Samovolně se otevírající okna IE Vyřešeno

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
pikaso.andreas
Level 4
Level 4
Příspěvky: 1156
Registrován: říjen 07
Bydliště: Otrokovice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Samovolně se otevírající okna IE

Příspěvekod pikaso.andreas » 06 říj 2007 10:25

Občas, asi každou půlhodinu se mi samovolně otevře okno IE s nějakou reklamou. Používám na prohlížení jen Firefox, IE mám jen na přístup do Banky. Prosím poraďte... :cry: Jinak PC jsem projel antivirem (nod 32), spy emergency, spyterminatorem... víc nevím co dělat.
Rád se přiučím od zkušenějších... A učený z nebe nespadl :-D

Když mám čas, dělám geoboardy pro děti.

Reklama
Uživatelský avatar
fredik
člen Security týmu
Master Level 7
Master Level 7
Příspěvky: 4680
Registrován: červenec 06
Pohlaví: Muž
Stav:
Offline

Příspěvekod fredik » 06 říj 2007 10:29

Zdravím a vítám Tě na fóru: PC-HELP

Vlož sem log z HijackThis

Uživatelský avatar
pikaso.andreas
Level 4
Level 4
Příspěvky: 1156
Registrován: říjen 07
Bydliště: Otrokovice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Tak tu to je...

Příspěvekod pikaso.andreas » 06 říj 2007 10:30

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:30:23, on 6.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
c:\apache\APACHE.EXE
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
c:\apache\APACHE.EXE
C:\Program Files\uTorrent\utorrent.exe
C:\WINDOWS\system32\lvcomsx.exe
C:\Program Files\Kerio Personal Firewall\kpf4ss.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Kerio Personal Firewall\kpf4gui.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
O:\INSTALACKY!!\Léčení PCčka\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pegasoft.cz/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [axis web cake second] C:\Documents and Settings\All Users\Data aplikací\Book Slow Axis Web\DATE GLOBAL.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [torrent] C:\Program Files\uTorrent\utorrent.exe
O4 - HKCU\..\Run: [Less tons] C:\DOCUME~1\ANDREA~1\DATAAP~1\GREYRO~1\Locks tray.exe
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Akcelerátor spuštění AutoCADu.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{19D92773-76D5-4B4A-81ED-882C98B42215}: NameServer = 172.16.16.161,88.146.158.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{19D92773-76D5-4B4A-81ED-882C98B42215}: NameServer = 172.16.16.161,88.146.158.2
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\BlueSoleil\BTNtService.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Kerio Personal Firewall\kpf4ss.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 6690 bytes
Rád se přiučím od zkušenějších... A učený z nebe nespadl :-D

Když mám čas, dělám geoboardy pro děti.

Uživatelský avatar
fredik
člen Security týmu
Master Level 7
Master Level 7
Příspěvky: 4680
Registrován: červenec 06
Pohlaví: Muž
Stav:
Offline

Příspěvekod fredik » 06 říj 2007 10:36

Pročti si návod a podívej se a odinstaluj případné podvodné programy uvedené v seznamu jestli je tam budeš mít a dej sem log z Lopfind: Adware.Lop

Uživatelský avatar
pikaso.andreas
Level 4
Level 4
Příspěvky: 1156
Registrován: říjen 07
Bydliště: Otrokovice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Lopfind log

Příspěvekod pikaso.andreas » 06 říj 2007 10:44

LopFind v3 © Čas: 10:43:08,95 Datum: so 06.10.2007

******************************************

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\Documents and Settings\Administrator\DATAAP~1

13.05.2007 21:03 <DIR> Identities
13.05.2007 21:02 62 desktop.ini
13.05.2007 21:02 <DIR> ..
13.05.2007 21:02 <DIR> Microsoft
13.05.2007 21:02 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 4, Volněch bajt…: 24498245632
Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\Documents and Settings\All Users\DATAAP~1

02.10.2007 21:00 <DIR> Book Slow Axis Web
13.09.2007 07:08 <DIR> Adobe Systems
12.09.2007 20:29 <DIR> Adobe
02.09.2007 18:06 <DIR> Sony
29.08.2007 23:48 24 __FileUploader.log
29.08.2007 22:58 <DIR> Pinnacle Studio
29.08.2007 22:56 <DIR> Pinnacle
12.07.2007 14:56 <DIR> Installations
12.05.2007 19:03 <DIR> Symantec
09.05.2007 21:12 <DIR> Acronis
01.04.2007 00:55 <DIR> Corel
16.03.2007 16:26 <DIR> PC Suite
16.03.2007 16:25 <DIR> Downloaded Installations
06.03.2007 23:36 <DIR> Test Drive Unlimited
02.03.2007 20:28 0 ISx8D7.tmp
03.02.2007 19:45 0 ISx2011.tmp
03.02.2007 19:41 0 ISx200F.tmp
03.02.2007 19:37 0 ISx200E.tmp
03.02.2007 19:32 0 ISx200D.tmp
03.02.2007 18:00 0 ISx1CF2.tmp
03.02.2007 17:39 0 ISx1C44.tmp
03.02.2007 14:57 0 ISx13D7.tmp
31.12.2006 20:05 0 ISx8F.tmp
31.12.2006 16:57 0 ISx64.tmp
31.12.2006 16:47 0 ISx63.tmp
31.12.2006 16:12 0 ISx54.tmp
31.12.2006 16:11 0 ISx53.tmp
30.12.2006 17:47 0 ISx94A.tmp
30.12.2006 13:35 0 ISx3BB.tmp
30.12.2006 13:10 0 ISx3B1.tmp
28.12.2006 19:51 0 ISx56B.tmp
28.12.2006 19:48 0 ISx553.tmp
28.12.2006 12:05 0 ISx13.tmp
24.12.2006 23:11 0 ISx2C.tmp
24.12.2006 22:47 0 ISx26.tmp
24.12.2006 22:43 0 ISx25.tmp
24.12.2006 22:40 0 ISx22.tmp
24.12.2006 22:37 0 ISx21.tmp
24.12.2006 21:43 0 ISx2A2.tmp
24.12.2006 21:25 0 ISx29F.tmp
24.12.2006 21:08 0 ISx39.tmp
24.12.2006 21:06 0 ISx34.tmp
22.11.2006 09:31 <DIR> VMware
15.11.2006 14:40 <DIR> TEMP
22.10.2006 22:40 <DIR> NVIDIA
16.10.2006 19:26 <DIR> Bluetooth
10.10.2006 16:27 1755 QTSBandwidthCache
10.10.2006 16:24 <DIR> Apple Computer
26.09.2006 17:39 <DIR> DVD Shrink
29.08.2006 18:05 <DIR> Skype
06.08.2006 17:30 <DIR> Windows Genuine Advantage
25.06.2006 01:18 <DIR> Autodesk
23.06.2006 19:29 <DIR> ACD Systems
23.06.2006 18:12 62 desktop.ini
23.06.2006 18:12 <DIR> Microsoft
23.06.2006 18:12 <DIR> ..
23.06.2006 18:12 <DIR> .
23.06.2006 17:43 <DIR> CyberLink
23.06.2006 17:40 <DIR> InstallShield
31 soubor…, 1841 bajt…
Adres ý…: 28, Volněch bajt…: 24498241536
Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\Documents and Settings\Andreas Pikaso\DATAAP~1

02.10.2007 20:56 <DIR> GREY ROAD
02.09.2007 18:18 <DIR> Publish Providers
02.09.2007 18:07 <DIR> Sony
27.08.2007 18:54 8 NMM-MetaData.db
26.08.2007 15:22 <DIR> Command & Conquer 3 Tiberium Wars
19.08.2007 09:46 <DIR> TuneUp Software
17.07.2007 22:05 <DIR> Thunderbird
12.07.2007 15:07 <DIR> Nokia Multimedia Player
19.06.2007 19:31 <DIR> TrojanHunter
31.05.2007 17:50 <DIR> Steinberg
12.05.2007 19:04 <DIR> Symantec
08.05.2007 11:29 <DIR> BinarySense
16.03.2007 16:31 <DIR> Datalayer
16.03.2007 16:28 <DIR> Nokia
16.03.2007 16:26 <DIR> PC Suite
06.03.2007 23:17 <DIR> SecuROM
15.02.2007 22:20 <DIR> PDFCreator
05.02.2007 19:48 <DIR> Google
15.01.2007 20:18 34 pcouffin.log
15.01.2007 20:18 87608 ezpinst.exe
15.01.2007 20:18 7824 pcouffin.cat
15.01.2007 20:18 47360 pcouffin.sys
15.01.2007 20:18 1144 pcouffin.inf
15.01.2007 20:18 <DIR> Vso
03.12.2006 19:47 <DIR> Hamachi
22.11.2006 09:33 <DIR> VMware
13.11.2006 23:13 <DIR> DivX
23.10.2006 21:57 <DIR> .gaim
22.10.2006 13:50 <DIR> Lavasoft
18.10.2006 22:30 <DIR> Dev-Cpp
16.10.2006 19:37 <DIR> FMA
10.10.2006 16:32 <DIR> Teleca
10.10.2006 16:26 <DIR> Apple Computer
30.09.2006 17:01 352592 GDIPFONTCACHEV1.DAT
30.09.2006 10:21 <DIR> vlc
26.09.2006 08:38 <DIR> fltk.org
25.09.2006 21:18 <DIR> flightgear.org
20.09.2006 21:45 <DIR> uTorrent
29.08.2006 18:05 <DIR> Skype
28.08.2006 11:00 <DIR> Azureus
26.08.2006 18:52 <DIR> Zoner
26.08.2006 18:17 <DIR> Micropro
19.08.2006 20:10 <DIR> COWON
19.08.2006 18:12 <DIR> Sun
17.08.2006 21:29 <DIR> ICQLite
03.07.2006 22:13 <DIR> MechSoft
02.07.2006 17:53 <DIR> Macromedia
29.06.2006 18:58 <DIR> Jasc
28.06.2006 22:06 <DIR> Talkback
25.06.2006 11:30 <DIR> PaperTypes
25.06.2006 10:03 <DIR> AdobeUM
25.06.2006 10:02 <DIR> Adobe
25.06.2006 01:31 <DIR> Ansys
25.06.2006 01:23 <DIR> Autodesk
23.06.2006 19:40 <DIR> ACD Systems
23.06.2006 18:42 <DIR> Sachy
23.06.2006 18:42 <DIR> Mozilla
23.06.2006 18:42 <DIR> Help
23.06.2006 17:52 <DIR> CyberLink
23.06.2006 17:40 <DIR> Corel
23.06.2006 17:36 <DIR> Ahead
23.06.2006 16:22 <DIR> Identities
23.06.2006 16:22 62 desktop.ini
23.06.2006 16:22 <DIR> Microsoft
23.06.2006 16:22 <DIR> ..
23.06.2006 16:22 <DIR> .
8 soubor…, 496632 bajt…
Adres ý…: 58, Volněch bajt…: 24498237440
Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

23.06.2006 18:12 62 desktop.ini
23.06.2006 18:12 <DIR> ..
23.06.2006 18:12 <DIR> Microsoft
23.06.2006 18:12 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 24498237440
Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

22.11.2006 09:32 <DIR> VMware
23.06.2006 16:21 <DIR> Microsoft
23.06.2006 16:21 <DIR> ..
23.06.2006 16:21 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 4, Volněch bajt…: 24498237440
Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

23.06.2006 16:21 <DIR> ..
23.06.2006 16:21 <DIR> Microsoft
23.06.2006 16:21 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 24498233344
Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\Documents and Settings\All Users\Application Data

06.11.2006 21:07 <DIR> Microsoft
06.11.2006 21:07 <DIR> ..
06.11.2006 21:07 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 24498233344
Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\Documents and Settings\Andreas Pikaso\Application Data

08.07.2006 17:46 <DIR> Microsoft
25.06.2006 13:10 <DIR> Adobe
25.06.2006 13:10 <DIR> ..
25.06.2006 13:10 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 4, Volněch bajt…: 24498233344

******************************************

2) Vyhledávání a odstranění podezřelých .job souborů:

a) Soubory přítomné v C:\WINDOWS\tasks\ adresáři:

Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\WINDOWS\Tasks

05.10.2007 06:38 290 A624F72B918B71DF.job
19.08.2007 09:46 378 1-Click Maintenance.job
23.06.2006 16:19 6 SA.DAT
23.06.2006 16:17 65 desktop.ini
23.06.2006 16:17 <DIR> ..
23.06.2006 16:17 <DIR> .
4 soubor…, 739 bajt…
Adres ý…: 2, Volněch bajt…: 24˙498˙233˙344

––––––––––––––––––––––––––––––––––––––––––

b) Zjišťování vlastností přítomných .job souborů:

––––––––––––––––––––––––––––––––––––––––––

c) Nalezené a odstraněné nežádoucí soubory:

A624F72B918B71DF.job

––––––––––––––––––––––––––––––––––––––––––

d) Soubory přítomné v adresáři po vymazání:

Svazek v jednotce C je Hlavnˇ disk.
S‚riov‚ źˇslo svazku je 5CFA-C582.

Věpis adres ýe C:\WINDOWS\Tasks

19.08.2007 09:46 378 1-Click Maintenance.job
23.06.2006 16:19 6 SA.DAT
23.06.2006 16:17 65 desktop.ini
23.06.2006 16:17 <DIR> ..
23.06.2006 16:17 <DIR> .
3 soubor…, 449 bajt…
Adres ý…: 2, Volněch bajt…: 24˙498˙221˙056

******************************************

3) Vyhledávání podvodných programů ve složce Program Files:

Nebyly nalezeny žádné podvodné adresáře.
Rád se přiučím od zkušenějších... A učený z nebe nespadl :-D

Když mám čas, dělám geoboardy pro děti.

Uživatelský avatar
fredik
člen Security týmu
Master Level 7
Master Level 7
Příspěvky: 4680
Registrován: červenec 06
Pohlaví: Muž
Stav:
Offline

Příspěvekod fredik » 06 říj 2007 11:20

Stáhni si Avengera spusť ho pod účtem administrátora.
Zvol možnost - Input script manually a klikni na ikonku lupy vyskočí prázdné okno kam zkopíruj tento tučný text:
Folders to delete:
C:\Documents and Settings\All Users\DATAAP~1\Book Slow Axis Web
C:\Documents and Settings\Andreas Pikaso\DATAAP~1\GREY ROAD


Poté klikni na Done.
Pak klikni na ikonku semafory.
Vyskočí ti hláška kde odklikni Yes. PC se restartuje po restartu by ti měl "vyskočit" výpis z Avengeru tak ho sem zkopíruj.

Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
O4 - HKLM\..\Run: [axis web cake second] C:\Documents and Settings\All Users\Data aplikací\Book Slow Axis Web\DATE GLOBAL.exe
O4 - HKCU\..\Run: [Less tons] C:\DOCUME~1\ANDREA~1\DATAAP~1\GREYRO~1\Locks tray.exe
po zaškrtnutí klikni na tlačítko Fix Checked

Pak sem dej nový log z HJT.

Uživatelský avatar
pikaso.andreas
Level 4
Level 4
Příspěvky: 1156
Registrován: říjen 07
Bydliště: Otrokovice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Avenger

Příspěvekod pikaso.andreas » 06 říj 2007 11:29

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dlwmaqlr

*******************

Script file located at: \??\C:\nbjoyenv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Documents and Settings\All Users\DATAAP~1\Book Slow Axis Web deleted successfully.
Folder C:\Documents and Settings\Andreas Pikaso\DATAAP~1\GREY ROAD deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Rád se přiučím od zkušenějších... A učený z nebe nespadl :-D

Když mám čas, dělám geoboardy pro děti.

Uživatelský avatar
pikaso.andreas
Level 4
Level 4
Příspěvky: 1156
Registrován: říjen 07
Bydliště: Otrokovice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Hijack

Příspěvekod pikaso.andreas » 06 říj 2007 11:30

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30:20, on 6.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe
C:\Program Files\Eset\nod32kui.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
c:\apache\APACHE.EXE
C:\WINDOWS\system32\lvcomsx.exe
C:\Program Files\uTorrent\utorrent.exe
C:\WINDOWS\system32\PSIService.exe
c:\apache\APACHE.EXE
C:\Program Files\Kerio Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kerio Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Kerio Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
O:\INSTALACKY!!\Léčení PCčka\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pegasoft.cz/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [torrent] C:\Program Files\uTorrent\utorrent.exe
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Akcelerátor spuštění AutoCADu.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{19D92773-76D5-4B4A-81ED-882C98B42215}: NameServer = 172.16.16.161,88.146.158.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{19D92773-76D5-4B4A-81ED-882C98B42215}: NameServer = 172.16.16.161,88.146.158.2
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\BlueSoleil\BTNtService.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Kerio Personal Firewall\kpf4ss.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 6295 bytes
Rád se přiučím od zkušenějších... A učený z nebe nespadl :-D

Když mám čas, dělám geoboardy pro děti.

Uživatelský avatar
pikaso.andreas
Level 4
Level 4
Příspěvky: 1156
Registrován: říjen 07
Bydliště: Otrokovice
Pohlaví: Muž
Stav:
Offline
Kontakt:

Jak to děláš?

Příspěvekod pikaso.andreas » 06 říj 2007 11:31

Jak dokážeš v takové změnit názvů najít něco co mi tu dělá binec.. ???!!!! :idea:
Rád se přiučím od zkušenějších... A učený z nebe nespadl :-D

Když mám čas, dělám geoboardy pro děti.

Uživatelský avatar
fredik
člen Security týmu
Master Level 7
Master Level 7
Příspěvky: 4680
Registrován: červenec 06
Pohlaví: Muž
Stav:
Offline

  Vyřešeno

Příspěvekod fredik » 06 říj 2007 12:27

Log vypadá dobře. Máš ještě problémy?

Stáhni si a spusť T-cleaner, odstraní zálohy a pozůstatky použitých programů.

V logu je vidět že tam máš starou verzi javy tak bych ti doporučil provést její update:
- Stáhni si poslení verzi Java Runtime Environment (JRE) 6 Update 3
- Posuň se dolů kde je napsáno Java Runtime Environment (JRE) 6u2 a klikni na tlačítko Download
- Zatrhni možnost kde je napsáno: Accept License Agreement
- Stránka se ti znovu načte.
- Klikni na odkaz pro stažení: Windows Offline Installation, Multi-language a ulož si ho na disk
- Ukonči běžící programy které máš spuštěné, hlavě webový prohlížeč
- Jdi přes Start -> Ovládací panely -> Přidat nebo odebrat programy a odinstaluj všechny staré verze Javy
- Podívej se po položkách s názvem Java Runtime Environment (JRE or J2SE)
* příklady starých verzí v Přidat nebo odebrat programy:
    J2SE Runtime Environment 5.0
    J2SE Runtime Environment 5.0 Update 8
    Java 2 Runtime Environment, SE v1.4.2
- Odinstaluj je přes tlačítko Změnit nebo odebrat nebo Odebrat
- Odinstaluj postupně po sobě případné všechny staré verze Javy
- Po skončení odinstalovaní restartuj Pc.
- Pak už jen spusť instalaci poslední verze ze souboru jre-6u3-windows-i586-p.exe, který sis stáhl na začátku.

Za tu dobu už člověk ví a pozná co tam patří a co ne Obrázek


Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host