Keyloger
Zdravím všechny. Dneska jsem si zkusmo nainstaloval Adware Away a tento mě našel podezřelí soubor IadHide4.dll. Svojí chabou ang, jsem zjistil že to má nějakou souvislost s programem který sleduje stisk klavesnic a s tím i možnost zneužítí. Bohužel ho nedokážu vymazat ani jinak odstranit ze systému(XP, sp2). :-((( Je nějaká možnost na jeho odstranění? Děkuju předem.ny. D
Znají XP DOS ? Já si to v takovém případě z Win98SE převeksluji do DOSu (M_602) a "šmejd" má po ptákách.
xp maj commandline, ale nedaj se tim overridnout xp za behu, jedine z repair console nebo pres bootdisk jinyho systemu
Musis ho najst ci nie je pri spusteni (msconfig), alebo tu kniznicu niekam "vystrihni" a po restarte zmaz najlepsie z prik.riadku...
Ten příkazový řádek se mě zamlouvá. Ostatní je pro mě španělská vesnice. :-( Co mám zadat do toho příkazového řádku?
Jedině co s tím dokážu je to že ten soubor přesunu někam jinam a smažu ho. Ale po restartu nebo startu je ten soubor zase zpátky. :(( Tak jsem myslel jestli ho nesmažu pomocí toho příkazového řádku a proto jsem se ptal co tam mám napsat.
Ak si to zmazal, tak uz ti netreba prik.riadok! Zadaj msconfig a chod na "Pri spusteni" a tam sa snaz najst to, co ma za nasledok spustanie toho keylogeru! Potom samoze vymaz aj registre! Ak este, tak skus to najst s HiJackom !!!
HiJack to prohledal ale stejně s toho nejsem moudrej 9-) Vypsal nějakej protokol ale co s tím to ví jen Bůh :-(
Logfile of HijackThis v1.99.0
Scan saved at 17:47:52, on 22.4.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Creative\SBAudigy2ZS\AudioHQ\AHQTBU.EXE
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\WDD.EXE
C:\Program Files\Common Files\Nokia\Tools\NclTray.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\INTERN~2\IDMan.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Program Files\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Tomáš\Dokumenty\IDM\hijackthis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.find-more.net/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AudioHQU] C:\Program Files\Creative\SBAudigy2ZS\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Common Files\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Vampiro] C:\WINDOWS\system32\WDD.EXE
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Common Files\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IDMan] C:\PROGRA~1\INTERN~2\IDMan.exe /onboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with IDM - C:\PROGRA~1\INTERN~2\IEExt.htm
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.cz
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: KB KTpro Pack - https://www.mojebanka.cz/jars/kt_pro_v1101.cab
O16 - DPF: KB SH Pack - https://www.mojebanka.cz/jars/sh_pack.cab
O16 - DPF: MIB Pack - https://www.mojebanka.cz/jars/mib_pack_v1400.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E77DD1C-4F30-4A56-A45B-BD971DBBB4C3}: NameServer = 10.0.10.1,212.71.128.8
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
Scan saved at 17:47:52, on 22.4.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Creative\SBAudigy2ZS\AudioHQ\AHQTBU.EXE
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\WDD.EXE
C:\Program Files\Common Files\Nokia\Tools\NclTray.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\INTERN~2\IDMan.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Program Files\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Tomáš\Dokumenty\IDM\hijackthis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.find-more.net/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AudioHQU] C:\Program Files\Creative\SBAudigy2ZS\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Common Files\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Vampiro] C:\WINDOWS\system32\WDD.EXE
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Common Files\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IDMan] C:\PROGRA~1\INTERN~2\IDMan.exe /onboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with IDM - C:\PROGRA~1\INTERN~2\IEExt.htm
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.cz
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: KB KTpro Pack - https://www.mojebanka.cz/jars/kt_pro_v1101.cab
O16 - DPF: KB SH Pack - https://www.mojebanka.cz/jars/sh_pack.cab
O16 - DPF: MIB Pack - https://www.mojebanka.cz/jars/mib_pack_v1400.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E77DD1C-4F30-4A56-A45B-BD971DBBB4C3}: NameServer = 10.0.10.1,212.71.128.8
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
Vlož ten log na tuto stránku a nech analyzovat
http://www.hijackthis.de/cz
http://www.hijackthis.de/cz
Zkus použít a používat CodeStuffStarter - http://codestuff.tripod.com/ - kontrola programů spouštěných při startu a Ad-Aware - http://www.lavasoft.de/news/product/info/ - vyhledávání cookie.
Zadej msconfig, na záložce boot.ini zaškrtni SAFEBOOT a restartuj, najede ti nouzový režim a v něm smaž všechny parchanty, předtím ještě vypni obnovení systému, pak to projeď pořádným antispywarem (což rozhodně není Ad-Aware)
Děkuju všem za pomoc. Ten soubor je ale nezničitelnej :-(( Jdu na jedno B-) . Třeba na něco přijdu tam.
Ten soubor je ale nezničitelnej
Neexistuje taková možnost.
Do příkazového řádku napiš regedit. Objeví se ti tabulka s menu. Do řádku pro hledání napiš název toho sajrajtu. Dej hledat. Nekompromisně smaž (v registrech dat neexistuje možnost "nejde smazat"). Tlačítkem F3 pokračuj v hledání, až bude vše nalezeno a smazáno. Potom restart PC. Po restartu už bude možno smazat i v adresářích.
Při prohlídce registrů si všímej, zda před názvem toho šmejdu je v adrese i jiný název. To si někam napiš. Budeš to potřebovat. Otevři si potom další tabulku s menu, napsáním msconfig do příkazového řádku. Stiskni menu Po spuštění. A když tam najdeš zafafknutý název toho, co jsi si opsal, zruš zafajfkování.
A je to.
Neexistuje taková možnost.
Do příkazového řádku napiš regedit. Objeví se ti tabulka s menu. Do řádku pro hledání napiš název toho sajrajtu. Dej hledat. Nekompromisně smaž (v registrech dat neexistuje možnost "nejde smazat"). Tlačítkem F3 pokračuj v hledání, až bude vše nalezeno a smazáno. Potom restart PC. Po restartu už bude možno smazat i v adresářích.
Při prohlídce registrů si všímej, zda před názvem toho šmejdu je v adrese i jiný název. To si někam napiš. Budeš to potřebovat. Otevři si potom další tabulku s menu, napsáním msconfig do příkazového řádku. Stiskni menu Po spuštění. A když tam najdeš zafafknutý název toho, co jsi si opsal, zruš zafajfkování.
A je to.
Popis najdes tu http://www.neuber.com/taskmanager/process/iadhide4.dll.html a http://www.iamnotageek.com/a/iadhide4.dll.php
odstranenie http://www.iamnotageek.com/a/359-p1.php (mal by si to zvladnut aj so slabou anglictinou).
odstranenie http://www.iamnotageek.com/a/359-p1.php (mal by si to zvladnut aj so slabou anglictinou).
Díky Jojto. Taky jsem se na tuhle stránku proGogloval. Ale chce to po mě program (UninstallerPro) na odinst. toho sajrajtu. Bohužel ho nemohu nalézt. A free taky není :-(((
Už jsem ho našel. Něco odstranil on něco já v registru podle toho návodu ale ten zasra..j soubor je tam pořád. :((
[quote=elisak]Vlož ten log na tuto stránku a nech analyzovat
http://www.hijackthis.de/cz[/quote]
jo tak tohle je hodne vostry!!
:BB:
http://www.hijackthis.de/cz[/quote]
jo tak tohle je hodne vostry!!
:BB:
Cesta k odstranění toho "sajrajtu" je tu, na mé gusto, zbytečně složitá. Nemůžu si pomoci.
Dělám to jednodušeji, možná ne na "expertně-technické" úrovni, ale funguje to a je to otázka několika velmi málo minut.
...no, budu ten postup sledovat dál. A v závěru si spočítám, co všechno si musí Badis narvat do mašiny, aby se zbavil jednoho "blbečka".
Dělám to jednodušeji, možná ne na "expertně-technické" úrovni, ale funguje to a je to otázka několika velmi málo minut.
...no, budu ten postup sledovat dál. A v závěru si spočítám, co všechno si musí Badis narvat do mašiny, aby se zbavil jednoho "blbečka".
[quote=Ivo Mašek]Cesta k odstranění toho "sajrajtu" je tu, na mé gusto, zbytečně složitá. Nemůžu si pomoci.
Dělám to jednodušeji, možná ne na "expertně-technické" úrovni, ale funguje to a je to otázka několika velmi málo minut.
...no, budu ten postup sledovat dál. A v závěru si spočítám, co všechno si musí Badis narvat do mašiny, aby se zbavil jednoho "blbečka".[/quote]
Je otázka co je složitější, jestli hrabat se v registrech nebo si stáhnout prográmek,kterej to udělá za mě. Tvůj postup je jistě účinnej, ale vyžaduje zkušenosti,které Badis asi nemá :BB:
Dělám to jednodušeji, možná ne na "expertně-technické" úrovni, ale funguje to a je to otázka několika velmi málo minut.
...no, budu ten postup sledovat dál. A v závěru si spočítám, co všechno si musí Badis narvat do mašiny, aby se zbavil jednoho "blbečka".[/quote]
Je otázka co je složitější, jestli hrabat se v registrech nebo si stáhnout prográmek,kterej to udělá za mě. Tvůj postup je jistě účinnej, ale vyžaduje zkušenosti,které Badis asi nemá :BB:
Právě. Ivo je narozdíl ode mě zběhlejší v léčení bolavého PC :-(( Asi to vidím na poprosení hodného kamaráda a přeinst. :((
Asi to vidím na poprosení hodného kamaráda a přeinst.
Badis, pokud se rozhodneš pro reinstal OS, tak zkus to s těmi registry, jak jsem popisoval. Nemáš co ztratit, naopak získáš - nebudeš se toho bát a budeš vědět více. A když se to nepovede, tak pak ten reinstal.
Badis, pokud se rozhodneš pro reinstal OS, tak zkus to s těmi registry, jak jsem popisoval. Nemáš co ztratit, naopak získáš - nebudeš se toho bát a budeš vědět více. A když se to nepovede, tak pak ten reinstal.
mnozí v mém okolí zálohují systém, vidím, že to budu muset co nejdřív začít dělat taky.I když se mi několikrát podařilo vyřešit problém ze systému, který mám na jiném disku.
Tak je tady pokračování story. Nejdřív jsem zkoušel to jednodušší. Nainstalovat nějaké čističe. K těm stávajícím co mám (Spybot.., Ad-Aware..,AntiSpyware...) přibyli další. Výsledek nula. Neodstraní. Ten Hijack detekoval svinstvo jiné. Co tito nenašli. Aspoň něco. Důsledkem nainst. toho ostatního nastal problém. Asi nějaká kolize programů. Horko těžko jsem to odinst. Systém funguje ale prapodivně startuje. Nakonec přišla metoda od Iva. V registrech jsem to našel odstranil. V souboru(Temp) to ale bohužel je stále. Shodou okolností jsem ale našel druhý podezřelý sajrajt. Ten je umístěn v obslužném programu pro myš+klávesnice. Jak je to možné???!!! V Logitechu jsou darebáci??? Ten soubor je podle mě orig a patří k tomu programu. Má stejnej datum i hodinu inst. toho doprovodného programu. Proto se ptám. Je to vůbec Keylooger??? Nejsou někdy ty detekční programy moc agilní?? Je to skutečně hrozba?? Mám věřit AdwyAway(ovy)??
Ja sa o PC staram, tak ani problemy nemam!!! :-E Jedine co ma stve je, ze spadne samotne HW, ale uz radsej si aj data zalohujem, alebo duplujem 9-)
No a aky je problem to dostat z PC sa cudujem !!! Taka banalita, mozes vyuzit vsetky prostriedky co ti tu pisali chalani , mas vsetky info a ty si vobec nepokrocil, co nevadi, ale aspon si to uz mohol odstranit... davno... vies?
Vypni si system restore (control panel/system/turn off system restore). Z toho lgscroll.dll si nic nerob, to je celkovy problem HijackThis, detekovat vsetko co ma pristup k ovladaniu klavesnice a mysi.
Prostě to napíše ať odstraním ochranu proti zápisu :-I Nevím jak se odstraňuje nějaká ochrana proti zápisu!! Dokonce i ten Killbox pohořel. Napsalo to že to nelze odstranit a to mi bylo řečeno že ten smaže všechno :-R Já ten soubor našel v reg.,smazal a on v tom Tempu je stále!! :((
Jojto-Aha, já si myslel že je to moc přehnaná detekce. Aspoň nějaké plus pro dnešek. :BB: Tak děkuju za nějakou dobrou zprávu.
myslím, že bys měl vymazat tento záznam R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.find-more.net/sp.htm
tipoval bych,že právě tohle ti toho hajzlíka neustále stahuje z netu, proto se ti tam objevuje pořád dokola
tipoval bych,že právě tohle ti toho hajzlíka neustále stahuje z netu, proto se ti tam objevuje pořád dokola
http://www.iamnotageek.com/a/359-p1.php http://www.iamnotageek.com/a/iadhide4.dll.php http://www.iamnotageek.com/a/111-p1.php
Nejsem s toho moc moudrej. Neumím ang. :-(((
Nejsem s toho moc moudrej. Neumím ang. :-(((
smaz tohle z registru [code]HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\ldm[/code]
restartuj
ukonci tyhle procesy
[quote]backweb.exe
backweb-137903.exe
backweb-7288971.exe
backweb-8876480.exe
comp.exe
iexpress.exe
kodak software updater.exe
ldmconf.exe
sprite.exe[/quote]
nemusej tam bejt vsechny
odregistruj tyhle knihovny
[code]backweb.dll
bwmib.dll
bwxtext.dll
bwfiles.dll
bwsec.dll
clientrc.dll
clntutil.dll
cpuinf32.dll
frcom.dll
iadhide.dll
iadhide4.dll
iadhide3.dll
inetclnt.dll
ldmrchs.dll
ldmrcht.dll
ldmrdan.dll
ldmrdeu.dll
ldmresp.dll
ldmrfin.dll
ldmrfra.dll
ldmrita.dll
ldmrjpn.dll
ldmrkor.dll
ldmrnld.dll
ldmrnor.dll
ldmrptb.dll
ldmrsve.dll
syncext.dll[/code]
zase, nemusej tam bejt vsechny
udelas to tak ze do commandlajny napises "regserv32 -u nazev_souboru.dll" (vcetne cesty pokud nejsi ve stejnym adresari"
smaz adresare
[code]programfilesdir+\backweb\
programfilesdir+\kodak\kodak software updater\[/code]
a vycisti si registr, treba timhle [code]http://www.pctools.com/downloads/rminstall.exe[/code]
restartuj
ukonci tyhle procesy
[quote]backweb.exe
backweb-137903.exe
backweb-7288971.exe
backweb-8876480.exe
comp.exe
iexpress.exe
kodak software updater.exe
ldmconf.exe
sprite.exe[/quote]
nemusej tam bejt vsechny
odregistruj tyhle knihovny
[code]backweb.dll
bwmib.dll
bwxtext.dll
bwfiles.dll
bwsec.dll
clientrc.dll
clntutil.dll
cpuinf32.dll
frcom.dll
iadhide.dll
iadhide4.dll
iadhide3.dll
inetclnt.dll
ldmrchs.dll
ldmrcht.dll
ldmrdan.dll
ldmrdeu.dll
ldmresp.dll
ldmrfin.dll
ldmrfra.dll
ldmrita.dll
ldmrjpn.dll
ldmrkor.dll
ldmrnld.dll
ldmrnor.dll
ldmrptb.dll
ldmrsve.dll
syncext.dll[/code]
zase, nemusej tam bejt vsechny
udelas to tak ze do commandlajny napises "regserv32 -u nazev_souboru.dll" (vcetne cesty pokud nejsi ve stejnym adresari"
smaz adresare
[code]programfilesdir+\backweb\
programfilesdir+\kodak\kodak software updater\[/code]
a vycisti si registr, treba timhle [code]http://www.pctools.com/downloads/rminstall.exe[/code]
To první i to druhé jsem udělal. V registru to už není. Aspoň to teda nenajde. Ty procesy(byl tam jeden) jsem ukončil. Ale to třetí :OO To musím do(dešifroval jsem to jako Příkazový řádek) napsat jeden každý ten soubor?? backvweb.dll-syncext.dll?? Kde zjistím že tam jsou(nejsou)??
Už mě s toho bolí hlava 9-) Ale i tak díky za pomoc. Zejtra budu pokračovat. Díky za trpělivost všem. :BB: Dobrou noc :-)
dej si je vyhledat, jeden po druhym a poznamenej si ktery tam jsou, pak si muzes napsat bat soubor, kterej nakopirujes do adresare kde jsou, vypadal by treba takhle
[code]
regserv32 -u backweb.dll
regserv32 -u bwmib.dll
regserv32 -u bwxtext.dll[/code]
[code]
regserv32 -u backweb.dll
regserv32 -u bwmib.dll
regserv32 -u bwxtext.dll[/code]
No, tak tady se už událo toliko zásahů do OS, že "čistotě" toho PC bych už moc nevěřil.
Myslím, že tohle už je zralý na reinstal OS. - tedy můj názor.
Myslím, že tohle už je zralý na reinstal OS. - tedy můj názor.
Systém to přežil ale asi s tím že do budoucna je naplánovaná nová inst. Jinak byla mě poskytnuta pomoc od světa a PC znalého kamaráda. A zvítezil(i) jsme. :-!!! Takže pro informaci. Bylo nutné odinst. mesenger z obslužného programu Logitechu :(( +ostranení příslušného řetězce v registru+odstranení to ho hajzlíka v nouzovém režimu DOS. Mezitím plno restartů. A už tam není. Syčák :-)- Teda zatím. :-)
Mohl bych ještě poprosit nějakého šikovného angličtináře? Co je to teda za souborek? Je nebezpečný? Třeba nebudu sám kdo ho u sebe objeví. Je nebezpečný? 9-) http://www.iamnotageek.com/a/iadhide4.dll.php http://www.iamnotageek.com/a/359-p1.php http://www.iamnotageek.com/a/111-p1.php[/url]
[quote=elisak]Vlož ten log na tuto stránku a nech analyzovat
http://www.hijackthis.de/cz[/quote]
To je paráda. :-!!!
http://www.hijackthis.de/cz[/quote]
To je paráda. :-!!!