Sám se otvírá IE6 přes ikonu v liště (žlutý trojůhelník) napíše hlášení
-system alert popups
-system warning
-system notice: internet service provider
a spouští www:
- instantsearch.cc
- msxpsupport.com
Co to je, co s tím?
Díky předem všem.
Ke kontrole:
Logfile of HijackThis v1.99.1
Scan saved at 0:24:55, on 4.4.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\helper.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\ConMet\ConMet.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Tiscali\Hlidac\watchdog.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Salamandr\SALAMAND.EXE
C:\Instalace\internet\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ConMet] C:\Program Files\ConMet\ConMet.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [Tiscali WatchDog] "C:\Program Files\Tiscali\Hlidac\watchdog.exe" /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - {18DEED59-5E95-4446-B38C-C19F0159D762} - (no file) (HKCU)
O9 - Extra button: (no name) - {7DF0A802-6136-4AF4-A917-08CD33759B8A} - (no file) (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/E ... 058_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{307E33F7-0C37-4C71-ABB8-46AE8732BFC2}: NameServer = 62.141.0.1 213.162.65.1
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
Prosím kontrolu HijackThis
-
Rimmer
- Level 4
- Příspěvky: 1171
- Registrován: březen 03
- Bydliště: Červený trpaslík
- Pohlaví:
- Stav:
Offline
Je toho celkem dost 
Co je to např. ten helper.exe?? ve svém systému jsem ho nenašel a tak nějak ho vidím poprvé..
.
.
.
.
Aha, objevil jsem info, že to nebude jen tak obyčejný soubor:
File D:\WINDOWS\system32\helper.exe infected by "Trojan-Clicker.Win32.Agent.cr" Virus. Action Taken: No Action Taken.
source: http://forum.us.dell.com/supportforums/ ... e.id=38787
Co je to např. ten helper.exe?? ve svém systému jsem ho nenašel a tak nějak ho vidím poprvé..
.
.
.
.
Aha, objevil jsem info, že to nebude jen tak obyčejný soubor:
File D:\WINDOWS\system32\helper.exe infected by "Trojan-Clicker.Win32.Agent.cr" Virus. Action Taken: No Action Taken.
source: http://forum.us.dell.com/supportforums/ ... e.id=38787
Rimms
Jak už říká Rimmer. Ten helper tam nemá určitě co dělat. Pak můžeš určitě vyházet ještě tohle:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
Tohle sice není nebezpečný, ale strašit to tam nemusí:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - {18DEED59-5E95-4446-B38C-C19F0159D762} - (no file) (HKCU)
O9 - Extra button: (no name) - {7DF0A802-6136-4AF4-A917-08CD33759B8A} - (no file) (HKCU)
Tyhle věci se mě taky moc nelíbí:
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/E ... 058_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{307E33F7-0C37-4C71-ABB8-46AE8732BFC2}: NameServer = 62.141.0.1 213.162.65.1
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
Ale i když to všechno vyházíš, moc nepočítej že to pomůže. Něco podobnýho sme nedávno řešili s Hufinem a zatím nedořešili. Určitě ještě prohledej registry a smaž všechny klíče obsahující "searchmaid". Pak si ještě pamatuju že říkal cosi o souboru popuper.exe. Zkus se mrknout jestli ti někde v systému něco podobnýho neleží. Snad se tu objeví a napíše jestli on s tím ještě něco vymyslel...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
Tohle sice není nebezpečný, ale strašit to tam nemusí:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - {18DEED59-5E95-4446-B38C-C19F0159D762} - (no file) (HKCU)
O9 - Extra button: (no name) - {7DF0A802-6136-4AF4-A917-08CD33759B8A} - (no file) (HKCU)
Tyhle věci se mě taky moc nelíbí:
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/E ... 058_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{307E33F7-0C37-4C71-ABB8-46AE8732BFC2}: NameServer = 62.141.0.1 213.162.65.1
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
Ale i když to všechno vyházíš, moc nepočítej že to pomůže. Něco podobnýho sme nedávno řešili s Hufinem a zatím nedořešili. Určitě ještě prohledej registry a smaž všechny klíče obsahující "searchmaid". Pak si ještě pamatuju že říkal cosi o souboru popuper.exe. Zkus se mrknout jestli ti někde v systému něco podobnýho neleží. Snad se tu objeví a napíše jestli on s tím ještě něco vymyslel...
-
Rimmer
- Level 4
- Příspěvky: 1171
- Registrován: březen 03
- Bydliště: Červený trpaslík
- Pohlaví:
- Stav:
Offline
Pokud se pustíš do úprav registru (promazání), nezapoměň zálohovat!
Jinak jak už říká Miras,šance manuální léčby nejsou nijak vysoké, bohužel
Dále, ten popuper.exe v systému nemá co dělat (jak u bylo psáno výše) a nejlépe ho zkus odstranit. Podařilo se mi nalézt přímo místo, kde se tím zabývali:
http://www.zive.sk/poradna/SubChild.asp ... 69&Main=51
Jinak jak už říká Miras,šance manuální léčby nejsou nijak vysoké, bohužel
Dále, ten popuper.exe v systému nemá co dělat (jak u bylo psáno výše) a nejlépe ho zkus odstranit. Podařilo se mi nalézt přímo místo, kde se tím zabývali:
Tak nakonec opravdu zabralo prejmenovat (viz thread ve vyse zminenem prispevku) soubor C:\Windows\popuper.exe na cokoliv jinyho (napr. popuper_bak.exe) a nova okna razem prestala vyskakovat. I podle data souboru bylo znat, ze se do systemu vloudil celkem nedavno a navic ve vlastnostech souboru neni ani zminka o nejaky spolecnosti a jako jazyk je uvedena rustina coz uz samo o sobe je alarmujici. Takze vrele doporucuju prejmenovat, nebo rovnou smazat a pro jistotu zrestartovat pocitac a je po starostech
http://www.zive.sk/poradna/SubChild.asp ... 69&Main=51
Rimms
help trojan
Pomohl by me nekdo? Mam problem mam dostal jsem jakysi spyware, ktery se po urcity dobe asi 10 minutkach louduje tuto stranku "hotoffers.info/.../...htm" nevedel by nekdo, jak toho zmetka vykopat z w98
Pro všechny kdož trpí "searchmaid" vyházet v HiJacku všechny položky s tímto plevelem.Pak spustit regedit, nechat najít "helper" a "popuper" a normálně je v registrech smazat a je pokoj 
.Tohle, co píšete způsobuje helper.exe a vyskakování popup oken s reklamou způsobuje popuper.exe.Já jsem se ho zbavil tímto způsobem.Nod32 ho umí najít a smazat.Není pravda, že jsme s mirasem ten problém nevyřešili,strašně mi pomohl.Pro zájemce je tu jeden link http://www.viry.cz, ve fóru se to řeší celkem slušně.
Hu
.Tohle, co píšete způsobuje helper.exe a vyskakování popup oken s reklamou způsobuje popuper.exe.Já jsem se ho zbavil tímto způsobem.Nod32 ho umí najít a smazat.Není pravda, že jsme s mirasem ten problém nevyřešili,strašně mi pomohl.Pro zájemce je tu jeden link http://www.viry.cz, ve fóru se to řeší celkem slušně.
HuZpět na “Viry, antiviry, firewally…”
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů