Asi mam vir - a co s ním?

Bruan · Příspěvek od **Bruan** » úte 12. říj 2004, 14:56

Díky rady od Jiriho Draka, jsem rozjel msconfig a vypl tam věc, která se jmenovala "DLLScan - service, drivers" a můžu zase normálně instalovat. Ten výpis s hijacku je zde :

Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
C:\FARGO\PROGRAMS\ASUS-PROBE\ASUSPROB.EXE
C:\FARGO\PROGRAMS\SB-AUDIGY\TASKBAR\CTLTRAY.EXE
C:\FARGO\PROGRAMS\AVP\AVPCC.EXE
C:\FARGO\PROGRAMS\AVP\AVPCC.EXE
C:\FARGO\PROGRAMS\AVP\AVPM.EXE
C:\FARGO\PROGRAMS\OPERA\OPERA.EXE
C:\FARGO\PROGRAMS\ZONEALARM\ZLCLIENT.EXE
C:\WIN98\SYSTEM\ZONELABS\VSMON.EXE
C:\FARGO\INET\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\FARGO\PROGRAMS\FLASHGET\JCCATCH.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\FARGO\PROGRAMS\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {00000015-A527-34E7-25C2-03A4E313B2E9} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ASUS Probe] c:\fargo\programs\ASUS-Probe\AsusProb.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WIN98\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [TaskTray] c:\Fargo\Programs\SB-Audigy\Taskbar\CTLTray.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download using FlashGet - C:\FARGO\PROGRAMS\FLASHGET\jc_link.htm
O8 - Extra context menu item: Download All by FlashGet - C:\FARGO\PROGRAMS\FLASHGET\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\FARGO\PROGRAMS\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\FARGO\PROGRAMS\FLASHGET\FLASHGET.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... d2ddfd7578
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 62.129.50.20,62.129.32.100

vypl jsem si v něm ten zákaz registru a už by snad všechn mělo jet ...

Jestě jednou díky Jirkovi Drakovi

btw aktualizovaný Kaspersky stejně nic nenašel, ikdyž tam je ....
PS : na WinXP nemám místo

, ale brzy snad bude ...

Slezman · Příspěvek od **Slezman** » pát 7. led 2005, 20:04

Ahoj, kolega si ze stránky titulky.cz donesl tuhle srandičku:

uprostřed desktopu je okno, najede nad ne a je na nejakych strankach proti spywaru

stejný problem řešen zde, je tam vypis z hijackthis

http://help.lockergnome.com/index.php?showtopic=28060

vypada to takhle:

Obrázek

JanHavlicek · Příspěvek od **JanHavlicek** » pát 7. led 2005, 21:40

A není to nějakej proces, kterej se spouští po startu Winů ? Zkusil bych se podívat do regcleaneru do záložky startup list
Jinak co Ad-aware nebo Spybot ? Nic ?

Slezman · Příspěvek od **Slezman** » pát 7. led 2005, 21:45

msconfig prej nepomohl, spybot nereagoval, po odstaneni spousteni hned po rebootu znova, viz ta diskuze v odkazu

JanHavlicek · Příspěvek od **JanHavlicek** » pát 7. led 2005, 21:55

Po jakým odstranění spouštění ?

Jinak ten post, na kterej jsi hodil link je jeho ? Jak už tam někdo psal, není to nějakej ten šmějd z netu viz. plocha->vlastnosti->plocha->vlastní nastavení plochy->záložka web ?

shadow · Příspěvek od **shadow** » pát 7. led 2005, 21:59

At to projede HiJackThisem a hod mu sem jeho log... verim, že lemra to už nějak probere ..

Shit · Příspěvek od **Shit** » pát 7. led 2005, 23:04

Postni sem sekci z registrů "Run"

Slezman · Příspěvek od **Slezman** » sob 8. led 2005, 02:29

hijack viz ten odkaz na diskuzi, ten kamos nam asi tezko doda, co potrebujete...bohuzel

€agle · Příspěvek od **€agle** » úte 25. led 2005, 20:09

Tak ke me se to nas*alo taky... Doporucuju zmenit plochu na normalni, projet Ad-Aware, Spybot, Ms Spyware removal, promazat run v registrech a ten zbytek viz tohle U me to fungovalo a vykopalo vsechno

Slezman · Příspěvek od **Slezman** » úte 25. led 2005, 20:14

no, ten kamos to formatl, nicmene diky za odkaz , ulozil jsem si tu diskuzi s tim postupem do installu pro pripad nouze

milosh · Příspěvek od **milosh** » pon 28. úno 2005, 07:59

Byl u me kamos, co jeste chudak jede pres dial-up

a ze prej mu nejde PC. No tak mi ho dovezl a nesel mu vubec explorer - byl smazany explorer.exe a proste se choval dost divne. Tak jsem to cely preinstaloval - pres existujici instalaci a projel AVASTEM a NODEM a pak jeste AD-AWAREM. No naslo to par desitech viru a spamu, ale ted je problem, ze po pripojeni na net nenajede zadna stranka a nejde stahovat postu do outlooku :-/

Nevite nekdo, cim by to jeste mohlo byt? Asi tam nakej virus jeste zustal

kuavik · Příspěvek od **kuavik** » pon 28. úno 2005, 13:32

je klidne mozne, ze tam nejaky z tech viru neco napachal a poskodil. abych pravdu rekl mit takhle zavir. pc, tak radsi format C:, protoze za chvili se muze sesypat i neco jineho.
pripadne jeste zkus spybota a trojan remover,

hook · Příspěvek od **hook** » pon 28. úno 2005, 13:45

hloavne posli log hijackthis, bez toho se blbe radi.....

hook · Příspěvek od **hook** » pon 28. úno 2005, 13:46

a format C...to je posledni moznost......az bude tvuj pes nemocnej-zastrelis ho a koupis si novyho nebo ho budes lecit?? hmm

milosh · Příspěvek od **milosh** » pon 28. úno 2005, 13:48

Tak jeden log davam zatim sem, sice to neni ten co potrebuju, ale na tom pc ze kteryho to je to taky blbne, skoro ten samy co jsem popsal nahore..

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
c:\TEMP\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O1 - Hosts: earch
O1 - Hosts: earch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\p68qlgl516q.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

hook · Příspěvek od **hook** » pon 28. úno 2005, 13:59

O1 - Hosts: earch
O1 - Hosts: earch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\p68qlgl516q.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} -

tohle fixni .... je ten log kompleti?

C:\WINDOWS\System32\vbsys2.dll - neznam

milosh · Příspěvek od **milosh** » pon 28. úno 2005, 14:08

Jojo, mel by byt kompletni.

Ale ted jsem to udelal, a spoji se na net, ale nenajede stranka, zastavi se v polovine nacitani

kuavik · Příspěvek od **kuavik** » pon 28. úno 2005, 22:07

hook píše:a format C...to je posledni moznost......az bude tvuj pes nemocnej-zastrelis ho a koupis si novyho nebo ho budes lecit?? hmm

/ot/ lol , tak jestli chces srovnavat psa a PC, no tak to je mi te lito

/ot/,
zkusil si toho trojan removera? taky by mozna pomohlo procistit registry viz. ccleaner

shadow · Příspěvek od **shadow** » pon 28. úno 2005, 23:03

milosh píše:Jojo, mel by byt kompletni.

Ale ted jsem to udelal, a spoji se na net, ale nenajede stranka, zastavi se v polovine nacitani

tyto soubory musíš ještě smazat v nouzovém režimu Windows...

c:\eed_s7.cab
c:\x.cab
c:\x.cab

podobně zřejmě i následující ...

C:\WINDOWS\System32\vbsys2 - malvare - na to by mohl pomoci i tento script..

http://www.xpounded.netfirms.com/xFree6.html

a

C:\WINDOWS\system32\p68qlgl516q.dll - to zase nevím já, co to je, ale asi taky malware/spyware - název se mi moc nezdá...

Dále smaž všechny soubory v těchto adresářích ... C:\Windows\Temp\
C:\Documents and Settings\user\Local Settings\Temp\
C:\Documents and Settings\user\Local Settings\TemporaryInternetFiles\

Příspěvek od **zombux** » pon 28. úno 2005, 23:09

nainstaluj mu tam pokud možno aktuální service pack a nainstaluj mu firefox nebo operu

přes dial-up to nestáhne ale někde na CD se to bude potloukat. a taky bych doporučil SpywareBlaster a imunizovat

Asi mam vir - a co s ním?

"WARNING! YOU'RE IN A DANGER" Desktop virus

Vir co ma rad dial-up a explorer :-/