Kontrola Hijack běžnými av prostředky nejde ven

[Jan Pašek]

Chtěl bych tímto všechny kdo se ještě nenapálili varovat před Torrentem 007.James.Bond.Casino.Royale[2006]DvDrip[Eng]-aXXo Je zazipovaný a jako sériové číslo se má zadat verze nějakého downloaderu Jednak mi číslo verze nefungovalo jako heslo pro zip ze zmiňovaného torrentu a jednak instalací doporučovaného nastane následující: Propojil se mi Firefox a IE pokaždé když otevřu Firefox naběhne mi Pomocí IE reklamní okno. Můžu PC skenovat vším co mi doposud pomohlo a tváří se jako zdravý.
Co mne ještě zaráží .. Pokud hned po startu Woken otevřu správce úloh mám tam natažený IE hned 2* a pokud zadám ukončit úlohu okamžitě nabíhá znovu. Po 16-ti minutách kontrola běžících procesů 2* IE je v Task manageru stále.
Tak moc bych poprosil posílám log a jestli by byl někdo tak hodný a podíval se mi kde se schovává to strašidlo.

Logfile of HijackThis v1.99.1
Scan saved at 21:30:51, on 13.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\SCROLL~1\MouseElf.EXE
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\lg_fwupdate\fwupdate.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Mx-3 B-Cup Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\MouseElf.EXE
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [SignNameGreyPure] C:\Documents and Settings\All Users\Data aplikací\DentPileSignName\Dvdwipe.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bias blue] C:\DOCUME~1\SPRVCE~1\DATAAP~1\PlusCurb\BIRD COAL SOAP.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: MX-3 B-Cup XP (Mx-3 B-Cup Service) - Unknown owner - C:\WINDOWS\system32\Mx-3 B-Cup Service.exe" s (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[Reklama]

[mijaja]

No Jeníčku už musím končit, ale nelíbí se mi tohle - zkontroluj to na Jottiscanu:

C:\WINDOWS\system32\Mx-3 B-Cup Service.exe
C:\DOCUME~1\SPRVCE~1\DATAAP~1\PlusCurb\BIRD COAL SOAP.exe
C:\Program Files\lg_fwupdate\fwupdate.exe

Napiš výsledky - pokračování zítra, nebo mě někdo zastoupí.

[Jidhash]

jen doplním
C:\Program Files\lg_fwupdate\fwupdate.exe - je LG firmware, takže jestli máš i LG páličku, mělo by to být v pohodě

[Jan Pašek]

Jindash já to vím to co píšeš ale neodmlouvám a šoupu nohama bůh ví kam se to schovalo.
C:\WINDOWS\system32\Mx-3 B-Cup Service.exe je zas zálohovací utilita každých 12 hodin mi projede Dokumenty a změny v programu ZAV1

[Jan Pašek]

Takže na joti bez nálezu. Hele co když začnem z druhý strany a nejdřív vypnem to co by zrovna nemuselo běžet a pokud to bude zlobit dál bude toho alespoň míň k přebírání.
Nebo vám pošlu soubor se kterým to vlastně začalo možná že to najdete tam.

[Baron Prášil]

fixnout můžeš cokoliv se ti nezdá a neznáš. v Back Upu to můžeš jednoduše vrátit.
určitě neni problem nad poslední O4-kou a před první O4 jenom toto
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

[Jan Pašek]

Takže "Baron" skutečně asi jen "Prášil" závada je tam stále. "Co stěma dvěma položkama co sem fixnul vrátit zpět?

[Baron Prášil]

to od tebe není pěkné,dělat si legraci z mýho nicku. já sem reagoval na tvůj návrch jít na to z "druhé strany",prohlídnul sem ti log,vymezil prostor pro experiment a našel dvě jistý věci k fixu.
Baron PRÁŠIL

[Jan Pašek]

Víš zatím tu máš jen málo bodíků a málo příspěvků. A nevím jestli jsme se již potkali v nějaké diskusi. Až se přesvědčim že méně někdy znamená více i sranda pude stranou. A znalost toho co má být spuštěné a který soubor co dělá a k čemu je u mě naprosto chybí alespoň co se operačního systému týče. Tak se nediv že sem trochu opatrnej. PC při šikovném zásahu umí udělat hají během několika sekund a někdy trvá hodiny ho vzbudit.

[Baron Prášil]

hm,tak z hvězdičkama si to rozlousk
to rozmezí (teda v podstatě všechny O4) sou spuštěný procesy. můžeš je všechny fixnout(což neznamená smazat,ale jenom změnit hodnotu v registru) a když je budeš chtít obnovit,klikneš na Back up a vyjede ti vlastně stejná tabulka se všema fixnutejma položkama. dvě veci co sem napsal byli k fixu a už nevrátí se víc.

[Jan Pašek]

Nevěděl by nekdo co dál? Závada trvá! Odpoledne nebo k večeru bych se dostal k pokračování. Už sem zkoušel i obnovení systému ale on si mrcha pamatuje jen dva dny zpět a to je málo. Není se ale čemu divit mám pouze 60GB syst. disk. Prostor na disku přidělený této funkci je nastaven na maximum.

[mijaja]

Jeníčku, ty položky nemusíš vracet. Nejsou důležité. To vyskakování bych spíše viděl tak, že po propojení IE s Firefoxem, se ti automaticky spustí oba dva dohromady. Zkus ten firefox odinstalovat, potom IE vypnout v Taskmangeru.

Potom fixni:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Ale myslím si, že IE je tak provázaný s woknama, že ti tam bude figurovat stále. Těch registrů s IE bys musel vymazat více a mohl by sis systém zcela znefunkčnit.
Taky jej vůbec nespouštím, ale v běžících procesech figuruje neustále.