PC-HELP.CZ

České diskuzní fórum o počítačích
https://pc-help.cnews.cz/

rootkit yct.exe ?

https://pc-help.cnews.cz/viewtopic.php?f=47&t=35217

Stránka 1 z 1

rootkit yct.exe ?

Napsal: 04 led 2009 19:26
od Davson
Dnes jsem si dělal kontrolu programem Rootkit detective. Našlo mně to nějaký soubor yct.exe, ale nevím co s tím. Podle adresáře je to uloženo v C:\Documents and Settings\uživatel\Dokumenty\ICQ Lite\ složka se jménem a číslem ICQ. Tato složka nejde ani ručně odstranit.Píše to, že ze zdrojového souboru nebo disku nelze číst.

Re: rootkit yct.exe ?

Napsal: 04 led 2009 19:43
od Owner
Doporučuji ti hodit sem log z HJT a Malwarebytes' Anti-Malware . :bigups:

Re: rootkit yct.exe ?

Napsal: 04 led 2009 19:51
od Davson
Zatím posílám kog z Hijackthisu.No teď se tak dívám, že mně to při instalaci QIP 2005 nastavilo jiné domovské stránky prohlížečů.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:44:59, on 4.1.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\FirefoxPortable\FirefoxPortable.exe
F:\FirefoxPortable\App\firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4768 bytes

Re: rootkit yct.exe ?

Napsal: 04 led 2009 20:04
od Davson
Malwarebytes' Anti-Malware 1.31
Verze databáze: 1562
Windows 5.1.2600 Service Pack 2

4.1.2009 19:56:39
mbam-log-2009-01-04 (19-56-39).txt

Typ skenu: Rychlý sken
Objektu skenováno: 53451
Uplynulý cas: 4 minute(s), 22 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)

Re: rootkit yct.exe ?

Napsal: 04 led 2009 20:13
od memphisto
log je OK a PC máš čisté. ten QIP při instalaci mění domovské stránky. myslím, že při instalaci tam byla možnost toto odškrtnout

Re: rootkit yct.exe ?

Napsal: 04 led 2009 20:18
od Davson
Takže to co vyhodil ten Rootkit detective (yct.exe) mně nemusí dělat starosti ?
Ještě jsem se chtěl zeptat jak vymazat složku s PC, když to normálně nejde ? Píše to, že ze zdrojového souboru nebo disku nelze číst.

Re: rootkit yct.exe ?

Napsal: 04 led 2009 20:22
od memphisto
ten yct.exe patří k aTUBE Catcher. jinak nějaký ten Rootkit detective bych odinstaloval. tu složku zkus vymazat pomocí Unlockeru. integruje se do kontextového menu a když ho dáš smazat normálně a nepůjde to, tak ten Unlocker ho dokáže odstranit

Re: rootkit yct.exe ?

Napsal: 04 led 2009 20:55
od Davson
Tak jsem stáhl ten Unlocker. Za prvé se při poklepání na složku sám nenabídl (neotevřel) jak by asi měl. Tak jsem to udělal podle kontextového menu, dal smazat. Napsalo to, že byl soubor smazán a proběhlo to úspěšně, ale ta složka tam je pořád.

Re: rootkit yct.exe ?  Vyřešeno

Napsal: 04 led 2009 20:58
od memphisto
ta složka zmizí po chvíli a nebo po restartu

Re: rootkit yct.exe ?

Napsal: 04 led 2009 21:07
od Davson
No tak nezmizela ani po restartu.
Časové pásmo: UTC+02:00
Stránka 1 z 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/