RegScrubXP

...

Moderátor: Mods_senior

Uživatelský avatar
jiribori
Level 3
Level 3
Příspěvky: 437
Registrován: leden 06
Bydliště: Svídnice
Pohlaví: Muž
Stav:
Offline
Kontakt:

RegScrubXP

Příspěvekod jiribori » 29 dub 2006 15:06

Zajímalo by mě proč když zapnu komp a dám to projet RegScrubemXP, tak se mi vždy objeví toto:

Obrázek

nebo toto:

Obrázek

Vždy je to stejný a když to dám fixnout, tak se to při dalším zapnutí kompu objeví znovu. Proč? :wink: :wink: :wink:

Reklama
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 29 dub 2006 15:36

Protože to jsou programy, které se ti spouští automaticky:

mdm - Machine Debug Manager (Dynamic Debugging), spouští se automaticky po startu Windows a instaluje se jako součást MS Office.
sapi - Speech API (SAPI) je rovněž součást woken.
windows update - není nutno komentovat. - Toto jsou věci, které si po vymazání systém nahodí ihned zpět. To že mají nějakou hlídací funkci může u RegScrubu vyvolat zdání spywaru, ale je to tady jen planý poplach.


Ale H323TSP je šmejd
a CSCSettings jakbysmet

Takže máš tam čistokrevnýLook2Me. Stáhni si nnnl2mkill a podle návodu projeď komp. Potom pošli log na kontrolu.

Kdes je tam vzal? Vždyť 11.dubna jsi to projížděl Mwavem a nic tam nebylo. :evil:

Uživatelský avatar
jiribori
Level 3
Level 3
Příspěvky: 437
Registrován: leden 06
Bydliště: Svídnice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod jiribori » 29 dub 2006 16:20

Jak jsem to dostal, to fakt netuším. Na netu lítá i bratr, tak je možný, že třeba i on na tom mám spoluúčast.
Tady máš ten log.

Logfile of HijackThis v1.99.1
Scan saved at 16:11:11, on 29.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Jirka\Plocha\nnnl2mkill.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Jirka\Plocha\Jiří Bořil\Programy\Hijack\hijackthis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://web.volny.cz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Stáhnout pomocí Download &Expressu - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://web.volny.cz
O16 - DPF: KB CW Pack - https://www.mojebanka.cz/jars/cw_pack.cab
O16 - DPF: KB KTpro Pack - https://www.mojebanka.cz/jars/kt_pro_v1101.cab
O16 - DPF: KB SH Pack - https://www.mojebanka.cz/jars/sh_pack.cab
O16 - DPF: MIB Pack - https://www.mojebanka.cz/jars/mib_pack_v1400.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {50E43D86-A74D-11D0-98CE-004005249458} - https://www.mojebanka.cz/jars/confwiz/MVSGif.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3538411093
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 4056677500
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - http://212.67.70.206/activex/AxisCamControl.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = volny.cz
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = volny.cz
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = volny.cz
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: SearchList = volny.cz
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = volny.cz
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Psalo to tam ať fixnu položky pod číslem 020, ale já to nesmazal, počkám až na tvůj verdikt. :wink: :wink: :wink:

A tady jsem ti ještě roztáh cestu k těm šmejdům, jestli ti to k něčemu bude.
Obrázek

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 29 dub 2006 16:39

V Taskmanageru zastav tento proces:
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
- zbytečnost

Fixni v HijackThisu tohle:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

To jsou ale jen kosmetické úpravy.

Vypadá to, že šmejdi jsou pryč a tohle už budou jen nějaké pozůstatky.
Otevři si regedit a dej hledat ty řetězce:
CSCSettings a H323TSP a zlikviduj je ručně. Kdyby se bránily, tak na ně klikni pravým myšítkem a dej volbu zkopírovat název klíče a ulož si to třeba do Notepadu. Oba dva, nebo i více - pokud je vyhledávač regeditu najde. Potom by se odstřelily v Killboxu.

Uživatelský avatar
jiribori
Level 3
Level 3
Příspěvky: 437
Registrován: leden 06
Bydliště: Svídnice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod jiribori » 29 dub 2006 17:05

Tak vše, co jsi mi napsal jsem udělal - i z registru to šlo vše v pohodě dát pryč, ale když sem restartoval komp a znova zapnul RegScrubXP, tak mi to znouvu ty šmejdy ukázalo. Já se z toho snad zblázním. :cry: :cry: :cry:

Uživatelský avatar
jiribori
Level 3
Level 3
Příspěvky: 437
Registrován: leden 06
Bydliště: Svídnice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod jiribori » 29 dub 2006 17:18

Tak já jsem si bláhově myslel, že když v tom regeditu dám smazat celou složku, tak to pomůže, ale ono se mi to tam objevilo znova a když dám smazat ten soubor ze složky tak to nejde, takže jsem si zkopíroval ty klíče a teď pi pls poraď jak to udělat v tom killboxu. Díky moc :wink: :wink: :wink:

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 29 dub 2006 17:54

Stáhni si Killbox a spusť jej. Do okénka zkopíruj ty dva(více jich nebylo?) řádky a zaškrtni Delete on Reboot. Zmáčkni červený kruh s křížkem a restartuj.

Co ti napsal ten nnnl2mkill? Look2Me se právě váže na knihovny Winlogonu, takže by to měly být ti šmejdi. Napiš, jaké knihovny to byly a podíváme se po tom. Je právě možné, že ony ti stále obnovují ty klíče a byla by to práce pořád dokola.

Uživatelský avatar
jiribori
Level 3
Level 3
Příspěvky: 437
Registrován: leden 06
Bydliště: Svídnice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod jiribori » 29 dub 2006 18:27

Akorát mi tam skočilo okno, zmizela plocha a tam se pořád objevovalo Killing ... a pak na konci mi to napsalo smazané soubory - nic tam nebylo a pak mi to udělalo log z HJT.

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 29 dub 2006 18:33

To tehdy na poprvé, nebo jsi to udělal ještě jednou? Ten program je dělaný přímo na tenhle typ šmejda, tak když píše, že ty knihovny 020 smaže, tak mu věř. Zkus to znovu.

Uživatelský avatar
jiribori
Level 3
Level 3
Příspěvky: 437
Registrován: leden 06
Bydliště: Svídnice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod jiribori » 29 dub 2006 18:47

Tak jsem to pustil znova a psalo mi to tam: Killing PID 976 'winlogon.exe' pak mi tam skočilo dialogový okno: Smazané infikované soubory (tam nebylo nic ani při prvním skenování) dal jsem pokračovat, pak mi to vyhodilo log z HJT a pak jsem to restnul.

a pak jsem vlez do registru a tam bylo toto:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\H323TSP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CSCSettings

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 29 dub 2006 18:52

No tak šmejdi by tam být neměli. Zkus to ještě vyčistit CCleanerem a Reg Cleanerem a vykašli se na to. Škodit by to už nemělo. Jaký máš ještě antispyware? Hlásí ti to i ještě nějaký jiný?

Zkus v tom RegCleaneru - když se ti objeví některý z těchto souborů v tom hlavním okně - kliknout na něj pravým myšítkem a dej Další informace - otevře se okénko se všemi klíči, které k tomu patří. Dej to uložit jako text a zkopíruj to sem.

Obrázek

Uživatelský avatar
jiribori
Level 3
Level 3
Příspěvky: 437
Registrován: leden 06
Bydliště: Svídnice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod jiribori » 29 dub 2006 19:17

Já mám Spybot a Ad-Aware a ty taky nic nenašli, takže se na to fakt vykašlu a taky si myslim, že by to nemělo škodit. Jinak díky moc za část tvého života, který jsi strávil kvůli mně u kompu. :wink: :wink: :wink:


Zpět na “Vše ostatní (sw)”

Kdo je online

Uživatelé prohlížející si toto fórum: Seznam[Bot] a 10 hostů