HijackThis utilita + LOGY k posouzeni

[shadow]

Narazil jsem na mozna docela zajimavy programek nebo spis utilitky pro boj s hijackem weboveho prohlizece..

http://spywareinfo.com/~merijn/downloads.html

jeste vyzkousim, jak to facha ve skutecnosti. Autor pise, ze si dava na chvilku oraz Vypada to ovsem na zajimavy specialni doplnek k ad-aware & spybot . Zajimave vypadaji i ta odkazovana fora.

[Lemra]

Pokud přesně nevíš, co děláš, dokáže Ti tahle utilita zcela znefunkčnit systém. Sám autor píše, že výstup scanu (ukázku okna najdeš třeba tady http://pctforum.tyden.cz/viewtopic.php? ... ht=#136023 ) slouží především jako pomůcka pro experty, ne jako utilita proti spyware...

Těm, kteří opravdu přesně neví, co který proces (vč. BHO) v systému dělá, bych spouštění této utility moc nedoporučoval...

Jinak, pokud dojde k HiJacku prohlížeče, může použití této utility usnadnit detekci a následné odstranění virových procesů, vyvolaných jednoduchými droppery. Upozorňuji ovšem na stealth vlastnosti některých moderních trojanů (třeba řady StartPage xx) - v logu utility HiJack This se spouštěcí klíče jejich procesů neobjeví...

[sparthy]

Ahoj vsem! Chtel bych vas poprosit o radu, jak odstranit soubor istactivex.dll. Nasel ho posledni scan Nortonu Antivirus s hlasenim:

The compressed file ISTactivex.dll within C:\Documents and Settings\Michal\Local Settings\Temporary Internet Files\Content.IE5\OT6NCXE7\0006[1].cab is a Adware threat"

Tento soubor jsem ovsem v mem PC vubec nenasel ani po zobrazeni vsech skrytych souboru.
Zadanim "delete" v NAV se soubor tez nesmaze.
Zkousel jsem se ridit pokyny ze stranky Symantec a ani to nepomohlo.
Taky jsem nainstaloval software na odstraneni adware, ktery sice nasel spoustu jineho, ale tento problem opet nevyresil.
Nasel by se prosim nekdo zkuseny, kdo by si s tim vedel rady?
Asi taky budete potrebovat vysledek HijackThis scanu. Tak tady je:

Logfile of HijackThis v1.98.2
Scan saved at 20:37:23, on 02/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Program Files\BT Voyager 105 ADSL Modem\dslstat.exe
C:\Program Files\BT Voyager 105 ADSL Modem\dslagent.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\BT Broadband\Help\bin\mpbtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\totalcmd\TOTALCMD.EXE
c:\Documents and Settings\michal\My Documents\Hijack This\hijackthis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qgb8l.hpwis.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\BT Voyager 105 ADSL Modem\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\BT Voyager 105 ADSL Modem\dslagent.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: wkcalrem.LNK = C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BT Broadband Help.lnk = C:\Program Files\BT Broadband\Help\bin\matcli.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://qgb8l.hpwis.com

Predem diky vsem za jakoukoliv pomoc!

[pavel.minarik]

můžeš být klidný, v internetové cache (tam kde to je) to nic nedělá, můžeš pro klid duše odstranit veškerý obsah offline (tj. vymazat tu cache) a bude, ale je to šumafuk, není třeba

[Shit]

Mě spíš překvapuje, že to nedokáže NAV smazat. To "AGRSMMSG" je co?

[pavel.minarik]

To "AGRSMMSG" je co?

to je součást ovladačů k AC97 modemu Agere - ověřeno, je to v pohodě

[sparthy]

Diky moc za rychlou odpoved. Jsem rad,ze je vse v cajku. Jen, mohl bys mi prosim presne popsat (pro klid duse), odkad a co mam vymazat?
Taky obdivuju vas, kdo se v tom vyznate....Mohl bys mi prozradit, kde a jak jsi to z toho scanu vycetl? Jestli to je ale moc zdlouhave, tak se na to vybodni.
Prece jenom jsem zacatecnik. Tak zatim.

[Shit]

1) Možnosti Internetu, karta obecné - odstranit soubory...
2)

Tento soubor jsem ovsem v mem PC vubec nenasel ani po zobrazeni vsech skrytych souboru

Třeba TC do těchto složek (Local Settings\Temporary Internet Files\Content.IE5\....) vidí při povolení skrytých a system.souborů.

[sparthy]

Diky vam! Soubor je smazan a ja mam klid v dusi.

[NoTHX]

mam v cache nejakej Java Class H loader / Trojan
pri pokusu ho smazat: "Chyba při mazání Opakovat/Storno"
analogické hlášky dostanu při pokusu ho přejmenovat
nebo přesunout do karantény... růčo taky nejde a to ani "z nouze"
smazání keše taky nic nevyřešilo... tenhle hajzl tam zůstal

[Lemra]

Někde bude startovací odkaz na ten exploit - postni sem (nebo na PM) výpis z HiJack This. Vypadá to, že se Ti podařilo trojana úspěšně natáhnout a spustit...

[NoTHX]

Logfile of HijackThis v1.98.2
Scan saved at 18:55:52, on 6.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\MySQL\bin\mysqld-nt.exe
C:\Program Files\NOD32\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Program Files\ahead\InCD\InCD.exe
C:\PROGRA~1\ahead\NEROTO~1\DRIVES~1.EXE
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Switch Off\swoff.exe
C:\PROGRA~1\OBJECT~1\WindowFX\wfxload.exe
C:\Program Files\ICQPlus\vplus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\MMC.EXE
C:\WINDOWS\system32\OOD2000.exe
C:\Program Files\ICQ\Icq.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Pavel\LOCALS~1\Temp\Rar$EX00.812\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SECSCZ/SAOS01
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.elsatnet.cz:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\NOD32\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DriveSpeed] C:\PROGRA~1\ahead\NEROTO~1\DRIVES~1.EXE
O4 - HKLM\..\Run: [Ad-Aware] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [Switch Off] C:\Program Files\Switch Off\swoff.exe
O4 - HKCU\..\Run: [WindowFX] C:\PROGRA~1\OBJECT~1\WindowFX\\wfxload.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Program Files\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Program Files\ICQ\Icq.exe -trayboot
O4 - Startup: ikona hlavního panelu.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztbu05.exe
O4 - Global Startup: ikona hlavního panelu.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztbu05.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\System32\MetaProducts\Add_Url.htm
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: IB CW - https://www.mojebanka.cz/jars/cw_pack.cab
O16 - DPF: IB KTPro - https://www.mojebanka.cz/jars/kt_pro.cab
O16 - DPF: KB CW Pack - https://www.mojebanka.cz/jars/cw_pack.cab
O16 - DPF: KB SH Pack - https://www.mojebanka.cz/jars/sh_pack.cab
O16 - DPF: MIB Pack - https://www.mojebanka.cz/jars/mib_pack_v1400.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6647423203
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?319
O17 - HKLM\System\CCS\Services\Tcpip\..\{8231D9B7-0126-4C68-888A-875B046F7889}: NameServer = 81.90.168.3,212.96.161.2,81.90.160.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C15F2BC3-3B89-4E54-A6EC-3313CA36BF20}: NameServer = 81.90.168.3,212.96.161.2,81.90.160.1

jestli je to moc velkej swinec, tak to pak nekdo smazte, ale radu predtim bych uwital

[milanos]

ja nevim, jestli uz to mas vyreseny... Jestli ale ne, tak se podivej na nazev souboru toho viru, a jestli najdes nekde nazev souboru v hijack this, tak by to mel byt ten virus. smaz to pak z hijack this, restartuj pocitac( ten vir by se uz nemel spustit) a uz by to melo jit vyhodit...
( radsi se mrkni nekde v commanderu, kdy byl ten hajzl soubor změněn
(jestli nebyl zmenen pri intalaci systemu...)(BYla by to soucast systemu...) Milanos

[MarkAurel]

mas ho tam na koncy

C:\DOCUME~1\Pavel\LOCALS~1\Temp\Rar$EX00.812\HijackThis.exe

[volkovski]

C:\Documents and Settings\Administrator\Application Data\playflaw tu sa nachadza a nejde mi zmazat, skusal som restart nic.
Pustene procesy:
firefox.exe-Admin
wuauclt.exe- system
svchost.exe-system
taskmgr.exe-admin
alg.exe-local services
mdm.exe-system
spoolsv.exe-sys
ctsvccda.exe-sys
ccevtmgr.exe-sys
sndsrvc.exe-sys
ccsetmgr.exe
explorer.exe-admin
ccproxy.exe-sys
mspmspsv.exe-sys
ati2evxx.exe-admin
symwsc.exe-sys
svchost.exe-local
svchost.exe-network
svchost.exe-system
svchost.exe-network
svchost.exe-system
ati2evxx.exe -system
isass.exe-sys
services.exe-sys
winlogon.exe-sys
crss.exe-sys
wdfmgr.exe-sys
wdfmgr.exe-local
smss.exe-sys
symlcsvc.exe-sys
atitray.exe-admin
ctmon.exe-admin
hpztsb04.exe- admin
jusched.exe-admin
atiptaxx.exe-admin
nod32kui.exe-admin
ccapp.exe-admin
nod32krn.exe-sys
cthelper.exe-admin
system- sys
system idle process- sys

co tu nema byt, diki
svchost.exe tam je dost vela krat je to normal???

[johny128]

svchost.exe tam je dost vela krat je to normal???

hej, je

v tej zlozke aj nieco je?alebo je prazdna?a co to hlasi?ze je pouzivana alebo ze nemas opravnenie?ak je prazdna tak pozri co ju pouziva cez program wholocksme

[volkovski]

svchost.exe tam je dost vela krat je to normal???

hej, je

v tej zlozke aj nieco je?alebo je prazdna?a co to hlasi?ze je pouzivana alebo ze nemas opravnenie?ak je prazdna tak pozri co ju pouziva cez program wholocksme

je tam iba magfirst.exe hlasi to: cannot delete....., make sure the disk is not full or write protected and that the file is not currently in use, cize disk nie je plny mam tam este pat GB, a kde zistim ten wholocksme, resp ako sa v tom robi, diki....

[ElCon]

No, mrkni se, jestli to něco nespouští po startu [spustit - msconfig] a zkus to vočekovat nějakým antivirákem ... vypadá to na nějakýho trojana ... trojan remover. Jo a testoval's to na spyware ?

[johny128]

http://www.majorgeeks.com/download4429.html

ak nie inak, tak cez ten screenshot to pochopis urcite..

[volkovski]

No, mrkni se, jestli to něco nespouští po startu [spustit - msconfig] a zkus to vočekovat nějakým antivirákem ... vypadá to na nějakýho trojana ... trojan remover. Jo a testoval's to na spyware ?

Testoval som to NODom (hlbkova analyza- by malo stacit), predtym to naslo 2 trojanov downloaderov ty su prec oba boli vymazane a 1. bol po spusteni to som tiez vymazal pouzil som tiez reg cleaner a vycistilo to, Msconfig som kukal tiez cez reg cleaner (start up)
Atipta - Ati control panel
AtiTraytools
CcAPP
Ctmon.exe
CTHelper
CTStartup
Desktop N/A
Deskop N/A
HPDJ Taskbar Utility
NeroFilterCheck
Nod32kui
SunJavaUpdateSched
Symantec NetDriver Monitor
Upd Reg
Urllstck.exe C: Progr.F/Norton Internet sec/
WinDVDPatch Cthelper.exe


2Elcon : Je to v poriadku???
2Johny 128: Ten program mi nejde ked ho spustim wholockme.exe vypise toto
a ked cez ponuku na subore tak to nic neurobi... diki za odpovede