Otravné spouštění programů při startu PC (vyřešeno)

...

Moderátor: Mods_senior

Prkp
Level 2
Level 2
Příspěvky: 152
Registrován: únor 06
Pohlaví: Nespecifikováno

Příspěvekod Prkp » 24 dub 2006 20:30

když toho správce zpustím z HJT tak tam nic z toho co tam mám ukončit není. To bude , ale tím , že jsem to povypínal :D takže to musím znova vypnout a zapnout nacož už nemám čas poněvadž musím studovat. Z toho důvodu napíšu zítra. Ale stejně jsem to co jsem nechtěl ať naskakuje zazačátku nastavil dle mých představ přímo v jeho samotném options, které jsem po detailnějším hledání našel. Takže to bude taky možná to proč už to v tom správci není. Zítra tady ten log máš (jen doufám , že nebude vadit pořadí v jakém udělám ty úkony, které si mi poradil). Učebnici francoužštiny zdar :mad:



Reklama
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž

Příspěvekod mijaja » 24 dub 2006 21:32

Takže zítra pošli nový log, pouvažuj, co chceš povypínat a uvidíme. Teď už zpíval Hajaja a já se odebírám do říše snů.

Prkp
Level 2
Level 2
Příspěvky: 152
Registrován: únor 06
Pohlaví: Nespecifikováno

there it is

Příspěvekod Prkp » 25 dub 2006 14:14

Logfile of HijackThis v1.99.1
Scan saved at 14:13:22, on 25.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5296.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\áhgfzvbki\Plocha\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {410A8B3C-7CCB-40E8-8B11-28B099E5C488} (Trend Micro Security Services Control) - http://tmss.trendmicro.com/Dashboard/co ... eportW.CAB
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Jo a pokud jsem to teda pochopil dobrě tak mám odstranit složku Save z program files. Zkoušel jsem to přes "Přidat či odebrat" a nenašel jsem nic pod názvem Save. Jenže tam byl program "WhenUsave" který má stejnou ikonu jako save.exe ve složce save. A pokud se to "WhenUsave" pokusím odistalovat tak mi to napíše, že to používá BearShare a Metacafe a rozhodně nechci , aby ony programy nešli správně. A taky se mi nezdá, že celá složka Save v program files je zlobivá.... mám ji určitě zničit? Rozhodně ovšem nehledám chybu v tvém tvrzení, ale v mém chápání :roll:

Uživatelský avatar
mikel
Level 5
Level 5
Příspěvky: 2298
Registrován: květen 05
Bydliště: Karviná
Pohlaví: Muž

Příspěvekod mikel » 25 dub 2006 14:35

Vypadá to dobře, žádné zbytečnosti tam nevidím, až na Win Media Player, ale ten se ti určitě nazapíná při staru. Zřejmě jsi ho spustil před vytvořením logu.
Jenom bych ti doporučil malé "kosmetické úpravy" na fixnutí v HJT
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
- psal jsi, že používáš ICQ, takže tohle ti odebere ikonku na spuštění Messengeru z IE a položku z menu Nástroje tamtéž.
O16 - DPF: {410A8B3C-7CCB-40E8-8B11-28B099E5C488} (Trend Micro Security Services Control) - http://tmss.trendmicro.com/Dashboard/co ... eportW.CAB
- protože máš nainstalovaný Avast, určitě nepotřebuješ ActiveX od TrendMicro

Je to už lepší se startem?
Znáte pravidla?
Tipy a triky ve Windows XP
Návody: HijackThis, MWAV, CCleaner (THX to mijaja)
Problémy, které chcete vyřešit pište sem do fóra. Neposílejte je emailem ani po ICQ!

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž

Příspěvekod mijaja » 25 dub 2006 15:41

Nejlepší bude, když si to save.exe projedeš na Jottiscanu. To ti řekne vše.

Jinak pokud nepoužíváš každodenně Office, tak můžeš fixnout i tohle :
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

+

to, co psal Mikel.

Pokud používáš takové programy, jako BearShare, Metacafe, WhenUSave (- mimochodem tohle je spyware a BearShare jej nepotřebuje ke své funkci ale jako takovou daň za to, že je zadarmo) a podobné a přitom nemáš ani firewall a antispyware, tak bych se nedivil ničemu. Kdybych se nebál, že bych to louskal do důchodu, tak bych ti navrhl, abys udělal sken MWAVu.
Takže buďme rádi, že ti komp jede. :evil:

Prkp
Level 2
Level 2
Příspěvky: 152
Registrován: únor 06
Pohlaví: Nespecifikováno

Příspěvekod Prkp » 25 dub 2006 16:38

scan mwavu.... wtf is it? :shock:
jaxe pracuje s tim jottiscanem ?

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž

Příspěvekod mijaja » 25 dub 2006 16:46

Otevřeš stránku Jottiscanu:

Krok 1
Obrázek

Krok2
Obrázek

Krok3
Obrázek

Krok4
Obrázek

Scanner MWAV je zatím ten nejdůkladnější sken kompu na různé šmejdy - i ty spící a potenciální nákazy. Jeho log bývá kilometr dlouhý je nutné jej přelouskat a všechny hlášky o problémech dát sem.

Prkp
Level 2
Level 2
Příspěvky: 152
Registrován: únor 06
Pohlaví: Nespecifikováno

Příspěvekod Prkp » 25 dub 2006 17:04

To Mikel : Jo je a o moc! Teď už jen dorazím ten zbytek :wink:
Ten jottiscan se mi pořád refrešuje ... stejně pokud říkáš, že je to škůdce , za ten BearShare tak to mažu celé.
Teď bych se chtěl jen zeptat na neplacený antispyware a firewall. Ale pokud to jde tak něco co mi nebude spomalovat pc, ať to nemusím při zápasech vypínat.
ten microworld antivirus & spyware... mi napsal toto
http://das-konsult.cz/forum/album_pic.php?pic_id=513 a pořád to jede.... nevím jak to sem budu dávat :shock:

Tak a je to... je to dost velké, mám to sem zkopírovat?
Naposledy upravil(a) Prkp dne 25 dub 2006 17:27, celkem upraveno 2 x.

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž

Příspěvekod mijaja » 25 dub 2006 17:27

Dej si Spybot a Kerio. V obou povolíš to, co potřebuješ a nebudou tě vůbec omezovat.

Návod na Spybot.
Návod na Kerio

Tak to ti MWAVi projel velmi rychle. Ono to bývá i hodinu nebo dvě. Nebo jsi zapnul jen sken *.exe souborů a ne všech, včetně archívů a Obnovy?

Jestli teda jsi nechal skenovat všechno, tak z toho vyber jen řádky, kde se píše o problémech( spyware, adware, malware, virus, riskware apodobně) a cesta k těm souborům.

Mělo by to vypadat asi takhle:

Fri Apr 07 12:42:40 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
File C:\WINDOWS\system32\dfrgsrv.exe infected by "Trojan-Downloader.Win32.Zlob.ia" Virus! Action Taken: No Action Taken
nebo
Sat Mar 25 10:52:18 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\ares !!!
Sat Mar 25 10:52:18 2006 => Object "ares Spyware/Adware" found in File System! Action Taken: No Action Taken.

Prkp
Level 2
Level 2
Příspěvky: 152
Registrován: únor 06
Pohlaví: Nespecifikováno

Příspěvekod Prkp » 25 dub 2006 18:50

nemohl bych tě o něco poprosit? nemohl bych ti ten textak poslat na email , že bys to checkl ty? Mě by to trvalo půl století a jestě bych to udělal něak blbě. Jsem toho schopný. Byl bych ti (znova) zavázán

Prkp
Level 2
Level 2
Příspěvky: 152
Registrován: únor 06
Pohlaví: Nespecifikováno

Příspěvekod Prkp » 25 dub 2006 20:10

tohle mi napsal ten spybot, něco se neupdatlo :?
http://das-konsult.cz/forum/album_pic.php?pic_id=514

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž

Příspěvekod mijaja » 25 dub 2006 20:24

Tak jsem si prohlédl ten (megabajtový)log a našel tohle:

File C:\Documents and Settings\áhgfzvbki\Plocha\instalace\bsplayer140.830.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken. - sežeň si raději starší verzi bez viru
System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken.
Tue Apr 25 17:18:07 2006 => Offending Key found: HKLM\Software\whenusave !!!
C:\DOCUME~1\HGFZVB~1\LOCALS~1\Temp\cmdlineext02.dll
Tue Apr 25 17:18:09 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.
C:\DOCUME~1\HGFZVB~1\LOCALS~1\Temp\war3_install.exe
Tue Apr 25 17:18:09 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.
C:\Documents and Settings\áhgfzvbki\Nabídka Start\programy\whenu
Tue Apr 25 17:18:15 2006 => Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
C:\Documents and Settings\áhgfzvbki\Local Settings\temp\temp.fr1ba8\saveuninst.exe
Tue Apr 25 17:18:15 2006 => System found infected with whenu.savenow Spyware/Adware (saveuninst.exe)! Action taken: No Action Taken.
C:\Documents and Settings\áhgfzvbki\Local Settings\temp\temp.fr1ba8\store.db
Tue Apr 25 17:18:15 2006 => System found infected with whenu.weathercast Spyware/Adware (store.db)! Action taken: No Action Taken.
C:\Documents and Settings\áhgfzvbki\Local Settings\temp\temp.frf7fb\whenu.com website.url
Tue Apr 25 17:18:15 2006 => System found infected with whenu.clocksync Spyware/Adware (whenu.com website.url)! Action taken: No Action Taken.
C:\Documents and Settings\áhgfzvbki\Local Settings\temp\war3_install.exe
Tue Apr 25 17:18:15 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.
File C:\WINDOWS\system32\rlls.dll tagged as "not-a-virus:AdWare.Win32.RK.e". Action Taken: No Action Taken.
File C:\DOCUME~1\HGFZVB~1\LOCALS~1\Temp\temp.fr1BA8\Save.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.by". Action Taken: No Action Taken.
File C:\DOCUME~1\HGFZVB~1\LOCALS~1\Temp\VVSNInst.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.

Takže se všechno točí kolem WhenUsave, které jsi si nejspíše nahodil s BSPlayerem
Zlikviduj ten nový BSPlayer, sežeň si starší, čistou verzi (mohu poslat), odinstaluj v Přidat nebo odebrat programy ten proklatý WhenUsave a potom se podívej na disku po těchto červeně napsaných souborech (složky temp.fr1ba8 a temp.frf7fb by měly zmizet celé!) Potom dej vyčistit disk - ať zlikviduje Tempy a TIFy a vysyp koš.

S tím Spybotem - zkus ty aktualizace znovu, popřípadě nestahuj všechno - ugrofinské jazyky přece nepotřebuješ, když máš češtinu. Spíše ten první řádek se mi nelíbí.


  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Spouštění programů při odhlášení - podruhé
    od stanovskym » 06 srp 2019 00:28 » v Windows 10, 8, 7, Vista, XP…
    0
    555
    od stanovskym
    06 srp 2019 00:28
  • Spouštění pc
    od jurajicek » 23 zář 2019 18:16 » v Problémy s hardwarem
    23
    1506
    od dvorakj
    06 říj 2019 11:22
  • Pomalé spouštění pc
    od jurajicek » 02 říj 2019 14:19 » v Problémy s hardwarem
    32
    1496
    od gogo1963
    16 lis 2019 14:40
  • spouštění jako správce
    od kacenace » 30 zář 2019 17:22 » v Windows 10, 8, 7, Vista, XP…
    1
    374
    od Microsheep
    30 zář 2019 19:23
  • Spouštění ventilátoru chlazení procesoru
    od Rejsek » 26 zář 2019 13:02 » v Problémy s hardwarem
    14
    820
    od Rejsek
    13 lis 2019 16:42

Zpět na “Vše ostatní (sw)”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 5 hostů