PCTuning fórum

Dobrý den, zřejmě jsem si nahrál do počítače nějaký virus. KAždé čtyři minuty mě odkáže na internetové stránky s logem serveru FORPSI. Jedná se o Browser hijacker? Zkoušel jsem to odstranit pomocí NOD, AVG, Avast, Kaspersky AV, Spybot, Ad-Aware, ale nebylo to nic platné. Ještě je zajímavé, že mě odkazuje jen, když používám Operu, nebo Firefox. U IE se to nestává. Jak lze tento virus ostranit? Děkuji

tak u IE se mi to stává taky:)

Nemuzes sem dat log z Hijack-This - http://www.wilderssecurity.com/supportf ... ckThis.exe ?

Logfile of HijackThis v1.99.1
Scan saved at 17:13:28, on 11.3.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\NOD32_2.0\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\Program Files\NOD32_2.0\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Tomas\Plocha\antiviry\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\NOD32_2.0\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{9062CE59-4603-49BC-A89D-B17A59C8BF48}: NameServer = 81.27.192.33,81.27.192.97
O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\m246lchs1f46.dll
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: CWShredder Service - Unknown owner - C:\Documents and Settings\Tomas\Plocha\antiviry\Nová složka\profi\profi\profi\profi\CWshredder\CWShredder.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\NOD32_2.0\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Tohle je ono?

poiko píše:C:\WINDOWS\system32\m246lchs1f46.dll

Was ist das?

poiko píše:O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

Tohle taky není běžný.....

Smázni následující:

O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\m246lchs1f46.dll

a možná ještě

O17 - HKLM\System\CCS\Services\Tcpip\..\{9062CE59-4603-49BC-A89D-B17A59C8BF48}: NameServer = 81.27.192.33,81.27.192.97

za předpokladu, že tyhle nameservers nevyžaduje Tvůj ISP.

Jen připomínka... ty dva AV rezidenty je zbytečná paranoia - jeden fakt stačí...

Poslední verze hijackthisu má kdyžtak suprový backup, takže kdybys něco omylem zrušil, tak to lze ještě vrátit zpět.... jednou jsem toho už musel využít na firemních počítačích

Zkoušel jsem taky AV Spy emergency 2005 (něco slovenskýho) a ten jedinej mi najde ten hijacker. Vždycky je to soubor, jehož jméno je tvořeno: písmenem k, nebo l, pak nějaká čísla, pak písmena.dll Pokaždé ho smaže, ale při příštím scanu je tam zas. Když jsem zkoušel smazat ten dll, soubor, nejde to. Napíše: Program je součástí běžícího procesu, nebo tak něco. Ad Lemra: U O17 - HKLM\System\CCS\Services\Tcpip\..\{9062CE59-4603-49BC-A89D-B17A59C8BF48}: NameServer = 81.27.192.33,81.27.192.97 Tam mam v adresáři System ControlSet001 a ControlSet002. Mám to smazat v obou? Mo se mi doto nechce. Neni to něco s IP adresou? Ad Shit: Co na tom není běžného? Myslim, že jde o ikonu nVidie na nastavení grafiky v liště. Je s tim něco špatně?

scopiruj si ten tvuj post( ten hijackthis) ahod to sem www.hijackthis.de.cz
a ukaze ti co se deje
jinak vice mene co napsal lemra az s tou vyjimnkou NEMAZ to stou IP!
je to normalni, ja mam to same!!
Muj poskytovatel je momentalne Tesco.net ale jelikoz neni vlastnikem SITE, pronajima IP adresy od UK MAIn poskytovatele NTL, cili! conection mam tesco, ale ip je od NTL a Windows to nejak nemuze pobrat a prelouskat atak pise ze, jestlize mi nepatri smazat.
Kdyz jsme to smazal tak mi nesel net ! proste nepripojil se! tudiz jsme z toho usoudil tento zaver viz.vyse.
nemaz,
smazni jen 020 WinLogon.....
023 Avsync manager(file missing)
023CW sherder service
jinak nemusis to nikde hledat, kdyz spustis Hijackthis, tam kazda polozka ma pred zacatkem "policko"ktery muzes zaskrtnout, zaskrtni co chces smazat a dej CLEAN ci CLEAR co tam je, a on je odstrani-restart a muzes skusit znova ten hijackthis a uvidis ze budou odstraneny
napis co a jak

Promazal jsem to v Hijakthis, ale na tu stránku mi to hází pořád. Tady je obrázek tý stránky, třeba to někdo pozná.

Adresa je pokaždý jiná,ale obrázek stejnej

Huuuf, tak konečně je pryč hajzl. Nainstaloval jsem program Webroot Spy Sweeper a ten mi našel Look2me. Myslel jsem, že tenhle by mohly najít i ostatní