Prosím o kontrolu logu HJTH (

Ladislav Hubka

Prosím o kontrolu logu. Vypadá to na něco shnilého v království Dánském. Provětral jsem počítač aktualizovaným Ashampoo Win Optim, Nod 32, Ad-Advare SE a nic. Některé zápisy spuštěných procesů se mi stále nelíbí. Předem děkuji za pomoc. L.H.

Logfile of HijackThis v1.99.1
Scan saved at 11:02:33, on 24.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\InterVideo\Disc Master 2.5\DirectCD.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Láďa\Plocha\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 10.40.16.56
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DIRECTCD] "C:\Program Files\InterVideo\Disc Master 2.5\DirectCD.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [htm pop loud bits] C:\Documents and Settings\All Users\Data aplikací\Ball Cast Htm Pop\rule curb.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB004" /M "Stylus CX3600"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Hlavní panel ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5834875640
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBC6086A-16B4-4FDF-9A49-3E431BD068ED}: NameServer = 81.27.192.33,81.27.192.97
O20 - Winlogon Notify: WB - C:\Program Files\Stardock\Object Desktop\ThemeManager\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

likc · Příspěvek od **likc** » ned 24. čer 2007, 16:48

Copak je tohle? C:\Documents and Settings\All Users\Data aplikací\Ball Cast Htm Pop\rule curb.exe

rary · Příspěvek od **rary** » ned 24. čer 2007, 19:15

A lop tam je.

Použij LopFind dle tohoto návodu:
http://www.viry.cz/forum/viewtopic.php?t=34528

A pošli log z LopFind

Ladislav Hubka

Odinstaloval jsem program BIT, nainstaloval Lob, spustil a zde jsou výsledky. Ale co to znamená nevím.
p.s. XP jsou nakonfigurovány na čtyři uživatele.

LopFind v3 © Čas: 19:44:02,71 Datum: ne 24.06.2007

******************************************

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\All Users\DATAAP~1

23.06.2007 13:03 <DIR> TEMP
26.01.2007 13:44 <DIR> Ball Cast Htm Pop
05.01.2007 19:56 <DIR> Sony Ericsson
05.01.2007 19:56 <DIR> Teleca
08.12.2006 00:49 1755 QTSBandwidthCache
08.12.2006 00:48 <DIR> Apple Computer
03.12.2006 10:22 <DIR> DVD Shrink
13.10.2006 13:18 <DIR> InstallShield
04.10.2006 09:39 <DIR> BOONTY
18.09.2006 18:19 <DIR> Acronis
06.09.2006 18:35 <DIR> PopCap
03.09.2006 14:43 <DIR> Windows Genuine Advantage
22.08.2006 13:45 <DIR> Yahoo! Companion
21.08.2006 16:59 <DIR> Adobe
17.08.2006 17:52 62 desktop.ini
17.08.2006 17:52 <DIR> .
17.08.2006 17:52 <DIR> ..
17.08.2006 17:52 <DIR> Microsoft
17.08.2006 16:50 <DIR> Creative
2 soubor…, 1817 bajt…
Adres ý…: 17, Volněch bajt…: 45677121536
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Eric Draven\DATAAP~1

01.06.2007 14:41 <DIR> dvdcss
27.05.2007 13:14 <DIR> BSplayer Pro
27.05.2007 13:14 <DIR> BSplayer
20.05.2007 15:12 <DIR> vlc
20.05.2007 09:25 <DIR> uTorrent
09.05.2007 09:55 <DIR> Sudeki
09.05.2007 09:27 <DIR> MegauploadToolbar
25.04.2007 11:43 <DIR> InstallShield
25.04.2007 09:35 <DIR> Help
12.02.2007 17:58 <DIR> fretsonfire
11.02.2007 20:18 <DIR> Leadertech
26.01.2007 13:44 <DIR> axis meow four
12.01.2007 16:31 <DIR> Hamachi
05.01.2007 21:24 <DIR> Teleca
05.01.2007 21:24 <DIR> Sony Ericsson
22.12.2006 21:20 <DIR> OpenOffice.org2
08.12.2006 00:51 <DIR> Apple Computer
08.09.2006 22:35 <DIR> AdobeUM
07.09.2006 18:05 <DIR> Talkback
07.09.2006 18:04 <DIR> Thunderbird
04.09.2006 20:58 <DIR> Sun
22.08.2006 11:39 <DIR> Adobe
21.08.2006 16:03 <DIR> Skype
19.08.2006 16:46 <DIR> InterVideo
18.08.2006 14:32 <DIR> Macromedia
18.08.2006 14:32 <DIR> ICQLite
18.08.2006 14:30 <DIR> Mozilla
18.08.2006 14:29 <DIR> ATI
18.08.2006 14:29 <DIR> Creative
18.08.2006 14:28 <DIR> Identities
18.08.2006 14:28 62 desktop.ini
18.08.2006 14:28 <DIR> .
18.08.2006 14:28 <DIR> ..
18.08.2006 14:28 <DIR> Microsoft
18.08.2006 11:03 <DIR> Real
1 soubor…, 62 bajt…
Adres ý…: 34, Volněch bajt…: 45677121536
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Honza\DATAAP~1

31.01.2007 21:57 <DIR> Teleca
31.01.2007 21:57 <DIR> Sony Ericsson
22.08.2006 15:42 <DIR> Macromedia
22.08.2006 13:55 <DIR> Adobe
22.08.2006 13:55 <DIR> Mozilla
22.08.2006 13:45 <DIR> Real
14.08.2006 17:01 <DIR> ATI
14.08.2006 17:01 <DIR> Creative
14.08.2006 17:01 <DIR> Identities
14.08.2006 17:01 62 desktop.ini
14.08.2006 17:01 <DIR> ..
14.08.2006 17:01 <DIR> .
14.08.2006 17:01 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 12, Volněch bajt…: 45677105152
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\L Ôa\DATAAP~1

23.06.2007 11:08 <DIR> Lavasoft
07.06.2007 20:52 <DIR> Apple Computer
22.05.2007 16:36 <DIR> MEGAUPLOADTOOLBAR
28.01.2007 17:04 <DIR> SuperTorrent
05.01.2007 19:58 <DIR> Sony Ericsson
05.01.2007 19:58 <DIR> Teleca
23.12.2006 18:16 <DIR> OpenOffice.org2
10.12.2006 15:25 <DIR> Help
04.12.2006 19:33 <DIR> Leadertech
19.09.2006 17:52 <DIR> AdobeAUM
16.09.2006 15:51 <DIR> Skype
14.09.2006 21:05 <DIR> Sun
03.09.2006 16:43 <DIR> Thunderbird
25.08.2006 19:12 <DIR> AdobeUM
22.08.2006 22:26 <DIR> Adobe
18.08.2006 15:40 <DIR> Real
17.08.2006 22:11 <DIR> Macromedia
17.08.2006 17:28 <DIR> Talkback
17.08.2006 17:22 <DIR> ICQ
17.08.2006 17:22 <DIR> ICQLite
17.08.2006 17:20 <DIR> Mozilla
17.08.2006 16:55 <DIR> Creative
17.08.2006 16:55 <DIR> ATI
17.08.2006 16:12 <DIR> Identities
17.08.2006 16:12 62 desktop.ini
17.08.2006 16:12 <DIR> ..
17.08.2006 16:12 <DIR> .
17.08.2006 16:12 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 27, Volněch bajt…: 45677101056
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Marta\DATAAP~1

12.05.2007 10:27 <DIR> SuperTorrent
11.05.2007 18:34 <DIR> V-Safe
11.05.2007 16:40 <DIR> AdobeAUM
11.05.2007 06:45 <DIR> MEGAUPLOADTOOLBAR
06.01.2007 16:26 <DIR> Teleca
06.01.2007 16:26 <DIR> Sony Ericsson
02.01.2007 22:35 <DIR> OpenOffice.org2
26.10.2006 09:06 <DIR> Leadertech
28.09.2006 09:33 <DIR> Sun
05.09.2006 16:18 <DIR> Talkback
05.09.2006 16:18 <DIR> Thunderbird
21.08.2006 17:09 <DIR> AdobeUM
21.08.2006 16:57 <DIR> Adobe
21.08.2006 16:57 0 dm.ini
21.08.2006 16:57 1553 AdobeDLM.log
18.08.2006 18:44 <DIR> Real
17.08.2006 20:42 <DIR> Mozilla
17.08.2006 19:47 <DIR> Macromedia
17.08.2006 19:45 <DIR> ICQLite
17.08.2006 19:43 <DIR> ICQ
17.08.2006 19:43 <DIR> ATI
17.08.2006 19:43 <DIR> Creative
17.08.2006 19:42 <DIR> Identities
17.08.2006 19:41 62 desktop.ini
17.08.2006 19:41 <DIR> Microsoft
17.08.2006 19:41 <DIR> .
17.08.2006 19:41 <DIR> ..
3 soubor…, 1615 bajt…
Adres ý…: 24, Volněch bajt…: 45677101056
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

17.08.2006 17:52 62 desktop.ini
17.08.2006 17:52 <DIR> ..
17.08.2006 17:52 <DIR> Microsoft
17.08.2006 17:52 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 45677101056
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

17.08.2006 16:04 <DIR> ..
17.08.2006 16:04 <DIR> Microsoft
17.08.2006 16:04 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 45677101056
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

17.08.2006 16:04 <DIR> ..
17.08.2006 16:04 <DIR> Microsoft
17.08.2006 16:04 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 45677096960

******************************************

2) Vyhledávání a odstranění podezřelých .job souborů:

a) Soubory přítomné v C:\WINDOWS\tasks\ adresáři:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\WINDOWS\Tasks

03.03.2007 23:18 274 A40C8924930B333C.job
08.12.2006 00:48 284 AppleSoftwareUpdate.job
17.08.2006 16:01 6 SA.DAT
17.08.2006 16:00 65 desktop.ini
17.08.2006 16:00 <DIR> ..
17.08.2006 16:00 <DIR> .
4 soubor…, 629 bajt…
Adres ý…: 2, Volněch bajt…: 45˙677˙096˙960

––––––––––––––––––––––––––––––––––––––––––

b) Zjišťování vlastností přítomných .job souborů:

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'A40C8924930B333C.job'
[TRACE] Printing all job properties

ApplicationName: 'c:\docume~1\ericdr~1\dataap~1\axisme~1\BibTheSend.exe'
Parameters: ''
WorkingDirectory: ''
Comment: ''
Creator: 'Eric Draven'
Priority: NORMAL
MaxRunTime: 259200000 (3d 0:00:00)
IdleWait: 10
IdleDeadline: 60
MostRecentRun: 06/24/2007 19:00:00
NextRun: 06/24/2007 20:00:00
StartError: S_OK
ExitCode: 0
Status: SCHED_S_TASK_READY
ScheduledWorkItem Flags:
DeleteWhenDone = 0
Suspend = 0
StartOnlyIfIdle = 0
KillOnIdleEnd = 0
RestartOnIdleResume = 0
DontStartIfOnBatteries = 0
KillIfGoingOnBatteries = 0
RunOnlyIfLoggedOn = 1
SystemRequired = 0
Hidden = 1
TaskFlags: 0

1 Trigger

Trigger 0:
Type: Daily
DaysInterval: 1
StartDate: 10/24/1998
EndDate: 00/00/0000
StartTime: 00:00
MinutesDuration: 1440
MinutesInterval: 60
Flags:
HasEndDate = 0
KillAtDuration = 0
Disabled = 0

[TRACE] Activating job 'AppleSoftwareUpdate.job'
[TRACE] Printing all job properties

ApplicationName: 'C:\Program Files\Apple Software Update\SoftwareUpdate.exe'
Parameters: '-Task'
WorkingDirectory: ''
Comment: ''
Creator: 'SYSTEM'
Priority: NORMAL
MaxRunTime: 259200000 (3d 0:00:00)
IdleWait: 10
IdleDeadline: 60
MostRecentRun: 06/21/2007 20:44:00
NextRun: 06/28/2007 20:44:00
StartError: S_OK
ExitCode: 0
Status: SCHED_S_TASK_READY
ScheduledWorkItem Flags:
DeleteWhenDone = 0
Suspend = 0
StartOnlyIfIdle = 0
KillOnIdleEnd = 0
RestartOnIdleResume = 0
DontStartIfOnBatteries = 0
KillIfGoingOnBatteries = 0
RunOnlyIfLoggedOn = 0
SystemRequired = 0
Hidden = 0
TaskFlags: 0

1 Trigger

Trigger 0:
Type: Weekly
WeeksInterval: 1
DaysOfTheWeek: ....R..
StartDate: 12/07/2006
EndDate: 00/00/0000
StartTime: 20:44
MinutesDuration: 0
MinutesInterval: 0
Flags:
HasEndDate = 0
KillAtDuration = 0
Disabled = 0

––––––––––––––––––––––––––––––––––––––––––

c) Nalezené a odstraněné nežádoucí soubory:

A40C8924930B333C.job

––––––––––––––––––––––––––––––––––––––––––

d) Soubory přítomné v adresáři po vymazání:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\WINDOWS\Tasks

08.12.2006 00:48 284 AppleSoftwareUpdate.job
17.08.2006 16:01 6 SA.DAT
17.08.2006 16:00 65 desktop.ini
17.08.2006 16:00 <DIR> ..
17.08.2006 16:00 <DIR> .
3 soubor…, 355 bajt…
Adres ý…: 2, Volněch bajt…: 45˙677˙056˙000

******************************************

3) Vyhledávání podvodných programů ve složce Program Files:

Nebyly nalezeny žádné podvodné adresáře.

Ladislav Hubka

likc píše:Copak je tohle? C:\Documents and Settings\All Users\Data aplikací\Ball Cast Htm Pop\rule curb.exe

Tak to netuším. Nikde jsem nic takového nenašel.javascript:emoticon(':evil:')
Evil or Very Mad
L.H.

rary · Příspěvek od **rary** » pon 25. čer 2007, 07:08

tam to patří k Lopu.
Odpoledne ti zkontroluji log z LopFind a zlikvidujeme Lopa.

--------------------------------------------------------------------------------------
Takže jo Stáhni si Avenger a spusť ho pod účtem administrátora.

Zaškrtni volbu - Input script manually a klikni na ikonku lupy objeví se ti prázdné okno kam zkopíruj tento text:
Folders to delete:
C:\Documents and Settings\All Users\DATAAP~1\Ball Cast Htm Pop
C:\Documents and Settings\Eric Draven\DATAAP~1\axis meow four
C:\Documents and Settings\L Ôa\DATAAP~1\SuperTorrent
C:\Documents and Settings\Marta\DATAAP~1\SuperTorrent

Poté klikni na Done.
Pak klikni na ikonku Semafory.

Vyskočí ti hláška kde odklikni Yes poté další hláška kde odklikni Yes.
PC se restartuje. Po restartu by se ti měl zobrazit log z Avengeru tak sem
zkopíruj jeho celý obsah.

+ sem vlož nový log z HJT + nový log z LopFind

Ladislav Hubka

[quote="rary"]tam to patří k Lopu.
Odpoledne ti zkontroluji log z LopFind a zlikvidujeme Lopa.

--------------------------------------------------------------------------------------
Konečně jsem vybojoval přístup k počítadlu. Kontroly byly provedeny. Následují výpisy:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iybqppwd

*******************

Script file located at: \??\C:\WINDOWS\system32\hmfoqwjr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Documents and Settings\All Users\DATAAP~1\Ball Cast Htm Pop deleted successfully.
Folder C:\Documents and Settings\Eric Draven\DATAAP~1\axis meow four deleted successfully.

Could not open folder C:\Documents and Settings\L Ôa\DATAAP~1\SuperTorrent for deletion
Deletion of folder C:\Documents and Settings\L Ôa\DATAAP~1\SuperTorrent failed!

Could not process line:
C:\Documents and Settings\L Ôa\DATAAP~1\SuperTorrent
Status: 0xc000003a

Folder C:\Documents and Settings\Marta\DATAAP~1\SuperTorrent deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Logfile of HijackThis v1.99.1
Scan saved at 21:41:16, on 25.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\InterVideo\Disc Master 2.5\DirectCD.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\notepad.exe
D:\Documents and Settings\Láďa\Plocha\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 10.40.16.56
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DIRECTCD] "C:\Program Files\InterVideo\Disc Master 2.5\DirectCD.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [htm pop loud bits] C:\Documents and Settings\All Users\Data aplikací\Ball Cast Htm Pop\rule curb.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB004" /M "Stylus CX3600"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Hlavní panel ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5834875640
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBC6086A-16B4-4FDF-9A49-3E431BD068ED}: NameServer = 81.27.192.33,81.27.192.97
O20 - Winlogon Notify: WB - C:\Program Files\Stardock\Object Desktop\ThemeManager\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

LopFind v3 © Čas: 21:44:19,85 Datum: po 25.06.2007

******************************************

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\All Users\DATAAP~1

23.06.2007 13:03 <DIR> TEMP
05.01.2007 19:56 <DIR> Sony Ericsson
05.01.2007 19:56 <DIR> Teleca
08.12.2006 00:49 1755 QTSBandwidthCache
08.12.2006 00:48 <DIR> Apple Computer
03.12.2006 10:22 <DIR> DVD Shrink
13.10.2006 13:18 <DIR> InstallShield
04.10.2006 09:39 <DIR> BOONTY
18.09.2006 18:19 <DIR> Acronis
06.09.2006 18:35 <DIR> PopCap
03.09.2006 14:43 <DIR> Windows Genuine Advantage
22.08.2006 13:45 <DIR> Yahoo! Companion
21.08.2006 16:59 <DIR> Adobe
17.08.2006 17:52 62 desktop.ini
17.08.2006 17:52 <DIR> .
17.08.2006 17:52 <DIR> ..
17.08.2006 17:52 <DIR> Microsoft
17.08.2006 16:50 <DIR> Creative
2 soubor…, 1817 bajt…
Adres ý…: 16, Volněch bajt…: 45478318080
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Eric Draven\DATAAP~1

01.06.2007 14:41 <DIR> dvdcss
27.05.2007 13:14 <DIR> BSplayer Pro
27.05.2007 13:14 <DIR> BSplayer
20.05.2007 15:12 <DIR> vlc
20.05.2007 09:25 <DIR> uTorrent
09.05.2007 09:55 <DIR> Sudeki
09.05.2007 09:27 <DIR> MegauploadToolbar
25.04.2007 11:43 <DIR> InstallShield
25.04.2007 09:35 <DIR> Help
12.02.2007 17:58 <DIR> fretsonfire
11.02.2007 20:18 <DIR> Leadertech
12.01.2007 16:31 <DIR> Hamachi
05.01.2007 21:24 <DIR> Teleca
05.01.2007 21:24 <DIR> Sony Ericsson
22.12.2006 21:20 <DIR> OpenOffice.org2
08.12.2006 00:51 <DIR> Apple Computer
08.09.2006 22:35 <DIR> AdobeUM
07.09.2006 18:05 <DIR> Talkback
07.09.2006 18:04 <DIR> Thunderbird
04.09.2006 20:58 <DIR> Sun
22.08.2006 11:39 <DIR> Adobe
21.08.2006 16:03 <DIR> Skype
19.08.2006 16:46 <DIR> InterVideo
18.08.2006 14:32 <DIR> Macromedia
18.08.2006 14:32 <DIR> ICQLite
18.08.2006 14:30 <DIR> Mozilla
18.08.2006 14:29 <DIR> ATI
18.08.2006 14:29 <DIR> Creative
18.08.2006 14:28 <DIR> Identities
18.08.2006 14:28 62 desktop.ini
18.08.2006 14:28 <DIR> .
18.08.2006 14:28 <DIR> ..
18.08.2006 14:28 <DIR> Microsoft
18.08.2006 11:03 <DIR> Real
1 soubor…, 62 bajt…
Adres ý…: 33, Volněch bajt…: 45478318080
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Honza\DATAAP~1

31.01.2007 21:57 <DIR> Teleca
31.01.2007 21:57 <DIR> Sony Ericsson
22.08.2006 15:42 <DIR> Macromedia
22.08.2006 13:55 <DIR> Adobe
22.08.2006 13:55 <DIR> Mozilla
22.08.2006 13:45 <DIR> Real
14.08.2006 17:01 <DIR> ATI
14.08.2006 17:01 <DIR> Creative
14.08.2006 17:01 <DIR> Identities
14.08.2006 17:01 62 desktop.ini
14.08.2006 17:01 <DIR> ..
14.08.2006 17:01 <DIR> .
14.08.2006 17:01 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 12, Volněch bajt…: 45478318080
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\L Ôa\DATAAP~1

23.06.2007 11:08 <DIR> Lavasoft
07.06.2007 20:52 <DIR> Apple Computer
22.05.2007 16:36 <DIR> MEGAUPLOADTOOLBAR
28.01.2007 17:04 <DIR> SuperTorrent
05.01.2007 19:58 <DIR> Sony Ericsson
05.01.2007 19:58 <DIR> Teleca
23.12.2006 18:16 <DIR> OpenOffice.org2
10.12.2006 15:25 <DIR> Help
04.12.2006 19:33 <DIR> Leadertech
19.09.2006 17:52 <DIR> AdobeAUM
16.09.2006 15:51 <DIR> Skype
14.09.2006 21:05 <DIR> Sun
03.09.2006 16:43 <DIR> Thunderbird
25.08.2006 19:12 <DIR> AdobeUM
22.08.2006 22:26 <DIR> Adobe
18.08.2006 15:40 <DIR> Real
17.08.2006 22:11 <DIR> Macromedia
17.08.2006 17:28 <DIR> Talkback
17.08.2006 17:22 <DIR> ICQ
17.08.2006 17:22 <DIR> ICQLite
17.08.2006 17:20 <DIR> Mozilla
17.08.2006 16:55 <DIR> Creative
17.08.2006 16:55 <DIR> ATI
17.08.2006 16:12 <DIR> Identities
17.08.2006 16:12 62 desktop.ini
17.08.2006 16:12 <DIR> ..
17.08.2006 16:12 <DIR> .
17.08.2006 16:12 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 27, Volněch bajt…: 45478313984
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Marta\DATAAP~1

11.05.2007 18:34 <DIR> V-Safe
11.05.2007 16:40 <DIR> AdobeAUM
11.05.2007 06:45 <DIR> MEGAUPLOADTOOLBAR
06.01.2007 16:26 <DIR> Teleca
06.01.2007 16:26 <DIR> Sony Ericsson
02.01.2007 22:35 <DIR> OpenOffice.org2
26.10.2006 09:06 <DIR> Leadertech
28.09.2006 09:33 <DIR> Sun
05.09.2006 16:18 <DIR> Talkback
05.09.2006 16:18 <DIR> Thunderbird
21.08.2006 17:09 <DIR> AdobeUM
21.08.2006 16:57 <DIR> Adobe
21.08.2006 16:57 0 dm.ini
21.08.2006 16:57 1553 AdobeDLM.log
18.08.2006 18:44 <DIR> Real
17.08.2006 20:42 <DIR> Mozilla
17.08.2006 19:47 <DIR> Macromedia
17.08.2006 19:45 <DIR> ICQLite
17.08.2006 19:43 <DIR> ICQ
17.08.2006 19:43 <DIR> ATI
17.08.2006 19:43 <DIR> Creative
17.08.2006 19:42 <DIR> Identities
17.08.2006 19:41 62 desktop.ini
17.08.2006 19:41 <DIR> Microsoft
17.08.2006 19:41 <DIR> ..
17.08.2006 19:41 <DIR> .
3 soubor…, 1615 bajt…
Adres ý…: 23, Volněch bajt…: 45478313984
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

17.08.2006 17:52 62 desktop.ini
17.08.2006 17:52 <DIR> ..
17.08.2006 17:52 <DIR> Microsoft
17.08.2006 17:52 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 45478313984
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

17.08.2006 16:04 <DIR> ..
17.08.2006 16:04 <DIR> Microsoft
17.08.2006 16:04 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 45478313984
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

17.08.2006 16:04 <DIR> ..
17.08.2006 16:04 <DIR> Microsoft
17.08.2006 16:04 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 45478313984

******************************************

2) Vyhledávání a odstranění podezřelých .job souborů:

a) Soubory přítomné v C:\WINDOWS\tasks\ adresáři:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\WINDOWS\Tasks

08.12.2006 00:48 284 AppleSoftwareUpdate.job
17.08.2006 16:01 6 SA.DAT
17.08.2006 16:00 65 desktop.ini
17.08.2006 16:00 <DIR> ..
17.08.2006 16:00 <DIR> .
3 soubor…, 355 bajt…
Adres ý…: 2, Volněch bajt…: 45˙478˙309˙888

––––––––––––––––––––––––––––––––––––––––––

b) Zjišťování vlastností přítomných .job souborů:

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'AppleSoftwareUpdate.job'
[TRACE] Printing all job properties

ApplicationName: 'C:\Program Files\Apple Software Update\SoftwareUpdate.exe'
Parameters: '-Task'
WorkingDirectory: ''
Comment: ''
Creator: 'SYSTEM'
Priority: NORMAL
MaxRunTime: 259200000 (3d 0:00:00)
IdleWait: 10
IdleDeadline: 60
MostRecentRun: 06/21/2007 20:44:00
NextRun: 06/28/2007 20:44:00
StartError: S_OK
ExitCode: 0
Status: SCHED_S_TASK_READY
ScheduledWorkItem Flags:
DeleteWhenDone = 0
Suspend = 0
StartOnlyIfIdle = 0
KillOnIdleEnd = 0
RestartOnIdleResume = 0
DontStartIfOnBatteries = 0
KillIfGoingOnBatteries = 0
RunOnlyIfLoggedOn = 0
SystemRequired = 0
Hidden = 0
TaskFlags: 0

1 Trigger

Trigger 0:
Type: Weekly
WeeksInterval: 1
DaysOfTheWeek: ....R..
StartDate: 12/07/2006
EndDate: 00/00/0000
StartTime: 20:44
MinutesDuration: 0
MinutesInterval: 0
Flags:
HasEndDate = 0
KillAtDuration = 0
Disabled = 0

––––––––––––––––––––––––––––––––––––––––––

c) Nalezené a odstraněné nežádoucí soubory:

––––––––––––––––––––––––––––––––––––––––––

d) Soubory přítomné v adresáři po vymazání:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\WINDOWS\Tasks

08.12.2006 00:48 284 AppleSoftwareUpdate.job
17.08.2006 16:01 6 SA.DAT
17.08.2006 16:00 65 desktop.ini
17.08.2006 16:00 <DIR> ..
17.08.2006 16:00 <DIR> .
3 soubor…, 355 bajt…
Adres ý…: 2, Volněch bajt…: 45˙478˙309˙888

******************************************

3) Vyhledávání podvodných programů ve složce Program Files:

Nebyly nalezeny žádné podvodné adresáře.

Baron Prášil

odinstaluj SuperTorrent (když tam bude)

fixni
O4 - HKLM\..\Run: [htm pop loud bits] C:\Documents and Settings\All Users\Data aplikací\Ball Cast Htm Pop\rule curb.exe

použij Avenger a skript

Folders to delete:
C:\Documents and Settings\All Users\Data aplikací\Ball Cast Htm Pop
C:\Documents and Settings\L Ôa\DATAAP~1\SuperTorrent

potom pošli log z avengera a lopfindu

Ladislav Hubka

[quote="Baron Prášil"]odinstaluj SuperTorrent (když tam bude)

Provedeno. Super Torent není v odinstalaci a uvedený skript 04..... Ball Cast nebyl na výpisu HT
Nějak se v tom ztrácím.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cvrubrwh

*******************

Script file located at: \??\C:\WINDOWS\iygeqjmf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Documents and Settings\All Users\Data aplikací\Ball Cast Htm Pop not found!
Deletion of folder C:\Documents and Settings\All Users\Data aplikací\Ball Cast Htm Pop failed!

Could not process line:
C:\Documents and Settings\All Users\Data aplikací\Ball Cast Htm Pop
Status: 0xc0000034

Could not open folder C:\Documents and Settings\L Ôa\DATAAP~1\SuperTorrent for deletion
Deletion of folder C:\Documents and Settings\L Ôa\DATAAP~1\SuperTorrent failed!

Could not process line:
C:\Documents and Settings\L Ôa\DATAAP~1\SuperTorrent
Status: 0xc000003a

Completed script processing.

*******************

Finished! Terminate.

LopFind v3 © Čas: 19:19:12,82 Datum: st 27.06.2007

******************************************

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\All Users\DATAAP~1

23.06.2007 13:03 <DIR> TEMP
05.01.2007 19:56 <DIR> Sony Ericsson
05.01.2007 19:56 <DIR> Teleca
08.12.2006 00:49 1755 QTSBandwidthCache
08.12.2006 00:48 <DIR> Apple Computer
03.12.2006 10:22 <DIR> DVD Shrink
13.10.2006 13:18 <DIR> InstallShield
04.10.2006 09:39 <DIR> BOONTY
18.09.2006 18:19 <DIR> Acronis
06.09.2006 18:35 <DIR> PopCap
03.09.2006 14:43 <DIR> Windows Genuine Advantage
22.08.2006 13:45 <DIR> Yahoo! Companion
21.08.2006 16:59 <DIR> Adobe
17.08.2006 17:52 62 desktop.ini
17.08.2006 17:52 <DIR> .
17.08.2006 17:52 <DIR> ..
17.08.2006 17:52 <DIR> Microsoft
17.08.2006 16:50 <DIR> Creative
2 soubor…, 1817 bajt…
Adres ý…: 16, Volněch bajt…: 40412581888
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Eric Draven\DATAAP~1

01.06.2007 14:41 <DIR> dvdcss
27.05.2007 13:14 <DIR> BSplayer Pro
27.05.2007 13:14 <DIR> BSplayer
20.05.2007 15:12 <DIR> vlc
20.05.2007 09:25 <DIR> uTorrent
09.05.2007 09:55 <DIR> Sudeki
09.05.2007 09:27 <DIR> MegauploadToolbar
25.04.2007 11:43 <DIR> InstallShield
25.04.2007 09:35 <DIR> Help
12.02.2007 17:58 <DIR> fretsonfire
11.02.2007 20:18 <DIR> Leadertech
12.01.2007 16:31 <DIR> Hamachi
05.01.2007 21:24 <DIR> Teleca
05.01.2007 21:24 <DIR> Sony Ericsson
22.12.2006 21:20 <DIR> OpenOffice.org2
08.12.2006 00:51 <DIR> Apple Computer
08.09.2006 22:35 <DIR> AdobeUM
07.09.2006 18:05 <DIR> Talkback
07.09.2006 18:04 <DIR> Thunderbird
04.09.2006 20:58 <DIR> Sun
22.08.2006 11:39 <DIR> Adobe
21.08.2006 16:03 <DIR> Skype
19.08.2006 16:46 <DIR> InterVideo
18.08.2006 14:32 <DIR> Macromedia
18.08.2006 14:32 <DIR> ICQLite
18.08.2006 14:30 <DIR> Mozilla
18.08.2006 14:29 <DIR> ATI
18.08.2006 14:29 <DIR> Creative
18.08.2006 14:28 <DIR> Identities
18.08.2006 14:28 62 desktop.ini
18.08.2006 14:28 <DIR> .
18.08.2006 14:28 <DIR> ..
18.08.2006 14:28 <DIR> Microsoft
18.08.2006 11:03 <DIR> Real
1 soubor…, 62 bajt…
Adres ý…: 33, Volněch bajt…: 40412581888
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Honza\DATAAP~1

31.01.2007 21:57 <DIR> Teleca
31.01.2007 21:57 <DIR> Sony Ericsson
22.08.2006 15:42 <DIR> Macromedia
22.08.2006 13:55 <DIR> Adobe
22.08.2006 13:55 <DIR> Mozilla
22.08.2006 13:45 <DIR> Real
14.08.2006 17:01 <DIR> ATI
14.08.2006 17:01 <DIR> Creative
14.08.2006 17:01 <DIR> Identities
14.08.2006 17:01 62 desktop.ini
14.08.2006 17:01 <DIR> ..
14.08.2006 17:01 <DIR> .
14.08.2006 17:01 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 12, Volněch bajt…: 40412581888
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\L Ôa\DATAAP~1

23.06.2007 11:08 <DIR> Lavasoft
07.06.2007 20:52 <DIR> Apple Computer
22.05.2007 16:36 <DIR> MEGAUPLOADTOOLBAR
28.01.2007 17:04 <DIR> SuperTorrent
05.01.2007 19:58 <DIR> Sony Ericsson
05.01.2007 19:58 <DIR> Teleca
23.12.2006 18:16 <DIR> OpenOffice.org2
10.12.2006 15:25 <DIR> Help
04.12.2006 19:33 <DIR> Leadertech
19.09.2006 17:52 <DIR> AdobeAUM
16.09.2006 15:51 <DIR> Skype
14.09.2006 21:05 <DIR> Sun
03.09.2006 16:43 <DIR> Thunderbird
25.08.2006 19:12 <DIR> AdobeUM
22.08.2006 22:26 <DIR> Adobe
18.08.2006 15:40 <DIR> Real
17.08.2006 22:11 <DIR> Macromedia
17.08.2006 17:28 <DIR> Talkback
17.08.2006 17:22 <DIR> ICQ
17.08.2006 17:22 <DIR> ICQLite
17.08.2006 17:20 <DIR> Mozilla
17.08.2006 16:55 <DIR> Creative
17.08.2006 16:55 <DIR> ATI
17.08.2006 16:12 <DIR> Identities
17.08.2006 16:12 62 desktop.ini
17.08.2006 16:12 <DIR> ..
17.08.2006 16:12 <DIR> .
17.08.2006 16:12 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 27, Volněch bajt…: 40412577792
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Marta\DATAAP~1

11.05.2007 18:34 <DIR> V-Safe
11.05.2007 16:40 <DIR> AdobeAUM
11.05.2007 06:45 <DIR> MEGAUPLOADTOOLBAR
06.01.2007 16:26 <DIR> Teleca
06.01.2007 16:26 <DIR> Sony Ericsson
02.01.2007 22:35 <DIR> OpenOffice.org2
26.10.2006 09:06 <DIR> Leadertech
28.09.2006 09:33 <DIR> Sun
05.09.2006 16:18 <DIR> Talkback
05.09.2006 16:18 <DIR> Thunderbird
21.08.2006 17:09 <DIR> AdobeUM
21.08.2006 16:57 <DIR> Adobe
21.08.2006 16:57 0 dm.ini
21.08.2006 16:57 1553 AdobeDLM.log
18.08.2006 18:44 <DIR> Real
17.08.2006 20:42 <DIR> Mozilla
17.08.2006 19:47 <DIR> Macromedia
17.08.2006 19:45 <DIR> ICQLite
17.08.2006 19:43 <DIR> ICQ
17.08.2006 19:43 <DIR> ATI
17.08.2006 19:43 <DIR> Creative
17.08.2006 19:42 <DIR> Identities
17.08.2006 19:41 62 desktop.ini
17.08.2006 19:41 <DIR> Microsoft
17.08.2006 19:41 <DIR> ..
17.08.2006 19:41 <DIR> .
3 soubor…, 1615 bajt…
Adres ý…: 23, Volněch bajt…: 40412577792
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

17.08.2006 17:52 62 desktop.ini
17.08.2006 17:52 <DIR> ..
17.08.2006 17:52 <DIR> Microsoft
17.08.2006 17:52 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 40412577792
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

17.08.2006 16:04 <DIR> ..
17.08.2006 16:04 <DIR> Microsoft
17.08.2006 16:04 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 40412577792
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

17.08.2006 16:04 <DIR> ..
17.08.2006 16:04 <DIR> Microsoft
17.08.2006 16:04 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 40412577792

******************************************

2) Vyhledávání a odstranění podezřelých .job souborů:

a) Soubory přítomné v C:\WINDOWS\tasks\ adresáři:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\WINDOWS\Tasks

17.08.2006 16:01 6 SA.DAT
17.08.2006 16:00 65 desktop.ini
17.08.2006 16:00 <DIR> ..
17.08.2006 16:00 <DIR> .
2 soubor…, 71 bajt…
Adres ý…: 2, Volněch bajt…: 40˙412˙463˙104

––––––––––––––––––––––––––––––––––––––––––

b) Zjišťování vlastností přítomných .job souborů:

Nebyly nalezeny žádné soubory představující naplánované úlohy.

––––––––––––––––––––––––––––––––––––––––––

c) Nalezené a odstraněné nežádoucí soubory:

Nebyly nalezeny žádné nežádoucí soubory.

––––––––––––––––––––––––––––––––––––––––––

d) Soubory přítomné v adresáři po vymazání:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\WINDOWS\Tasks

17.08.2006 16:01 6 SA.DAT
17.08.2006 16:00 65 desktop.ini
17.08.2006 16:00 <DIR> ..
17.08.2006 16:00 <DIR> .
2 soubor…, 71 bajt…
Adres ý…: 2, Volněch bajt…: 40˙412˙528˙640

******************************************

3) Vyhledávání podvodných programů ve složce Program Files:

Nebyly nalezeny žádné podvodné adresáře.

Baron Prášil

já se vtom ztrácím taky.

potíže s PC?

rary · Příspěvek od **rary** » stř 27. čer 2007, 20:07

No ještě to není vše.

Použij znovu Avenger a vlož do něj tento script:
Folders to delete:
D:\Documents and Settings\Láďa\SuperTorrent

A po restartu sem vlož z Avengeru + nový log z LopFind.

Důvod je ten že LopFind špatně zkopíroval název účtu a tudíž Avenger nemohl najít tu špatnou složku.Ale tenhle script již je s tím správným jménem účtu.

Ladislav Hubka

rary píše:No ještě to není vše.

Použij znovu Avenger a vlož do něj tento script:
Folders to delete:
D:\Documents and Settings\Láďa\SuperTorrent

A po restartu sem vlož z Avengeru + nový log z LopFind.

Důvod je ten že LopFind špatně zkopíroval název účtu a tudíž Avenger nemohl najít tu špatnou složku.Ale tenhle script již je s tím správným jménem účtu.

Tak jdu na to. Potřebuji pár minut. Pro "Baron Prášil" : Se "sčotem" se děje pouze to, že je línější, línější a nechce se mi po roce znovu instalovat XP. Ale asi jsem zaváhal se Sunbeltem. Jinak NOD je snad v poho.

Ladislav Hubka

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fdyclcwj

*******************

Script file located at: \??\C:\Program Files\kjbswywr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder D:\Documents and Settings\Láďa\SuperTorrent not found!
Deletion of folder D:\Documents and Settings\Láďa\SuperTorrent failed!

Could not process line:
D:\Documents and Settings\Láďa\SuperTorrent
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

LopFind v3 © Čas: 21:10:38,03 Datum: st 27.06.2007

******************************************

1) Výpis obsahů Application Data složek pro zjištění podezřelých adresářů:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\All Users\DATAAP~1

23.06.2007 13:03 <DIR> TEMP
05.01.2007 19:56 <DIR> Sony Ericsson
05.01.2007 19:56 <DIR> Teleca
08.12.2006 00:49 1755 QTSBandwidthCache
08.12.2006 00:48 <DIR> Apple Computer
03.12.2006 10:22 <DIR> DVD Shrink
13.10.2006 13:18 <DIR> InstallShield
04.10.2006 09:39 <DIR> BOONTY
18.09.2006 18:19 <DIR> Acronis
06.09.2006 18:35 <DIR> PopCap
03.09.2006 14:43 <DIR> Windows Genuine Advantage
22.08.2006 13:45 <DIR> Yahoo! Companion
21.08.2006 16:59 <DIR> Adobe
17.08.2006 17:52 62 desktop.ini
17.08.2006 17:52 <DIR> .
17.08.2006 17:52 <DIR> ..
17.08.2006 17:52 <DIR> Microsoft
17.08.2006 16:50 <DIR> Creative
2 soubor…, 1817 bajt…
Adres ý…: 16, Volněch bajt…: 40406700032
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Eric Draven\DATAAP~1

01.06.2007 14:41 <DIR> dvdcss
27.05.2007 13:14 <DIR> BSplayer Pro
27.05.2007 13:14 <DIR> BSplayer
20.05.2007 15:12 <DIR> vlc
20.05.2007 09:25 <DIR> uTorrent
09.05.2007 09:55 <DIR> Sudeki
09.05.2007 09:27 <DIR> MegauploadToolbar
25.04.2007 11:43 <DIR> InstallShield
25.04.2007 09:35 <DIR> Help
12.02.2007 17:58 <DIR> fretsonfire
11.02.2007 20:18 <DIR> Leadertech
12.01.2007 16:31 <DIR> Hamachi
05.01.2007 21:24 <DIR> Teleca
05.01.2007 21:24 <DIR> Sony Ericsson
22.12.2006 21:20 <DIR> OpenOffice.org2
08.12.2006 00:51 <DIR> Apple Computer
08.09.2006 22:35 <DIR> AdobeUM
07.09.2006 18:05 <DIR> Talkback
07.09.2006 18:04 <DIR> Thunderbird
04.09.2006 20:58 <DIR> Sun
22.08.2006 11:39 <DIR> Adobe
21.08.2006 16:03 <DIR> Skype
19.08.2006 16:46 <DIR> InterVideo
18.08.2006 14:32 <DIR> Macromedia
18.08.2006 14:32 <DIR> ICQLite
18.08.2006 14:30 <DIR> Mozilla
18.08.2006 14:29 <DIR> ATI
18.08.2006 14:29 <DIR> Creative
18.08.2006 14:28 <DIR> Identities
18.08.2006 14:28 62 desktop.ini
18.08.2006 14:28 <DIR> .
18.08.2006 14:28 <DIR> ..
18.08.2006 14:28 <DIR> Microsoft
18.08.2006 11:03 <DIR> Real
1 soubor…, 62 bajt…
Adres ý…: 33, Volněch bajt…: 40406700032
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Honza\DATAAP~1

31.01.2007 21:57 <DIR> Teleca
31.01.2007 21:57 <DIR> Sony Ericsson
22.08.2006 15:42 <DIR> Macromedia
22.08.2006 13:55 <DIR> Adobe
22.08.2006 13:55 <DIR> Mozilla
22.08.2006 13:45 <DIR> Real
14.08.2006 17:01 <DIR> ATI
14.08.2006 17:01 <DIR> Creative
14.08.2006 17:01 <DIR> Identities
14.08.2006 17:01 62 desktop.ini
14.08.2006 17:01 <DIR> ..
14.08.2006 17:01 <DIR> .
14.08.2006 17:01 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 12, Volněch bajt…: 40406700032
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\L Ôa\DATAAP~1

23.06.2007 11:08 <DIR> Lavasoft
07.06.2007 20:52 <DIR> Apple Computer
22.05.2007 16:36 <DIR> MEGAUPLOADTOOLBAR
28.01.2007 17:04 <DIR> SuperTorrent
05.01.2007 19:58 <DIR> Sony Ericsson
05.01.2007 19:58 <DIR> Teleca
23.12.2006 18:16 <DIR> OpenOffice.org2
10.12.2006 15:25 <DIR> Help
04.12.2006 19:33 <DIR> Leadertech
19.09.2006 17:52 <DIR> AdobeAUM
16.09.2006 15:51 <DIR> Skype
14.09.2006 21:05 <DIR> Sun
03.09.2006 16:43 <DIR> Thunderbird
25.08.2006 19:12 <DIR> AdobeUM
22.08.2006 22:26 <DIR> Adobe
18.08.2006 15:40 <DIR> Real
17.08.2006 22:11 <DIR> Macromedia
17.08.2006 17:28 <DIR> Talkback
17.08.2006 17:22 <DIR> ICQ
17.08.2006 17:22 <DIR> ICQLite
17.08.2006 17:20 <DIR> Mozilla
17.08.2006 16:55 <DIR> Creative
17.08.2006 16:55 <DIR> ATI
17.08.2006 16:12 <DIR> Identities
17.08.2006 16:12 62 desktop.ini
17.08.2006 16:12 <DIR> ..
17.08.2006 16:12 <DIR> .
17.08.2006 16:12 <DIR> Microsoft
1 soubor…, 62 bajt…
Adres ý…: 27, Volněch bajt…: 40406695936
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Marta\DATAAP~1

11.05.2007 18:34 <DIR> V-Safe
11.05.2007 16:40 <DIR> AdobeAUM
11.05.2007 06:45 <DIR> MEGAUPLOADTOOLBAR
06.01.2007 16:26 <DIR> Teleca
06.01.2007 16:26 <DIR> Sony Ericsson
02.01.2007 22:35 <DIR> OpenOffice.org2
26.10.2006 09:06 <DIR> Leadertech
28.09.2006 09:33 <DIR> Sun
05.09.2006 16:18 <DIR> Talkback
05.09.2006 16:18 <DIR> Thunderbird
21.08.2006 17:09 <DIR> AdobeUM
21.08.2006 16:57 <DIR> Adobe
21.08.2006 16:57 0 dm.ini
21.08.2006 16:57 1553 AdobeDLM.log
18.08.2006 18:44 <DIR> Real
17.08.2006 20:42 <DIR> Mozilla
17.08.2006 19:47 <DIR> Macromedia
17.08.2006 19:45 <DIR> ICQLite
17.08.2006 19:43 <DIR> ICQ
17.08.2006 19:43 <DIR> ATI
17.08.2006 19:43 <DIR> Creative
17.08.2006 19:42 <DIR> Identities
17.08.2006 19:41 62 desktop.ini
17.08.2006 19:41 <DIR> Microsoft
17.08.2006 19:41 <DIR> ..
17.08.2006 19:41 <DIR> .
3 soubor…, 1615 bajt…
Adres ý…: 23, Volněch bajt…: 40406695936
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\Default User\DATAAP~1

17.08.2006 17:52 62 desktop.ini
17.08.2006 17:52 <DIR> ..
17.08.2006 17:52 <DIR> Microsoft
17.08.2006 17:52 <DIR> .
1 soubor…, 62 bajt…
Adres ý…: 3, Volněch bajt…: 40406695936
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\LocalService\DATAAP~1

17.08.2006 16:04 <DIR> ..
17.08.2006 16:04 <DIR> Microsoft
17.08.2006 16:04 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 40406695936
Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\Documents and Settings\NetworkService\DATAAP~1

17.08.2006 16:04 <DIR> ..
17.08.2006 16:04 <DIR> Microsoft
17.08.2006 16:04 <DIR> .
0 soubor…, 0 bajt…
Adres ý…: 3, Volněch bajt…: 40406695936

******************************************

2) Vyhledávání a odstranění podezřelých .job souborů:

a) Soubory přítomné v C:\WINDOWS\tasks\ adresáři:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\WINDOWS\Tasks

17.08.2006 16:01 6 SA.DAT
17.08.2006 16:00 65 desktop.ini
17.08.2006 16:00 <DIR> ..
17.08.2006 16:00 <DIR> .
2 soubor…, 71 bajt…
Adres ý…: 2, Volněch bajt…: 40˙406˙691˙840

––––––––––––––––––––––––––––––––––––––––––

b) Zjišťování vlastností přítomných .job souborů:

Nebyly nalezeny žádné soubory představující naplánované úlohy.

––––––––––––––––––––––––––––––––––––––––––

c) Nalezené a odstraněné nežádoucí soubory:

Nebyly nalezeny žádné nežádoucí soubory.

––––––––––––––––––––––––––––––––––––––––––

d) Soubory přítomné v adresáři po vymazání:

Svazek v jednotce C nem § dnou jmenovku.
S‚riov‚ źˇslo svazku je FC50-A8DB.

Věpis adres ýe C:\WINDOWS\Tasks

17.08.2006 16:01 6 SA.DAT
17.08.2006 16:00 65 desktop.ini
17.08.2006 16:00 <DIR> ..
17.08.2006 16:00 <DIR> .
2 soubor…, 71 bajt…
Adres ý…: 2, Volněch bajt…: 40˙406˙691˙840

******************************************

3) Vyhledávání podvodných programů ve složce Program Files:

Nebyly nalezeny žádné podvodné adresáře.

Ladislav Hubka

Logfile of HijackThis v1.99.1
Scan saved at 21:22:41, on 27.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\InterVideo\Disc Master 2.5\DirectCD.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Láďa\Plocha\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 10.40.16.56
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DIRECTCD] "C:\Program Files\InterVideo\Disc Master 2.5\DirectCD.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB004" /M "Stylus CX3600"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Hlavní panel ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5834875640
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBC6086A-16B4-4FDF-9A49-3E431BD068ED}: NameServer = 81.27.192.33,81.27.192.97
O20 - Winlogon Notify: WB - C:\Program Files\Stardock\Object Desktop\ThemeManager\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Prosím o kontrolu logu HJTH (

Prosím o kontrolu logu HJTH (

Lob Find

Re: Lop

Avenger a LOP výpisy:

Poslední výpis z HJT se jeví býti v pořádku.?!