Prosím o kontrolu logu získaného programem HijackThis

[lesys]

Mám podezření na to, že mám v PC aktivní virus „Virus.Win32.Satility.aa“, který způsobuje generování souborů s náhodným jménem *.pif , *.cmd a *.exe do kořenových adresářů síťových disků. Z těchto důvodů jsem oskenoval PC programem HijackThis a log z něho uvádím níže a prosím o jeho kontrolu příp. radu jak uvedený virus odstranit.

===========================================================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:34, on 18.9.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
C:\Documents and Settings\burdikm\Plocha\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spirit.net.tos/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O1 - Hosts: 192.9.200.1 toiler toiler.net.tos
O1 - Hosts: 192.9.200.2 toshp hp tos-hp
O1 - Hosts: 192.9.200.5 spirit spirit.net.tos
O1 - Hosts: 66.40.21.73 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\RunServices: [MICROSFT RAMA UPDATE SUPPORT] mmlnqgvrh.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outlook Express.lnk = C:\Program Files\Outlook Express\msimn.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SolidWorks Task Scheduler Engine.lnk = C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4D01505-3B37-4771-A279-49FC47051BF5}: NameServer = 192.9.200.5,193.165.145.12,193.165.145.22
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 3307 bytes

===========================================================================================

Děkuji za poskytnutou pomoc.

[Ryan]

vám chybí základní bezpečnostní aplikace...

fixněte v Hijackthis tyto položky:

O1 - Hosts: 192.9.200.1 toiler toiler.net.tos
O1 - Hosts: 192.9.200.2 toshp hp tos-hp
O1 - Hosts: 192.9.200.5 spirit spirit.net.tos
O1 - Hosts: 66.40.21.73 auto.search.msn.com
O4 - HKLM\..\RunServices: [MICROSFT RAMA UPDATE SUPPORT] mmlnqgvrh.EXE

pak zašlete nový log a pojedeme dále

[lesys]

Pro úplnost uvádím, že PC je ve firemní síti. Ochrana proti virům je zabezpečena antivirovým programem F- Secure. „Virus.Win32.Sality.aa „ způsobuje odstavení antivirových programů, proto máte dojem, že chybí bezpečnostní aplikace. První tři položky

O1 - Hosts: 192.9.200.1 toiler toiler.net.tos
O1 - Hosts: 192.9.200.2 toshp hp tos-hp
O1 - Hosts: 192.9.200.5 spirit spirit.net.tos

obsahují IP adresy serverů - fixnutím by mohly nastat problémy. Ostatní bych mohl fixnout. Na webu jsem našel bližší popis chování viru http://www.eset.cz/buxus/generate_page. ... e_id=20615 , ale neumím ho odstranit snad by pomohl k odstranění odkaz http://www.latest-virus.com/win32-sality-aa-456 , ale je to v angličtině, kterou neovládám. Prosím naléhavě o zaslání postupu jak tento vir z PC odstranit.

Děkuji za spolupráci a ochotu mi pomoci.

[Ryan]

fixněte prosím alespoň poslední 2 položky ze seznamu, je to velmi důležité. poté zašlete nový log

[lesys]

Po fixnutí 2 Vámi dopuručených položek (musel jsme provést jako uživatel s administrátorským oprávněním) posílám log získaný programem HijackThis a omlouvám se za zdržení způsobeného pracovním vytížením. Prosím o kontrolu logu a opět se Vám ozvu v pondělí. Přeji pěkný víkend a děkuji za dosavadní spolupráci:

=========================================================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:37:09, on 19.9.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOCUME~1\wadmin7\LOCALS~1\Temp\wintjqo.exe
C:\Documents and Settings\burdikm\Plocha\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spirit.net.tos/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = spirit:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.9.200;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O1 - Hosts: 192.9.200.1 toiler toiler.net.tos
O1 - Hosts: 192.9.200.2 toshp hp tos-hp
O1 - Hosts: 192.9.200.5 spirit spirit.net.tos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-3384606403-2261373638-4228951885-1280\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'burdikm')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-3384606403-2261373638-4228951885-1280 Startup: Outlook Express.lnk = C:\Program Files\Outlook Express\msimn.exe (User 'burdikm')
O4 - S-1-5-21-3384606403-2261373638-4228951885-1280 User Startup: Outlook Express.lnk = C:\Program Files\Outlook Express\msimn.exe (User 'burdikm')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SolidWorks Task Scheduler Engine.lnk = C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4D01505-3B37-4771-A279-49FC47051BF5}: NameServer = 192.9.200.5,193.165.145.12,193.165.145.22
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program Files\F-Secure\Common\FSAA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4513 bytes

=========================================================================================

[Ryan]

vezmeme to z jedné vody na čisto...

Použijte tento návod:

stahnete a ulozte nejlepe na plochu ComboFix

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano:



v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode, pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k nezadoucim kolizim s rezidentem antispyware

po restartu aplikace vytvori log, ulozeny na C:/Combofix.txt (pri opakovanem pouziti jsou logy oznaceny Combofix2.txt atd.), jeho obsah vlozte sem

[lesys]

Posílám Vámi požadovaný log získaný programem Combofix, prosím o jeho kontrolu a event. další postup:
--------------------------------------------------------------------------------------------------

ComboFix 08-09-20.05 - wadmin7 2008-09-22 10:29:14.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.1.1029.18.343 [GMT 2:00]
Spuštěný z: C:\Documents and Settings\wadmin7\Plocha\combofix.exe
* Vytvořen nový Bod Obnovení

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\rtl60.bpl
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3360PR
-------\Service_asc3360pr


((((((((((((((((((((((((( Soubory vytvořené od 2008-08-22 do 2008-09-22 )))))))))))))))))))))))))))))))
.

2008-09-15 10:18 . <DIR> C:\Documents and Settings\wadmin7\Data aplikací\PDFCreator
2008-09-15 10:17 . 2008-09-16 07:38 <DIR> d-------- C:\Program Files\PDFCreator
2008-09-03 08:07 . <DIR> C:\Documents and Settings\sysel\Data aplikací\Spyware Terminator
2008-09-01 05:54 . <DIR> C:\Documents and Settings\burdikm\Data aplikací\Spyware Terminator
2008-08-29 13:09 . 2008-09-03 13:33 0 --a------ C:\23990098.$$$
2008-08-29 11:40 . 2008-08-29 11:40 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-08-29 11:40 . 2008-08-29 11:40 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-08-29 11:40 . 2008-08-29 11:40 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-08-29 11:40 . 2008-08-29 11:40 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-08-29 11:40 . 2008-08-29 11:40 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-08-29 11:40 . 2008-08-29 11:40 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-08-29 11:28 . 2002-09-23 14:00 135,680 --a------ C:\WINDOWS\R.COM
2008-08-29 11:28 . 2002-09-23 14:00 130,048 --a------ C:\WINDOWS\system32\T.COM
2008-08-29 11:28 . 2008-09-03 13:30 50 --a------ C:\WINDOWS\Lic.xxx
2008-08-29 10:19 . 2008-08-29 10:19 <DIR> d-------- C:\Program Files\TeaTimer (Spybot - Search & Destroy)

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 08:26 --------- d-----w C:\Documents and Settings\wadmin7\Data aplikací\Lavasoft
2008-09-22 08:25 --------- d-----w C:\Program Files\F-Secure
2008-09-17 12:12 --------- d-----w C:\Program Files\MITCalc
2008-09-05 06:55 --------- d-----w C:\Program Files\VariCAD
2008-09-03 11:08 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-09-03 07:34 --------- d-----w C:\Program Files\SolidWorks
2008-09-01 05:57 32,680 ----a-w C:\Documents and Settings\wadmin7\Data aplikací\GDIPFONTCACHEV1.DAT
2005-11-04 13:07 17,920 --sha-w C:\Program Files\Thumbs.db
2005-02-04 06:58 32,680 ----a-w C:\Documents and Settings\burdikm\Data aplikací\GDIPFONTCACHEV1.DAT
2004-12-23 12:33 240 ----a-w C:\Documents and Settings\burdikm\best.dat
2004-08-11 04:45 483 ----a-w C:\Program Files\SolidWorksswxJRNL.BAK
2003-12-02 07:26 29,232 ----a-w C:\Documents and Settings\sysel\Data aplikací\GDIPFONTCACHEV1.DAT
2003-07-17 02:26 448,640 ----a-w C:\WINDOWS\inf\EL2K_N64.sys
2003-07-17 02:22 147,328 ----a-w C:\WINDOWS\inf\EL2K_XP.sys
2003-06-03 07:47 147,328 ----a-w C:\WINDOWS\inf\EL2K_2K.sys
2000-12-31 23:00 7,654 ----a-w C:\Program Files\release.bmp
2000-12-31 23:00 30,054 ----a-w C:\Program Files\reader.bmp
2007-08-06 11:58 709,447 --sha-w C:\WINDOWS\system32\qpqss.bak1
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-23 13312]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-02 49152]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 1511453]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 4640768]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 225280]
"nwiz"="nwiz.exe" [2003-05-02 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-23 13312]

C:\Documents and Settings\burdikm\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Outlook Express.lnk - C:\Program Files\Outlook Express\msimn.exe [2003-11-25 57856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\NeroCheck.exe"=

R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\System32\DRIVERS\psched.sys [2002-09-23 66048]
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
R0 -: HKCU-Main,Start Page = hxxp://spirit.net.tos/
R1 -: HKCU-Internet Settings,ProxyServer = spirit:3128
R1 -: HKCU-Internet Settings,ProxyOverride = 192.9.200;<local>
O8 -: E&xportovat do aplikace Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{C4D01505-3B37-4771-A279-49FC47051BF5}: NameServer = 192.9.200.5,193.165.145.12,193.165.145.22

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-22 10:32:28
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...


C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP.NEW 4372 bytes

sken byl úspešně dokončen
skryté soubory: 1

**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
.
**************************************************************************
.
Celkový čas: 2008-09-22 10:34:21 - počítač byl restartován
ComboFix-quarantined-files.txt 2008-09-22 08:34:18

Před spuštěním: Volněch bajt…: 58˙624˙892˙928
Po spuštění: Volněch bajt…: 58,946,899,968

120

-----------------------------------------------------------------------------------------------------

Děkuji za spolupráci.

[Ryan]

výborně, ComboFix nákazu odstranil. Poprosím ještě o nový log z HiJackThis.

[lesys]

Posílám obsah logu získaného programem HijackThis a prosím o jeho kontrolu:
------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:14, on 22.9.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\burdikm\Plocha\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spirit.net.tos/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = spirit:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.9.200;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-3384606403-2261373638-4228951885-1280\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'burdikm')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-3384606403-2261373638-4228951885-1280 Startup: Outlook Express.lnk = C:\Program Files\Outlook Express\msimn.exe (User 'burdikm')
O4 - S-1-5-21-3384606403-2261373638-4228951885-1280 User Startup: Outlook Express.lnk = C:\Program Files\Outlook Express\msimn.exe (User 'burdikm')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SolidWorks Task Scheduler Engine.lnk = C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4D01505-3B37-4771-A279-49FC47051BF5}: NameServer = 192.9.200.5,193.165.145.12,193.165.145.22
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4024 bytes

-------------------------------------------------------------------------------------------

Děkuji za spolupráci.

[Ryan]

ještě by to chtělo doinstalovat Service Pack 3 + firewall + antivir a bude to OK. Nákaza je jinak odstraněna.

[lesys]

Velice nerad sděluji, že virus WIN32.Sality.aa zůstal i nadále v PC a zřejmě se aktivuje při každém startu systému a kopíruje i nadále do kořenových adresářů síťových disků soubory *.EXE, *.PIF a *.CMD. Podle mého názoru ho Combofix zlikviduje, ale po novém startu se opět aktivuje (zřejmě přes registry). Antivirový program F-secure ho sice dočasně smaže, ale při restaru PC dochází k jeho opětovné aktivaci. Už jsme z toho zoufalí a prosíme naléhavě o pomoc. Jak jsem již uvedl dříve na adrese http://www.latest-virus.com/win32-sality-aa-456 je uveden postup jeho odstranění, ale je v angličtině a poměrně náročný.

Děkujeme za Vaše stanovisko

[Diallix]

Ten navod je dost povrchny a moc by som sa na tie informacie o registry a suboroch neopieral, nakolko moze ist o hybrida.


Vsetky kroky ktore teraz budeme robit pouzijeme v nudzovom rezime.

--
Stiahnite si do pocitaca antivirus Kaspersky : http://www.kaspersky.sk/pages/downloads
(ak mate v pc iny antivir, tak ho vypnite a teraz pouzijete Kasperskeho)

V nudzovom rezime ho spustite a zvolte hlbkovy sken na vsetkych jednotkach, v operac. pamäti, v registry,.. a vskarta v celom pocitaci.
Ak Vam najde neake subory ako viry, tak ich zmazte.

--
Ked urobite hlbkovy sken s Kasperskym, tak v nudzovom rezime aplikujte combofix :
Stiahnite si na plochu ComboFix

Nasledne ho spustite (ucet Administratora).
Po spusteni naskocia licencne podmienky s ktorymi suhlaste a pokracujte ANO/YES/OK.
Zacne sken pocas ktoreho neklikajte pomimo okna. Cely sken trva cca. 10 minut.
Po skene ComboFix vygeneruje log, ktory ulozi do cielovej jednotky, napr. c:\ s nazvom ComboFix.log. Obsah celeho logu skopirujte sem.

--
Potom dodatocne urobte este sken s pomocou MWAV.
Kliknite do mojho podpisu na MWAV a podla navodu ho nastavte a nezabudnite updatovat!
Ked to urobite, tak kliknite na tlacidlo SKEN a program zacne skenovanie. Po skene sem vlozte obsah dolneho okna, nie horneho!

[lesys]

Máte na mysli verzi "Kaspersky Online Virus Scanner" nebo jinou.

Díky za pomoc a brzkou odpověď.

[Diallix]

Nie online scanner! Myslim tym celu verziu ktoru si stiahnite z horeuvedeneho linku a nainstalujte.

Ak tam mat skutocne viry, online scanner by vam nepomohol.

[lesys]

Instalace antivirového programu Kaspersky požadavala instalaci SP2 Windows XP, která proběhla bez problémů. Následně jsem nainstaloval českou verzi 7 antiviru Kaspersky - rovněž proběhla bez problémů až na to, že se antirus Kaspersky odmítá spustit. S největší pravděpodobností tomu brání Virus.Win32.Satility.aa, takže jsem bezradný a jediné co nám zbývá je znovu nainstalovat OS Windows XP Professional. I tak Vám děkuji za snahu nám pomoci.