PCTuning fórum

Nějakým "záhadným" způsobem se mi do kompu dostalo pár trojských koní a adwarů. Mám eTrust antivir, Antispam od Microsoftu a Spybot. Těma jsem všechny ty sráčoviny vymazal, až na jeden problém. Po startu mi najede chybovka, ze nelze najit nejaký dll soubor (zajímavé je,že pokaždé je název toho souboru jiný) a taky se mi v různých intervalech otevírá prohlížeč (jako default mám Maxthon).
Vůbec nevím co mám dělat. Myslím, že to bude nějaký skript, ale nevím jak ho najít a co s ním udělat. Poraďte pls.

Postni sem log z HiJack This - jinak není možný se konkrétně bavit.

XShadow píše:Nějakým "záhadným" způsobem se mi do kompu dostalo pár trojských koní a adwarů. Mám eTrust antivir, Antispam od Microsoftu a Spybot. Těma jsem všechny ty sráčoviny vymazal, až na jeden problém. Po startu mi najede chybovka, ze nelze najit nejaký dll soubor (zajímavé je,že pokaždé je název toho souboru jiný) a taky se mi v různých intervalech otevírá prohlížeč (jako default mám Maxthon).
Vůbec nevím co mám dělat. Myslím, že to bude nějaký skript, ale nevím jak ho najít a co s ním udělat. Poraďte pls.

jj... no nezda se mi ze by tve mazani "sracovin" bylo tak uspesne, pokud se ti stale otvira IE =)
Osobne pro jistotu IE nepouzivam a je klid.

Pro uplne zjednoduseni muzes zkusit jeste nainstalovat SpySweeper (top program na odstranovani sracovin), staci zkusebni verze - vycisti ti pocitac, protoze je zcela funkcni po dobu 30 dnu a pak si poradne nastavis Spybot a pripadne i jne free stity, budes je pravidelne aktualizovat, budes pravidelne kontrolovat (osobne delam aktualizace a kontrolu v podstate kazdy den)
Stahnes ho: http://spyware.hacek.cz

Dalsi reseni je onen HiJack vypis, Hijack stahnes tamtez

Logfile of HijackThis v1.99.1
Scan saved at 16:13:48, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Weather Watcher\ww.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Vista\ObjectDock\ObjectDock.exe
C:\WINDOWS\Vista\YzShadow\YzShadow.exe
C:\WINDOWS\Vista\YzToolbar\YzToolBar.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\GuildFTPd\GuildFTPd.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.000\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe,
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [WeatherWatcher] C:\Program Files\Weather Watcher\ww.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = ?
O4 - Startup: Y'z Shadow.lnk = ?
O4 - Startup: Y'z ToolBar.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... YYYYYYYYCZ
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Vytvořit mobilní oblíbenou položku - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Vytvořit mobilní oblíbenou položku… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9611776093
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\mvj8l91u1.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe[/list]

Tak jsem si stahnul Spy Sweeper a ten to vsechno vyresil. Je to fakt top program. Dik za pomoc. Cau.

XShadow píše:Tak jsem si stahnul Spy Sweeper a ten to vsechno vyresil. Je to fakt top program. Dik za pomoc. Cau.

nekdy je to skutecne nejjednodussi, hlavne nezapomen na zbytek

Fix:
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\mvj8l91u1.dll
+
Se mi nelíbí nekteré Toolbary a HBO ale to je na vás
+
Chtělo by to Firewall např. Kerio
+
Pořádný AV např. NOD32 nebo Free Avast (toho dalsího AV odinstalujte nebo vypnete rezident)
+
Pošlete prosím nový log.Chtěl bych vedet jestli tam ta 020 nezustala.Nejspis se totiz bude muset odregistrovat

dneska se mi zhruba kazdejch 10 min spustil nakej flash reklamn ibanner..zhruab za stejnou dobu mi to v Opere !! (8.50) otevrelo nakej web..asi 3 ruzny adresy...

nepomohlo kontrola ZonerAlarmem+Adaware ani jeden nic nenasel...

pak sem si precetl tenhl ethread..zkusil Hijack a mel sem tam taky

O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\mvj8l91u1.dll ted po odstraneni arestartu zatim v pohode..ale divny ze to otvira i v opere..

a vono houno..sotva sem dopsal uz se mi to tu zase otevrelo..v novim logu je ta O20taky jen s jinou dll..predpokladam ze novej fix zase nepomuze..

Huggi píše:O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\mvj8l91u1.dll ted po odstraneni arestartu zatim v pohode..ale divny ze to otvira i v opere..

To tam na 99% nemá co dělat @ delete.

no ja vim ze ne..ale kdyz sem dal v Hojack FIX a pak restart objevilo se to tam pod jinym nazvem znova..takze to bude chcti nejak jinak..takhle byhc to mohl delat dokola furt


jestli to nekomu neco rekne nebo to k necemuje kdyz sem si nazev toho dll (tedka fpl2033oe.dll) dal vyhledat v registrech je v
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Internet Settings jako Dllname

jestli to muzu smazat..nebo zmenit tu hodnotu a jinou..

SQL_Slammer píše:Fix:
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\mvj8l91u1.dll
+
Se mi nelíbí nekteré Toolbary a HBO ale to je na vás
+
Chtělo by to Firewall např. Kerio
+
Pořádný AV např. NOD32 nebo Free Avast (toho dalsího AV odinstalujte nebo vypnete rezident)
+
Pošlete prosím nový log.Chtěl bych vedet jestli tam ta 020 nezustala.Nejspis se totiz bude muset odregistrovat

s krizkem po funuse... spy sweeper fixnul sam =) ale jinak souhlas =)

/*edit/ pokud si nejste jisti a chcete pochopit priciny, tak si nejdrive ulozte log s HiJack, potom pouzijte treba SpySweeper a pak si udelejte novy HiJack log a porovnejte s tim puvodnim, melo by vam to usnadnit pochopeni problemu. Jinak SpySweeper vam to na 99,9% fixne naprosto ciste bez zbytkovych souboru nekde na disku

2 Huggi: To tam nemá na 99% co dělat - delete.

Takže řeknu vám toto: pokud ta dllka nepujde odregistrovat máme velkej problém. Jelikož dělám rádce na ruznych Antivirových forech tak vím že je to tam ted nový a ze to tam resí jak odstranit.Zkus tu Knihovnu odregistrovat: start>spustit>napiš: regsrv32 -u C:\WINDOWS\system32\mvj8l91u1.dll

Neco o tom: http://www.viry.cz/forum/viewtopic.php?t=7776

myslim ze takove problem to nebude
pouzil sem SpySweeper..jako jedinej nasel 4 (?!) naky trojany.. a bez kecu to odstranil..a zatim nic

teda ted sem zkuisl HijAck a je to tam zase po djnym nazvem..ale zatim to nic nedela..+ te prikaz nejde pac mi to napise ze nemuze najit regsrv32 (ze bych nLite? )

Jj pokazde to bude pod jinym nazvem. Ještě zkusím vykoumat jak na to. Trošku jsme si s tim s radcema hrali a zjistily jsme že to npař. odtsrřeli pri startu TeaTimer takže se vesele hrabe v registrech

+sice mi to vcera SpySweeper odstranil bez problemu ale ted po restartu mi to tu skace kazdejch par minut..

edit: ted sem to nechal spysweeperem znovu vycistit..smazal to..restartoval..dal sem znova scana nic nenasel..tak uvidim..

Tak a tady máme řešení: http://www.viry.cz/forum/viewtopic.php?t=7940

Huggi píše:+sice mi to vcera SpySweeper odstranil bez problemu ale ted po restartu mi to tu skace kazdejch par minut..

edit: ted sem to nechal spysweeperem znovu vycistit..smazal to..restartoval..dal sem znova scana nic nenasel..tak uvidim..

a neni to tim ze jsi byl opet nekde, kde jsi to chytil poprve???

Tak to vycisti Spysweeperem, restartni pocitac, pokud se ti to zacne dit znovu, tak to SpeSweeper neodstranil uplne, jestli si to dit nezacne, tak neni chyba ve SpySweepru.
Nejnebezpecnejsi mista - ruzne warez stranky, casina, porno. Dale samozrejme pouzivani jakekoliv P2P site...