iexplorer.exe (diky všem )

Tor · Příspěvekod **Tor** » 29 bře 2007 22:49

Ahoj lidi mam takovej problem naistaloval jsem si free Spyware terminator a po teto instalaci se me zeptal jesli chci zakazat internet explorer dal jsem ano.

ale jde ted oto proc ho mam ve spuštěných procesech kde by vlastně být neměl
měl by se jen zablokovat a nic nedělat ale ja ho ve spuštěných procesech mam a tak mi zbytečně zabírá misto paměti

nevite nekdo jak se toho problému zbavit aplikace internet explorer se nechci uplně zbavit (protoze ji vyuzivam na kontroli funčnosti mych stránek)

chci se jen zbavit toho spuštěneho procesu

Protože když ho chci ukončit tak tam naskoči znovu a je tam spuštěn navic dvakrat :idea:

Reklama

Baron Prášil · Příspěvekod **Baron Prášil** » 29 bře 2007 23:13

pošli log z HijackThis.
budeme vidět a vědět víc

HijackThis stahneš tady-
http://www.bleepingcomputer.com/files/M ... ckThis.zip
rozbal do vlastní složky,spusť,klikni na "Do a system scan and save a logfile"
Vygenerovaný texťák zkopíruj sem.

Příspěvekod **Pic** » 30 bře 2007 14:24

Nepleteš si iexplorer a explorer? Explorer je systémový soubor!

Tor · Příspěvekod **Tor** » 01 dub 2007 11:08

Logfile of HijackThis v1.99.1
Scan saved at 11:05:16, on 1.4.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\My plocha\Burn II\HIjack This - determinator viru\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [programdateanteaudio] C:\Documents and Settings\All Users\Data aplikací\Tonssizeprogramdate\Admindata.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [01Love] C:\DOCUME~1\Tor\DATAAP~1\16CLOS~1\Cdrom acid.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

opravdu si to nepletu furt mam iexplorer spuštěnej a nejde jen tak ukončit

Příspěvekod **fredik** » 01 dub 2007 11:40

Vypadá to že tam máš Lop.

Zatím fixni v HTJ toto:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

Otestuj jeden z těchto souborů na VirusTotall
C:\Documents and Settings\All Users\Data aplikací\Tonssizeprogramdate\Admindata.exe
C:\DOCUME~1\Tor\DATAAP~1\16CLOS~1\Cdrom acid.exe
a dej sem výsledek.

Stáhni si, vybal a spusť LopFind
- Po jeho spuštění se Ti během chvíle zobrazí textový dokument, jinak také uložený na disku pod umístěním C:\lop.txt, zkopíruj sem prosím celý jeho obsah.

Tor · Příspěvekod **Tor** » 01 dub 2007 14:40

no tak jsem to otestoval ten soubor a naslo to:

AhnLab-V3 2007.3.31.0 04.01.2007 no virus found
AntiVir 7.3.1.47 03.31.2007 TR/Dldr.Swizzor.Gen
Authentium 4.93.8 03.31.2007 no virus found
Avast 4.7.936.0 03.31.2007 no virus found
AVG 7.5.0.447 03.31.2007 Downloader.Obfuskated
BitDefender 7.2 04.01.2007 Trojan.FatObfus.Gen
CAT-QuickHeal 9.00 03.31.2007 no virus found
ClamAV devel-20070312 04.01.2007 no virus found
DrWeb 4.33 04.01.2007 no virus found
eSafe 7.0.15.0 03.31.2007 no virus found
eTrust-Vet 30.6.3527 03.31.2007 Win32/Swizzor.OU
Ewido 4.0 03.31.2007 Trojan.Obfuscated.en
FileAdvisor 1 04.01.2007 no virus found
Fortinet 2.85.0.0 04.01.2007 suspicious
F-Prot 4.3.1.45 03.30.2007 no virus found
F-Secure 6.70.13030.0 04.01.2007 Trojan.Win32.Obfuscated.en
Ikarus T3.1.1.3 04.01.2007 not-a-virus:AdWare.Win32.Lop.ag
Kaspersky 4.0.2.24 04.01.2007 Trojan.Win32.Obfuscated.en
McAfee 4997 03.31.2007 no virus found
Microsoft 1.2306 04.01.2007 Spyware:Win32/C2Lop.B (threat-c)
NOD32v2 2160 03.31.2007 no virus found
Norman 5.80.02 03.31.2007 W32/DLoader.CDRT
Panda 9.0.0.4 04.01.2007 Adware/Lop

Tor · Příspěvekod **Tor** » 01 dub 2007 14:43

******************************************

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\All Users\DATAAP~1

28.03.2007 16:51 <DIR> Spyware Terminator
20.03.2007 20:52 1743 QTSBandwidthCache
20.03.2007 20:45 <DIR> Apple Computer
19.03.2007 22:58 <DIR> Sony Ericsson
19.03.2007 22:58 <DIR> Teleca
15.03.2007 13:57 <DIR> Tonssizeprogramdate
13.03.2007 02:50 <DIR> CyberLink
13.03.2007 02:48 62 desktop.ini
13.03.2007 02:48 <DIR> ..
13.03.2007 02:48 <DIR> Microsoft
13.03.2007 02:48 <DIR> .
13.03.2007 02:43 <DIR> DVD Shrink
13.03.2007 02:17 <DIR> Adobe
2 soubor…, 1805 bajt…
Adres ý…: 11, Volněch bajt…: 16630419456
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\Tor\DATAAP~1

20.03.2007 20:54 <DIR> Apple Computer
20.03.2007 18:46 <DIR> ICQLite
19.03.2007 23:00 <DIR> Sony Ericsson
19.03.2007 23:00 <DIR> Teleca
18.03.2007 15:18 <DIR> AdobeUM
18.03.2007 15:18 <DIR> Adobe
16.03.2007 02:15 <DIR> Sun
15.03.2007 13:57 <DIR> 16 close
13.03.2007 11:29 <DIR> Ahead
13.03.2007 10:37 <DIR> Macromedia
13.03.2007 03:14 <DIR> Azureus
13.03.2007 02:51 <DIR> CyberLink
13.03.2007 02:46 <DIR> BSplayer Pro
13.03.2007 02:32 <DIR> Mozilla
13.03.2007 02:07 <DIR> Identities
13.03.2007 02:07 62 desktop.ini
13.03.2007 02:07 <DIR> ..
13.03.2007 02:07 <DIR> .
13.03.2007 02:07 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 18, Volněch bajt…: 16630419456
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

13.03.2007 02:48 62 desktop.ini
13.03.2007 02:48 <DIR> ..
13.03.2007 02:48 <DIR> Microsoft
13.03.2007 02:48 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 16630792192
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

13.03.2007 02:06 <DIR> ..
13.03.2007 02:06 <DIR> Microsoft
13.03.2007 02:06 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16630816768
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

13.03.2007 02:06 <DIR> ..
13.03.2007 02:06 <DIR> Microsoft
13.03.2007 02:06 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16630775808
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\Tor\Application Data

28.03.2007 16:51 <DIR> Spyware Terminator
28.03.2007 16:51 <DIR> ..
28.03.2007 16:51 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16630816768
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\NetworkService\Application Data

29.03.2007 21:50 <DIR> Spyware Terminator
29.03.2007 21:50 <DIR> ..
29.03.2007 21:50 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16630603776

******************************************

2) Vyhledávání a odstranění podezřelých .job souborů:

a) Soubory přítomné v C:\WINDOWS\tasks\ adresáři:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\WINDOWS\Tasks

15.03.2007 14:01 252 ACA0A8CC91BB2720.job
13.03.2007 02:06 6 SA.DAT
13.03.2007 02:01 65 desktop.ini
13.03.2007 02:01 <DIR> ..
13.03.2007 02:01 <DIR> .
3 soubor…, 323 bajt…
Adres ý…: 2, Volněch bajt…: 16˙630˙599˙680

––––––––––––––––––––––––––––––––––––––––––

b) Zjišťování vlastností přítomných .job souborů:

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'ACA0A8CC91BB2720.job'
[TRACE] Printing all job properties

ApplicationName: 'c:\docume~1\tor\dataap~1\16clos~1\BASEENCINTER.exe'
Parameters: ''
WorkingDirectory: ''
Comment: ''
Creator: 'Tor'
Priority: NORMAL
MaxRunTime: 259200000 (3d 0:00:00)
IdleWait: 10
IdleDeadline: 60
MostRecentRun: 04/01/2007 14:00:00
NextRun: 04/01/2007 15:00:00
StartError: S_OK
ExitCode: 0
Status: SCHED_S_TASK_READY
ScheduledWorkItem Flags:
DeleteWhenDone = 0
Suspend = 0
StartOnlyIfIdle = 0
KillOnIdleEnd = 0
RestartOnIdleResume = 0
DontStartIfOnBatteries = 0
KillIfGoingOnBatteries = 0
RunOnlyIfLoggedOn = 1
SystemRequired = 0
Hidden = 1
TaskFlags: 0

1 Trigger

Trigger 0:
Type: Daily
DaysInterval: 1
StartDate: 02/27/1997
EndDate: 00/00/0000
StartTime: 00:00
MinutesDuration: 1440
MinutesInterval: 60
Flags:
HasEndDate = 0
KillAtDuration = 0
Disabled = 0

––––––––––––––––––––––––––––––––––––––––––

c) Nalezené a odstraněné nežádoucí soubory:

ACA0A8CC91BB2720.job

––––––––––––––––––––––––––––––––––––––––––

d) Soubory přítomné v adresáři po vymazání:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\WINDOWS\Tasks

13.03.2007 02:06 6 SA.DAT
13.03.2007 02:01 65 desktop.ini
13.03.2007 02:01 <DIR> ..
13.03.2007 02:01 <DIR> .
2 soubor…, 71 bajt…
Adres ý…: 2, Volněch bajt…: 16˙630˙747˙136

******************************************

3) Vyhledávání podvodných programů ve složce Program files:

Adresář C:\Program Files\Adv Nepřítomen !

Adresář C:\Program Files\Adverts Nepřítomen !

Adresář C:\Program Files\BitDownload Nepřítomen !

Adresář C:\Program Files\BitGrabber Přítomen !

Adresář C:\Program Files\BitRoll Nepřítomen !

Adresář C:\Program Files\C2Media Nepřítomen !

Adresář C:\Program Files\Download Plugin Nepřítomen !

Adresář C:\Program Files\Messenger Plus! 3 Nepřítomen !

Adresář C:\Program Files\NetPumper Nepřítomen !

Adresář C:\Program Files\Proxy download Nepřítomen !

Adresář C:\Program Files\SuperTorrent Nepřítomen !

Adresář C:\Program Files\Torrent101 Nepřítomen !

Adresář C:\Program Files\TorrentQ Nepřítomen !

co stim mam to projet nwav scan a clear ... abych to vycistil
????

Tor · Příspěvekod **Tor** » 01 dub 2007 14:55

dotaz a co ten Lop přesně děla.. jen mě to tak zajímá ???

Příspěvekod **fredik** » 01 dub 2007 15:07

1) Fixni v HTJ toto:
O4 - HKLM\..\Run: [programdateanteaudio] C:\Documents and Settings\All Users\Data aplikací\Tonssizeprogramdate\Admindata.exe
O4 - HKCU\..\Run: [01Love] C:\DOCUME~1\Tor\DATAAP~1\16CLOS~1\Cdrom acid.exe

2) Stáhni si a spusť pod účtem administrátora Avenger
- Zvol možnost Input script manually a klikni na ikonku lupy
- Do nového prázdného okna zkopíruj celý tento text označený tučně:

Folders to delete:
"C:\Documents and Settings\All Users\DATAAP~1\Tonssizeprogramdate"
"C:\Documents and Settings\Tor\DATAAP~1\16 close"

- Poté klikni na Done
- Klikni na ikonu semaforu ke spuštění programu, nakonec klikni na OK a tvůj počítač se restartuje

Vlož sem log z Avengeru, který vyběhne po restartu a nový log z HijackThis.
Myslíš co dělá Lop nebo co dělá ten Lopfind.

Můžeš to pak klidně projet Mwav-em.

Tor · Příspěvekod **Tor** » 01 dub 2007 15:29

projel jsem to updejtlou verzi NWAvu a smazlo to taky projistotu ukazu log
prosim Zkontrolujte :wink:

******************************************

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\All Users\DATAAP~1

28.03.2007 16:51 <DIR> Spyware Terminator
20.03.2007 20:52 1743 QTSBandwidthCache
20.03.2007 20:45 <DIR> Apple Computer
19.03.2007 22:58 <DIR> Sony Ericsson
19.03.2007 22:58 <DIR> Teleca
15.03.2007 13:57 <DIR> Tonssizeprogramdate
13.03.2007 02:50 <DIR> CyberLink
13.03.2007 02:48 62 desktop.ini
13.03.2007 02:48 <DIR> ..
13.03.2007 02:48 <DIR> Microsoft
13.03.2007 02:48 <DIR> .
13.03.2007 02:43 <DIR> DVD Shrink
13.03.2007 02:17 <DIR> Adobe
2 soubor…, 1805 bajt…
Adres ý…: 11, Volněch bajt…: 16630419456
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\Tor\DATAAP~1

20.03.2007 20:54 <DIR> Apple Computer
20.03.2007 18:46 <DIR> ICQLite
19.03.2007 23:00 <DIR> Sony Ericsson
19.03.2007 23:00 <DIR> Teleca
18.03.2007 15:18 <DIR> AdobeUM
18.03.2007 15:18 <DIR> Adobe
16.03.2007 02:15 <DIR> Sun
15.03.2007 13:57 <DIR> 16 close
13.03.2007 11:29 <DIR> Ahead
13.03.2007 10:37 <DIR> Macromedia
13.03.2007 03:14 <DIR> Azureus
13.03.2007 02:51 <DIR> CyberLink
13.03.2007 02:46 <DIR> BSplayer Pro
13.03.2007 02:32 <DIR> Mozilla
13.03.2007 02:07 <DIR> Identities
13.03.2007 02:07 62 desktop.ini
13.03.2007 02:07 <DIR> ..
13.03.2007 02:07 <DIR> .
13.03.2007 02:07 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 18, Volněch bajt…: 16630419456
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

13.03.2007 02:48 62 desktop.ini
13.03.2007 02:48 <DIR> ..
13.03.2007 02:48 <DIR> Microsoft
13.03.2007 02:48 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 16630792192
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

13.03.2007 02:06 <DIR> ..
13.03.2007 02:06 <DIR> Microsoft
13.03.2007 02:06 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16630816768
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

13.03.2007 02:06 <DIR> ..
13.03.2007 02:06 <DIR> Microsoft
13.03.2007 02:06 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16630775808
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\Tor\Application Data

28.03.2007 16:51 <DIR> Spyware Terminator
28.03.2007 16:51 <DIR> ..
28.03.2007 16:51 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16630816768
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\Documents and Settings\NetworkService\Application Data

29.03.2007 21:50 <DIR> Spyware Terminator
29.03.2007 21:50 <DIR> ..
29.03.2007 21:50 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 16630603776

******************************************

2) Vyhledávání a odstranění podezřelých .job souborů:

a) Soubory přítomné v C:\WINDOWS\tasks\ adresáři:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\WINDOWS\Tasks

15.03.2007 14:01 252 ACA0A8CC91BB2720.job
13.03.2007 02:06 6 SA.DAT
13.03.2007 02:01 65 desktop.ini
13.03.2007 02:01 <DIR> ..
13.03.2007 02:01 <DIR> .
3 soubor…, 323 bajt…
Adres ý…: 2, Volněch bajt…: 16˙630˙599˙680

––––––––––––––––––––––––––––––––––––––––––

b) Zjišťování vlastností přítomných .job souborů:

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'ACA0A8CC91BB2720.job'
[TRACE] Printing all job properties

ApplicationName: 'c:\docume~1\tor\dataap~1\16clos~1\BASEENCINTER.exe'
Parameters: ''
WorkingDirectory: ''
Comment: ''
Creator: 'Tor'
Priority: NORMAL
MaxRunTime: 259200000 (3d 0:00:00)
IdleWait: 10
IdleDeadline: 60
MostRecentRun: 04/01/2007 14:00:00
NextRun: 04/01/2007 15:00:00
StartError: S_OK
ExitCode: 0
Status: SCHED_S_TASK_READY
ScheduledWorkItem Flags:
DeleteWhenDone = 0
Suspend = 0
StartOnlyIfIdle = 0
KillOnIdleEnd = 0
RestartOnIdleResume = 0
DontStartIfOnBatteries = 0
KillIfGoingOnBatteries = 0
RunOnlyIfLoggedOn = 1
SystemRequired = 0
Hidden = 1
TaskFlags: 0

1 Trigger

Trigger 0:
Type: Daily
DaysInterval: 1
StartDate: 02/27/1997
EndDate: 00/00/0000
StartTime: 00:00
MinutesDuration: 1440
MinutesInterval: 60
Flags:
HasEndDate = 0
KillAtDuration = 0
Disabled = 0

––––––––––––––––––––––––––––––––––––––––––

c) Nalezené a odstraněné nežádoucí soubory:

ACA0A8CC91BB2720.job

––––––––––––––––––––––––––––––––––––––––––

d) Soubory přítomné v adresáři po vymazání:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je 804C-F4B3.

Věpis adres ýe C:\WINDOWS\Tasks

13.03.2007 02:06 6 SA.DAT
13.03.2007 02:01 65 desktop.ini
13.03.2007 02:01 <DIR> ..
13.03.2007 02:01 <DIR> .
2 soubor…, 71 bajt…
Adres ý…: 2, Volněch bajt…: 16˙630˙747˙136

******************************************

3) Vyhledávání podvodných programů ve složce Program files:

Adresář C:\Program Files\Adv Nepřítomen !

Adresář C:\Program Files\Adverts Nepřítomen !

Adresář C:\Program Files\BitDownload Nepřítomen !

Adresář C:\Program Files\BitGrabber Přítomen !

Adresář C:\Program Files\BitRoll Nepřítomen !

Adresář C:\Program Files\C2Media Nepřítomen !

Adresář C:\Program Files\Download Plugin Nepřítomen !

Adresář C:\Program Files\Messenger Plus! 3 Nepřítomen !

Adresář C:\Program Files\NetPumper Nepřítomen !

Adresář C:\Program Files\Proxy download Nepřítomen !

Adresář C:\Program Files\SuperTorrent Nepřítomen !

Adresář C:\Program Files\Torrent101 Nepřítomen !

Adresář C:\Program Files\TorrentQ Nepřítomen !

Tor · Příspěvekod **Tor** » 01 dub 2007 15:30

Logfile of HijackThis v1.99.1
Scan saved at 15:29:34, on 1.4.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\wscntfy.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Documents and Settings\Tor\Plocha\File'S\Wolf's Profi Miranda-Pack v1.3.0\miranda32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Tor\LOCALS~1\Temp\mexe.com
C:\DOCUME~1\Tor\LOCALS~1\Temp\ScanningProcess.exe
C:\DOCUME~1\Tor\LOCALS~1\Temp\ScanningProcess.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
D:\My plocha\Burn II\HIjack This - determinator viru\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [EasyTuneV] C:\Program Files\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

Tor · Příspěvekod **Tor** » 01 dub 2007 15:33

uz je aji nepritomen tento podvodný program

Adresář C:\Program Files\BitGrabber Nepřítomen !
>> protoze tam zbyla jen složka tak jsem ji definitivně smazal a ted by to mělo byt dobry

iexplorer.exe (diky všem )

iexplorer.exe (diky všem )

Kdo je online