PCTuning fórum

Diskuze o hardware, software a overclockingu
https://forum.pctuning.cz/

Vir ve WIN32.exe

https://forum.pctuning.cz/viewtopic.php?t=56952

Stránka 1 z 1

Vir ve WIN32.exe

Napsal: pát 27. led 2006, 13:49
od DonMichal
NOD32 mi našel vir ve WIN32.exe a napsal že ho nedokáže odstranit. I Avast ho našel ale taky nedokáže odstranit. Teď mám AVG 7 ale nedokáže ho najít. Co stím. Je už pryč(asi těžko). Nebo nějakej prográmek na odstranění popřípadě teda jakej. Děkuji za odpovědi :)

PS: zatím se to nijak neporjevilo a našlo ho to zhruba v tom NOD32 asi před třemi dny

Napsal: pát 27. led 2006, 14:17
od matajon
podle me ho nedokazi odstranit, protoze je prave spustenej - ve Spravci Uloh (Ctrl+Atl+Del :)) ho vypni a pak ho zkus vymazat (jestli to nepude, tak zkus poslat log z HijackThis)

Napsal: pát 27. led 2006, 14:20
od DonMichal
Vyzkouším to až doma a pak napíšu. Ale mám strach že když ho smažu páč je ve složce system tak si podělám Windy a pak mě budou házet chybu

Napsal: pát 27. led 2006, 14:23
od Recon
ano logy z HJT je silna zbran na tyto smejdy.

WIN32.EXE
http://www.liutilities.com/products/win ... ary/win32/

je to zmetek typu worm tj. RATEGA virus ,RBOT.ATS WORM ci SDBOT WORM. Na kazde strance tomu smejdovy rikaj jinak.

Posli ten log a vyčistime to

:wink:

Napsal: pát 27. led 2006, 14:28
od matajon
DonMichal píše:Ale mám strach že když ho smažu páč je ve složce system tak si podělám Windy a pak mě budou házet chybu
Nebude, protoze jestli myslis slozku system32, tak tam zadny soubor Win32.exe byt nema, takze se ten cerv jenom tvari, ze je systemovej soubor, aby zmat uzivatele ;)

Napsal: pát 27. led 2006, 14:29
od DonMichal
jak římám teď jsem v práci ale jak večer přijdu tak na něj vlítnu a pak to sem písnu :wink: akorát musím odinstalovat AVG a dát tam NOD nebo Avast a tím HJT myslíte co :oops: páč trochu do tohodle nedělám spíše se teprve učím. Ale zžejmě máte namysli výsledkovou listinu :)

Napsal: pát 27. led 2006, 14:32
od Recon
tady mas vice moznosti o co muze jit presne.
http://startup.networktechs.com/srch-WIN32.EXE.html

Pro tvou informaci, aby jsi nemel strach ze smazes neco co nemas tak pred kazdym souborem co smaznes ho otestuj na.
www.virustotal.com

Napsal: pát 27. led 2006, 14:36
od matajon
HijackThis je program, ktery dokaze zjistit, jake procesy prave bezi, jake programy se pousti po startu atd. a tyto veci ulozit do logu. Z toho logu muze potom zkuseny uzivatel (:)) poznat co neni na pocitaci v poradku. Dokaze i mazat z registru zaznamy programu pustenych po startu .... HijackThis muzes stahnout tady.

Napsal: pát 27. led 2006, 14:38
od DonMichal
Ha dobrý finty na dacany :D doufám že to nějak udělám :) kolem šesté sem vlítnu a dám vědět :)

Napsal: pát 27. led 2006, 14:40
od DonMichal
Matně si vzpomínám že jsem se díval do správce úloh a tam byl jako mezi procesama. :roll:

Napsal: pát 27. led 2006, 15:05
od zombux
win32.exe není normální systémovej proces :) podle všeho to je RATEGA trojan nebo podobnej ksindl, jak už někdo psal nahoře

Napsal: pát 27. led 2006, 15:21
od DonMichal
Nejdřív ho teda ukončím a pak smáznu jak červa jestli to pujde :wink:

Napsal: pát 27. led 2006, 18:09
od DonMichal
Tak jsem si nainstaloval ten NOD32 a ten mi ho našel a tak jsem ho smazal :) pak jsem si nainstaloval microsoft anti spyware a tem mi našel další dva a tak jsem je smazal :roll:

Napsal: pát 27. led 2006, 18:27
od DonMichal
Ted jsem tam dal spy sweeper a nachází to asi další :oops: našel tohle
adware found: marketscore
Adware found: whenu save
Spy Cookie found: atwola cookie
Spy Cookie found: toplist cookie
Adware found: tibs dialer
Full Sweep has completed. Elapsed time 00:09:16
Traces Found: 20
no a ten HJT píše tohle

Logfile of HijackThis v1.99.1
Scan saved at 18:26:43, on 27.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\TRIXX\TRIXX.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\windows\system32\rlvknlg.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\T-Mobile Communication Centre\Centre.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.390\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TRIXX] "C:\Program Files\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Mobile Communication Centre] C:\Program Files\T-Mobile Communication Centre\Centre.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CEE0248-8976-4D4E-97EE-573A395FE132}: NameServer = 62.141.0.1 213.162.65.1
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

tak poraďte :oops:

Napsal: pát 27. led 2006, 20:32
od matajon
takze :
vypnout a smazat C:\windows\system32\rlvknlg.exe - to jeRelevantKnowledge Adware
potom smazat zaznam v registrech "O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot" (jde to i v HJT)

mozna jsem neco prehlid :)

Re: Vir ve WIN32.exe

Napsal: pát 27. led 2006, 23:06
od Shit
DonMichal píše:... Teď mám AVG 7 ale nedokáže ho najít. ....
Ani se nedivím :blee: . Jak už psal "Lemra":
AVG je horší než nic....
:wink:

Napsal: sob 28. led 2006, 18:22
od DonMichal
Tak jsem ho smazal a pak v HJT smazal z registru na trvalo :) díkec kluci snad to bude teď už v poho :oops: a konečně se mi i aktualizoval NOD32 páč to nějak blblo :) tak ještě jednou díky :wink:
Všechny časy jsou v UTC+02:00
Stránka 1 z 1

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz