PC-HELP.CZ

České diskuzní fórum o počítačích
https://pc-help.cnews.cz/

HJT kontrola - nelze smazat thumb_Poooohooodaaa

https://pc-help.cnews.cz/viewtopic.php?f=70&t=10310

Stránka 1 z 1

HJT kontrola - nelze smazat thumb_Poooohooodaaa

Napsal: 19 pro 2006 14:48
od roma
Nejde mi smazat soubor thumb_Pooohooodaaa bez přípony v C:\Documents and Settings\Gábinka\Local Settings\Temporary Internet Files\Content.IE5\6XZ858FY. Vyzkoušel jsem již vše a nevím si rady. Navíc mi přestal fungovat ( když dvakrát kliknu, nic se neděje )Firefox 2. MIE však funguje bez závad.

Moc a moc děkuji!

Logfile of HijackThis v1.99.1
Scan saved at 14:48:01, on 19.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\OETRN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\SYSTEM32\GEARSec.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Roman\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WebTransBHO Class - {2DB66063-BB98-466A-AA0D-3E7ACF5ED853} - C:\WINDOWS\WebIE.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: WebTranslator - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - C:\WINDOWS\WebIE.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [OEXPRESS] C:\WINDOWS\OETRN.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Zobrazit originál - C:\Program Files\VOLNY\akcelerator\original.htm
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - (no file)
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748449} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: &Nastavit překladač - {CC963627-B1DC-40E0-B52A-CF21EE748449} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: &Slovník - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: Přeložit &označený text - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\WINDOWS\WebIE.dll
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\WINDOWS\WebIE.dll
O9 - Extra 'Tools' menuitem: Přeložit &stránku - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\WINDOWS\WebIE.dll
O16 - DPF: {4ADC518E-B607-11D4-B395-0001020F4519} (SigVer Class) - https://ib24.csob.cz/comp/Signercz.cab
O16 - DPF: {50E43D86-A74D-11D0-98CE-004005249458} (AnimatedGif Control) - https://www.mojebanka.cz/jars/confwiz/MVSGif.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{57B51C2B-B24F-44F9-AB79-D27585F68238}: NameServer = 10.0.0.1
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSec.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

mod. by Ltb - upraven nadpis příspěvku na něco více výstižného než "Prosím o pomoc.."

Napsal: 19 pro 2006 15:32
od alias75
Prosím o pomoc ???????

A co jako ?Sedíš na záchodě a došel Ti papír???Nebo co???
Výstižný nadpis takhle nezní.

Napsal: 19 pro 2006 15:37
od roma
Jse tu poprvé, omlouvám se!
Prosím tedy o kontrolu logu.
Děkuji

Napsal: 19 pro 2006 15:50
od alias75
Na kontrolu logu si budeš muset počkat na zkušenější ,zde na foru.
na to smazání jsi zkoušel CCleaner??Mazání Temporary Internet Files má také.


Jen jsem si všiml že nemáš žádný Firewal a používáš Explorer.
podívej se na tento návod ,ketrý sestavil Mijaja a určitě si něco z toho vybereš.

Napsal: 19 pro 2006 15:54
od roma
Díky!

Napsal: 20 pro 2006 17:17
od mijaja
Tak log máš relativně čistý. Je tam snad pár zbytečností, ale ty rozhodně nemají souvislost s tvým problémem. Proto, pokud se ti již nepodařilo tento soubor zlikvidovat, vyzkoušej některé z těchto možností:
Hijackthis - Spustíš HJ Config - - Misc Tools - Delete file on reboot - poté vyber soubor který chcš smazat a restartni PC.
Unlocker
Killbox - do okénka zkopíruj přesnou cestu k souboru Nastav volby Delete On Reboot a Unregister .dll Before deleting a stiskni červený kruh s křížem.
Avenger - do okénka 2 zkopíruj přesnou cestu k souboru.
Smazání souborů dávkou v Konzoli pro zotavení

Napsal: 20 pro 2006 18:42
od roma
Díky za radu.
Bohužel jsem vše vyzkoušel ale bez úspěchu! Soubor mi nejde odstranit.
Toto je např. výpis z avengeru:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ywgqfjgv

*******************

Script file located at: \??\C:\Documents and Settings\iyyr^uhk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Documents and Settings\Gábinka\Local Settings\Temporary Internet Files\Content.IE5\6XZ858FY\thumb_Pooohooodaaa not found!
Deletion of file C:\Documents and Settings\Gábinka\Local Settings\Temporary Internet Files\Content.IE5\6XZ858FY\thumb_Pooohooodaaa failed!

Could not process line:
C:\Documents and Settings\Gábinka\Local Settings\Temporary Internet Files\Content.IE5\6XZ858FY\thumb_Pooohooodaaa
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Napsal: 20 pro 2006 18:53
od mijaja
A zkoušel jsi jednotlivé programy i v nouzáku? Máš vypnutou Obnovu systému? Vyzkoušej i RootkitRevealer - jestli tam není něco skrytého.
Vypsal ti Unlocker, kterým souborem je ten šmejdík držen?

Napsal: 20 pro 2006 18:57
od sakiri
zkus ještě tohle spusť Killboxe
A dej Tools>>Delete Temp Files>>nech tam tvůj profil a nech zaškrklý jenom Temporary Internet Files ostatní odškrtni.
Potom dej Delete Selected Temp Files Potom zavři to okno i Killbox a řekni jestli to pomohlo.

Napsal: 20 pro 2006 21:03
od roma
Již se cítím trapně ale zase nic.
Vypnul jsem obnovení systému a v nouzovém režimu vše znovu projel a nic.
Unlocker píše:
nebol nájdený žiadny blokujúci identifikátor.

Jediné co jsem ještě nevyzkoušel je konzole po zotavení. Ale nevím jak na to. Nemám CD Win.

Navíc mám ještě jeden takový soubor: thumb_terorista

RootkitRevaaler výpis:

HKLM\SOFTWARE\Classes\blue.Shortcut\ 12.12.2006 19:15 15 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\blue.Shortcut\shell\open\command\ 12.12.2006 19:15 15 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 15.12.2006 15:49 0 bytes Key name contains embedded nulls (*)
C:\Documents and Settings\Gábinka\Local Settings\Temporary Internet Files\Content.IE5\6XZ858FY\thumb_Pooohooodaaa :-)[1] 14.3.2006 22:23 1.96 KB Hidden from Windows API.
C:\Documents and Settings\Gábinka\Local Settings\Temporary Internet Files\Content.IE5\ZZZZZZZZ\thumb_terorista :)[1] 16.11.2005 18:26 2.18 KB Hidden from Windows API.
C:\Documents and Settings\Roman\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\yvd4byy7.default\Cache\10CC10FAd01 20.12.2006 20:42 20.15 KB Hidden from Windows API.
C:\Documents and Settings\Roman\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\yvd4byy7.default\Cache\245803ABd01 20.12.2006 20:51 66.74 KB Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 20.12.2006 20:37 64.00 KB Visible in Windows API, but not in MFT or directory index.

Napsal: 21 pro 2006 18:07
od mijaja
Nezkusil jsi tomu souboru nějakou příponu přiřadit - třeba txt, nebo bak, popřípadě old ? Nebo celý soubor přejmenovat? Už jsem to tady psal, že po nejaké akci mi na flsahce zůstaly adresáře s nulovou velikostí a krkolomnými názvy a nešly za žádnou cenu smazat. Nakonec zmizely po prachobyčejném Scandisku. Vyzkoušej i ten. A zkusil bych i defragmentaci, jestli s ním wokna pohnou z místa.
Taky je možné, že se ty dva soubory drží navzájem. Zkus do killboxu zkopírovat oba řádky naráz:

Kód: Vybrat vše

C:\Documents and Settings\Gábinka\Local Settings\Temporary Internet Files\Content.IE5\6XZ858FY\thumb_Pooohooodaaa :-)
C:\Documents and Settings\Gábinka\Local Settings\Temporary Internet Files\Content.IE5\ZZZZZZZZ\thumb_terorista :)


a zkus je v nouzáku střelit oba najednou. Dej volbu Replace on Reboot a potom restartuj.
Časové pásmo: UTC+02:00
Stránka 1 z 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/