NaviPromo | 01.06.2006 20:23:12 | |||||||||||||||||||
Martin | ||||||||||||||||||||
Dobry den.. mam taky problem. NOD32 mi neustale hlasi "NaviPromo". Hladal som ako ho odstranit, ale nikde nic nieje.. iba na tomto fore, ale aj to len nieco v zmysle "poslite mi log a vypis z HIJACKTHIS". Mozte mi s tym prosim poradit? Mam to uz vcelku dlho a neviem sa toho zbavit.. Vopred dakujem.. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: NaviPromo | 01.06.2006 21:56:54 | |||||||||||||||||||
René Spišák | http://www.AntiviroveCentrum.cz | |||||||||||||||||||
Dobrý den, přesně jak je psáno v tomto fóru, tak i udělejte a pošlete nám log z programu hijackthis. Podle něj uvidíme co se dá dělat. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: NaviPromo | 02.06.2006 21:18:01 | |||||||||||||||||||
Martin | ||||||||||||||||||||
A kam ho mam poslat? Nechcem ho pastovat do tohto fora, predsa len je dost dlhy.. Tak ja ho dam zatial sem: http://morion.host.sk/logs/hijackthis.log .. pripadne ho mozem poslat, ale teraz neviem kam. Dakujem za ochotu.. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: NaviPromo | 06.06.2006 8:50:57 | |||||||||||||||||||
René Spišák | http://www.AntiviroveCentrum.cz | |||||||||||||||||||
Log vypadá čistý, zkuste se prosím řídit tímto návodem a dejte vědět výsledek. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: NaviPromo | 07.06.2006 0:55:39 | |||||||||||||||||||
Martin | ||||||||||||||||||||
Tak som to skusil. Log z mwav je tu: http://morion.host.sk/logs/mwav.log Trochu som to zredukoval a tie nazvy co sa opakovali som tam nedaval, bolo toho dost vela.. NOD32 ani AdAware mi nic nehlasia.. NOD32 sa vzdy ozve iba pri spusteni PC ("najdena nova infiltrace") a obcas mi to vyhodi cervene okno, ze NaviPromo sa pokusa o spustenie ci take nieco.. neda sa mi z toho urobit screenshot. Oba samozrejme aktualizovane.. skutocne uz neviem co s tym. Snad toto pomoze.. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: RE: NaviPromo | 07.06.2006 6:13:54 | |||||||||||||||||||
René Spišák | http://www.AntiviroveCentrum.cz | |||||||||||||||||||
Krásná sbírka havěti :-) Takže v prvé řadě vyčistěte složku karantény NODu. To uděláte tak, že otevřete NOD Control center, vyberete pod položkou Nástroje systému NOD32 položku Karanténa, na pravé straně označte vše co se zobrazuje a pod pravým tlačítkem myši je volba smazat. Dále bude třeba ručně smazat soubory, které píšete v logu a to: C:\WINDOWS\winres.dll C:\WINDOWS\system32\etile.exe C:\WINDOWS\system32\notepad.com Co se týka souboru C:\WINDOWS\system32\drivers\etc\hosts tak ten budete muset zeditovat ručně, nevím co je v něm přidáno, ale obecně tam ponechte řádky začínající znakem # a pak řádek 127.0.0.1 localhost. Ostatní by tam neměly být, pokud je tam nedáte ručně. Dále odstraňte soubor ze System Volume Information - návod je zde. Jako poslední vyčistěte registry - pokud se na to cítíte. Bude třeba spustit regedit a smazat následující větve: HKEY_CLASSES_ROOT\CLSID\{771A1334-6B08-4a6b-AEDC-CF994BA2CEBE} HKEY_CLASSES_ROOT\TypeLib\{DB447818-96B4-40DF-8A55-720DA496F514} HKEY_CLASSES_ROOT\Interface\{BF06DA8E-2BEB-4816-9BBD-F7625246E245} Tak a potom prosím proveďte proskenování systému NODem a případně i MWAVem a uvidíme co nám tam zbylo. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: RE: RE: NaviPromo | 08.06.2006 0:46:18 | |||||||||||||||||||
Martin | ||||||||||||||||||||
Uzasne.. diky moc. NOD zatial nic nehlasi a log z MWAV je uz tiez relativne cisty. Az na ten ..etc\hosts v ktorom, ale ine riadky ako zacinajuce na "#" a "127.0.0.1" niesu, tak to bude asi nejaky plany poplach. A v tom logu z MWAV bola este jedna polozka ktora ma zaujala a to "emule P2P-worm". Neviem ci to patri k emule, alebo nie. Ten vyber som dal opat na http://morion.host.sk/logs/mwav.log A este raz dakujem za pomoc.. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: RE: RE: RE: NaviPromo | 08.06.2006 6:05:52 | |||||||||||||||||||
René Spišák | http://www.AntiviroveCentrum.cz | |||||||||||||||||||
Smažte fyzicky ještě z disku složku C:\Program Files\Common Files\whenu a pokud nepoužíváte EMule tak i složky C:\Program Files\emule C:\Documents and Settings\All Users\Nabídka Start\Programy\emule Stejně tak by chtělo z registru smazat i položky HKLM\Software\ist a pokud nepoužíváte EMule a nemáte to nainstalované tak i HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\emule Co se týká souboru hosts, tak pošlete jeho obsah, řeknu Vám co vyhodit, pokud tam něco je. Emule ani nic jiného tam nemá co zapisovat :-) | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: RE: RE: RE: RE: NaviPromo | 08.06.2006 17:46:39 | |||||||||||||||||||
Martin | ||||||||||||||||||||
EMule pouzivam.. ..a cely hosts najdete tu: http://morion.host.sk/logs/hosts.txt | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: RE: RE: RE: RE: RE: NaviPromo | 08.06.2006 20:26:19 | |||||||||||||||||||
René Spišák | http://www.AntiviroveCentrum.cz | |||||||||||||||||||
Nechejte vše až do řádku 127.0.0.1 localhost, za ním vše smažte. Původní soubor si klidně někam zálohujte, protože nevím proč tam jsou záznamy kaspersky-labs atd. ale nemají tam co dělat, jedině že byste je tam měl úmyslně z důvodu klamání vypsaných IP adres. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: RE: RE: RE: RE: RE: RE: NaviPromo | 11.06.2006 22:12:02 | |||||||||||||||||||
Martin | ||||||||||||||||||||
Tak som to zmazal.. system by mal byt podla vsetkeho cisty, ale aj tak mi sporadicky vyhadzuje NOD pri (nie kazdom) zapnuti PC hlasku v sivom okne: "c:\windows\system32\sgljnwi.exe - variant infiltrácie Win32/Adware.NaviPromo". Ten subor, ale neexistuje.. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||