O4 - HKLM \ .. \ Run: [snp2std] C: \ WINDOWS \ vsnp2std.exe
O4 - HKLM \ .. \ Run: [QuickTime Úkol] "C: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / StartUp
O4 - HKLM \ .. \ Run: [NvMediaCenter] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvMcTray.dll, NvTaskbarInit
O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKCU \ .. \ Run: [MsnMsgr] "C: \ Program Files \ MSN Messenger \ MsnMsgr.Exe" / pozadí
O4 - HKCU \ .. \ Run: [program Ctfmon.exe] C: \ WINDOWS \ system32 \ Program Ctfmon.exe
O4 - HKCU \ .. \ Run: [swg] C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [program Ctfmon.exe] C: \ WINDOWS \ system32 \ Program Ctfmon.exe (User 'místních')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'místních')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [program Ctfmon.exe] C: \ WINDOWS \ system32 \ Program Ctfmon.exe (User 'Network Service')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [program Ctfmon.exe] C: \ WINDOWS \ system32 \ Program Ctfmon.exe (User 'systém')
O4 - HKUS \. DEFAULT \ .. \ Run: [program Ctfmon.exe] C: \ WINDOWS \ system32 \ Program Ctfmon.exe (User 'Výchozí uživatel')
O4 - Global spuštění: Google Updater.lnk = C: \ Program Files \ Google \ Google Updater \ GoogleUpdater.exe
O4 - Global spuštění: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O9 - Extra tlačítka: (bez názvu) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra 'Nástroje' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra button: PalTalk - (4EAFEF58-EEFA-4116-983D-03B49BCBFFFE) - C: \ Program Files \ Paltalk Messenger \ Paltalk.exe
O9 - Extra tlačítka: (bez názvu) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra 'Nástroje' MENUITEM: Spybot - Search & Destroy Konfigurace - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra tlačítka: (bez názvu) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostické \ xpnetdiag.exe
O9 - Extra 'Nástroje' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostické \ xpnetdiag.exe
O9 - Extra tlačítka: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Nástroje' MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (0E5F0222-96B9-11D3-8997-00104BD12D94) (PCPitstop Utility) -- http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Rozhodující cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) (MessengerStatsClient Class) -- http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: (DF780F87-FF2B-4DF8-92D0-73DB16A1543A) (PopCapLoader Object) -- http://www.shockwave.com/content/bej...loader_v10.cab
O16 - DPF: (E8F628B5-259A-4734-97EE-BA914D7BE941) (Driver Agent ActiveX Control) -- http://driveragent.com/files/driveragent.cab
O16 - DPF: (F5A7706B-B9C0-4C89-A715-7A0C6B05DD48) (Minesweeper Flags Class) -- http://messenger.zone.msn.com/binary...r.cab56986.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (5DE0FB69-1D9B-48DC-83CC-D71DA02E6BAB): NameServer = 208.67.222.222,208.67.220.220
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C: \ Program Files \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: WUSB54GSv2SVC - GEMTEKS - C: \ Program Files \ Linksys Wireless-G Wireless USB Network Monitor \ WLService.exe
--
End of file - 7776 bytes

**evilfantasy** · #2 14.února 2008, 10:02

Windows chyby související s winlogon.exe?

winlogon.exe je proces patřící do Správce přihlášení Windows. Řídí přihlašování a odhlašování postupy ve vašem systému. Tento program je důležité pro stabilní a bezpečný provoz vašeho počítače, a neměla by být zastaveno.

Nevidím nic do protokolu, ale měli byste spustit SuperAntiSpyware pro překontrolovat.

**Axegrinder** · #3 14.února 2008, 10:38

SAS i didnt objevit něco velké právě hodně sledovací cookies.

**evilfantasy** · #4 14.února 2008, 10:41

Víš, že jsem si vždycky kopat hlouběji.

winlogon.exe je explioted malware a tak jsme se mohou také podívat.

Stáhněte si prosím Combofix subs by z jednoho z níže uvedených odkazů.
(Zkuste všechny tři v případě potřeby)

Důležité! Combofix.exe MUSÍ uložit a běžel od Desktop.

Zavřít všechny otevřené webové prohlížeče. (Firefox, Internet Explorer, atd.) před zahájením Combofix.
Důležité! Dočasně znemožnit tvůj antivirus, skript blokace a jakýkoli Anti-Spyware Ochrana v reálném čase před provádějící kontrolu.
- Klikněte tento odkaz zobrazit seznam bezpečnostních programů, které by měly být zakázány, a jak je zakázat.
- Je-li to váš neuvedených a nevíte, jak vypnout to, zeptejte se, prosím.
Upozornění: Combofix odpojí počítač od internetu. Spojení je automaticky obnoven před Combofix dokončil svůj běh.
Dvojitým kliknutím combofix.exe & sledovat pokyny.
- Z klávesnice zvolte 1 a stiskněte Vstup
Po skončení se vytvoří log pro vás.
Příspěvek, který přihlásit další odpověď.

Upozornění: Don't mouseclick combofix okna, pokud je v chodu. To může způsobit, že na stání

Pokud Combofix ocitla v nesnázích a ukončí předčasně, spojení může být manuálně obnoveno po restartování počítače.
Důležité upozornění: Nezapomeňte re-umožní váš antivirus a antispyware, než znovu k internetu.

----------

Další příspěvek
Combofix log

**Axegrinder** · #5 14.února 2008, 14:21

Chybička se vloudila.

Udělal jsem něco špatně

Bear with me

**evilfantasy** · #6 14.února 2008, 14:35

Nainstalovali jste Combofix špatně. To musí být uložen na plochu.
Prosím, to.
Jděte na Start> Spustit> zkopírovat a vložit Combofix / u do pole a klikněte na OK.
Combofix stáhnout přímo na ploše nainstalovat konzolu pro zotavení.

Nyní je tedy naznačují, že nainstalovat konzolu pro zotavení systému Windows. Konzoly pro zotavení systému Windows vám umožní spustit do speciálního režimu využití, což nám umožní vám pomůže v případě, že váš počítač má problém po pokusu o odstranění škodlivého softwaru.

Přejít na internetových stránkách společnosti Microsoft zde -> http://support.microsoft.com/kb/310994

Vyberte stažení je to vhodné pro váš operační systém

Stáhněte si soubor & uložit jako je původně jmenoval, vedle ComboFix.exe.

Nyní zavřete všechna okna a programy.
Drag instalační balíček na ComboFix.exe a pusť ji.
Podle pokynů na start ComboFix a po výzvě, aby se dohodly na End-User License dohody o instalaci Microsoft konzolu pro zotavení.
Při úplné, záznam s názvem CF_RC.txt bude otevřena.
Prosím post obsahu, které se přihlašují do příštího odpověď.

Díky Bleeping Počítač pro průvodce.

Také jsem si nemyslím, že je to malware.

**Axegrinder** · #7 14.února 2008, 15:06

Tenhle?

WindowsXP-KB310994-SP2-Home-bootdisk-CSY.exe
[boot loader]
timeout = 2
default = multi (0) disk (0) rdisk (0) partition (1) \ OKNO S
[operating systems]
multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro soft Windows XP Home Edition" / noexecute = OptIn / fastdetect
C: \ cmdcons \ BOOTSECT.DAT = "Microsoft Windows konzolu pro zotavení" / cmdcons

**evilfantasy** · #8 14.února 2008, 15:10

Thats it. Nyní máte konzoly pro zotavení nainstalována.