iexplorer.exe (diky všem )

[fredik]

No ten sem přehlídl

Nedal jsi sem ten log z Avengeru:

Použij pro jistotu znova ten avenger.
Folders to delete:
"C:\Documents and Settings\All Users\DATAAP~1\Tonssizeprogramdate"
"C:\Documents and Settings\Tor\DATAAP~1\16 close"
"C:\Program Files\BitGrabber"

a dej ho sem s nový logem z HJT.

Jinak ten Adware.Lop se ti nainstaloval s tím BitGrabber jako sponzorský program zobrazující reklamy.

[Reklama]

[Tor]

tak jsem se dival to toho logu ale myslim ze se to vse neodstranilo a mam problem chtel jsem pouzit Avengera
ale proste mi to pri manualni uprave hodilo eror

nevim proc to nejede ... fixl jsem ten proces druhej ten prvni tam jaksi neni nevim jestli to neni tim ????

a nema byt ten script trochu jinej nejsem si jistej jestli tam nemá byt napsano plným nazvem ty data aplikaci ??

poraďte prosim

[fredik]

To ti hodilo už u prvního nebo až u druhého skriptu? Ten Mwav si použil před tím Avengerem nebo až po něm?

Zkusíme ještě něco jiného ale na to se musím mrknout. Za chvíli ti to sem dopíši.

[Tor]

ale furt mam problem stemě spustěnýma procesama nevim proc je iexplorer furt zaplej

[Tor]

no Nwav jsem pustil jako prvni anoslo toho dost 3 infikace a 2 trojany
avengeru mi to hodilo hned na poprví

[fredik]

Aha tak to pak jo mě bylo divné že je to v novém logu z Lopfind pořád.

Stáhni si a spusť program OTMoveIT
- Do levého sloupce zkopíruj tyto cesty:
C:\Documents and Settings\All Users\DATAAP~1\Tonssizeprogramdate
C:\Documents and Settings\Tor\DATAAP~1\16 close
C:\Program Files\BitGrabber

- Po zkopírování klikni na tlačítko MoveIt a zkopíruj následně celý obsah z pravého sloupce, který bude informovat o výsledcích - Je možné, že pokud nebudou moci být adresáře odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď .

Vlož log z OTMoveIT a nový log z HijackThis.

[Tor]

C:\Documents and Settings\All Users\DATAAP~1\Tonssizeprogramdate moved successfully.
C:\Documents and Settings\Tor\DATAAP~1\16 close moved successfully.

Created on 04.01.2007 16:39:25

dotaz tak jsem se dival ze to presunul ale nesmazal mam to za ten program dokoncit že to ručně smažu

[sakiri]

Ano můžeš smazat celou složku _OTMoveIt.

+nezapomeň ten log z HJT jak psal Fredik

[Tor]

Logfile of HijackThis v1.99.1
Scan saved at 16:43:00, on 1.4.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
D:\My plocha\Burn II\HIjack This - determinator viru\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe


tak doufam ze to povedlo jinak moc moc moc děkuju .. ste třida

[fredik]

Ještě fixni v HTJ toto:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

a mělo by to být vše pokud nemáš nějaké další problémy.

Možná jen pro 100% jistotu sem hoď nový log z Lopfind.

[Tor]

******************************************

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\All Users\DATAAP~1

20.03.2007 20:52 1743 QTSBandwidthCache
20.03.2007 20:45 <DIR> Apple Computer
19.03.2007 22:58 <DIR> Sony Ericsson
19.03.2007 22:58 <DIR> Teleca
13.03.2007 02:50 <DIR> CyberLink
13.03.2007 02:48 62 desktop.ini
13.03.2007 02:48 <DIR> Microsoft
13.03.2007 02:48 <DIR> .
13.03.2007 02:48 <DIR> ..
13.03.2007 02:43 <DIR> DVD Shrink
13.03.2007 02:17 <DIR> Adobe
2 soubor…, 1805 bajt…
Adres ý…: 9, Volněch bajt…: 16745910272
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\Tor\DATAAP~1

20.03.2007 20:54 <DIR> Apple Computer
20.03.2007 18:46 <DIR> ICQLite
19.03.2007 23:00 <DIR> Sony Ericsson
19.03.2007 23:00 <DIR> Teleca
18.03.2007 15:18 <DIR> AdobeUM
18.03.2007 15:18 <DIR> Adobe
16.03.2007 02:15 <DIR> Sun
13.03.2007 11:29 <DIR> Ahead
13.03.2007 10:37 <DIR> Macromedia
13.03.2007 03:14 <DIR> Azureus
13.03.2007 02:51 <DIR> CyberLink
13.03.2007 02:46 <DIR> BSplayer Pro
13.03.2007 02:32 <DIR> Mozilla
13.03.2007 02:07 <DIR> Identities
13.03.2007 02:07 62 desktop.ini
13.03.2007 02:07 <DIR> ..
13.03.2007 02:07 <DIR> .
13.03.2007 02:07 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 17, Volněch bajt…: 16745910272
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

13.03.2007 02:48 62 desktop.ini
13.03.2007 02:48 <DIR> ..
13.03.2007 02:48 <DIR> Microsoft
13.03.2007 02:48 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 16745910272
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

13.03.2007 02:06 <DIR> ..
13.03.2007 02:06 <DIR> Microsoft
13.03.2007 02:06 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16745910272
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

13.03.2007 02:06 <DIR> ..
13.03.2007 02:06 <DIR> Microsoft
13.03.2007 02:06 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16745910272
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\Tor\Application Data

28.03.2007 16:51 <DIR> ..
28.03.2007 16:51 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 2, Volněch bajt…: 16745910272
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\NetworkService\Application Data

29.03.2007 21:50 <DIR> Spyware Terminator
29.03.2007 21:50 <DIR> ..
29.03.2007 21:50 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16745910272

******************************************

2) Vyhledávání a odstranění podezřelých .job souborů:

a) Soubory přítomné v C:\WINDOWS\tasks\ adresáři:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\WINDOWS\Tasks

13.03.2007 02:06 6 SA.DAT
13.03.2007 02:01 65 desktop.ini
13.03.2007 02:01 <DIR> ..
13.03.2007 02:01 <DIR> .
2 soubor…, 71 bajt…
Adres ý…: 2, Volněch bajt…: 16˙745˙906˙176

––––––––––––––––––––––––––––––––––––––––––

b) Zjišťování vlastností přítomných .job souborů:

Nebyly nalezeny žádné soubory představující naplánované úlohy.

––––––––––––––––––––––––––––––––––––––––––

c) Nalezené a odstraněné nežádoucí soubory:

Nebyly nalezeny žádné nežádoucí soubory.

––––––––––––––––––––––––––––––––––––––––––

d) Soubory přítomné v adresáři po vymazání:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\WINDOWS\Tasks

13.03.2007 02:06 6 SA.DAT
13.03.2007 02:01 65 desktop.ini
13.03.2007 02:01 <DIR> ..
13.03.2007 02:01 <DIR> .
2 soubor…, 71 bajt…
Adres ý…: 2, Volněch bajt…: 16˙745˙906˙176

******************************************

3) Vyhledávání podvodných programů ve složce Program files:


Adresář C:\Program Files\Adv Nepřítomen !

Adresář C:\Program Files\Adverts Nepřítomen !

Adresář C:\Program Files\BitDownload Nepřítomen !

Adresář C:\Program Files\BitGrabber Nepřítomen !

Adresář C:\Program Files\BitRoll Nepřítomen !

Adresář C:\Program Files\C2Media Nepřítomen !

Adresář C:\Program Files\Download Plugin Nepřítomen !

Adresář C:\Program Files\Messenger Plus! 3 Nepřítomen !

Adresář C:\Program Files\NetPumper Nepřítomen !

Adresář C:\Program Files\Proxy download Nepřítomen !

Adresář C:\Program Files\SuperTorrent Nepřítomen !

Adresář C:\Program Files\Torrent101 Nepřítomen !

Adresář C:\Program Files\TorrentQ Nepřítomen !

myslim že je to v pohodě a ještě jednou diky ... chci se zaptet windows by ted měl byt čistej a tak přemejšlim jestli mi prosím neporadite nekdo fakt dobrej programek na zalohu systemu na DVD tak aby pri padu systemu jsem z nej mohl (v podstate nabootovat) a překopirovat celou zalohu systemu

nebo neco podobnyho :)

a jestli by k tomu byl nejakej manual tak ten taky .. i v english

[fredik]

Log je v pořádku.

Osobně ti doporučit nemůžu žádný protože jsem nikdy žádný nepoužíval. Zkus se mrknout zde: Záloha syst. disku
nebo zkus pohledat na fóru už se tu něco podobného řešilo.

Za všechny zúčastněné nemáš za co.