adware.hotbar?

[Gość: joanka]

Jestem ciemną masą i dlatego potrzebuję pomocy.
Norton AntiVirus wykrył w pliku hotbar[2].exe zagrożenie adware.hotbar.
Nie jest w stanie go usunąć, gdyż plik ten znajduje się w C:\Documents of
Settings\Ustawienia lokalne\Temporary Internet Files\Conten.IE5EZSBY5CF\hotbar
[2].exe.
Norton mi pisze, że nie można tego pliku usunąć. Czy to nie jest jakiś plik
systemowy czy coś? Bo Ustawień lokalnych nie mogę znaleźć.
Czy ktoś może na to coś poradzić, durnej babie?

[Gość: piecyk gazowy]

Nie wiem jaki system. Zakładam, że XP/2000.

Wciśnij Ctrl + Shift + Esc, odszukaj na liście procesów plik hotbar[2].exe,
zamknij proces, skasuj plik.

Przy okazji mie zaszkodzić wyczyścić też cały cache przeglądarki: Narzędzia ->
Opcje interetowe -> Usuń pliki -> zaznacz Usuń całą zawartość offline i wciśnij
OK.

Poza tym warto przelecieś system jakimś "antyspyware'em", np. Ad-aware (w
zasadzie od tego możesz zacząć):
ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe

[Gość: joanka]

Xp mam
a na liście procesów tego pliku nie ma

[Gość: piecyk gazowy]

Przejdź do Panelu sterowania -> Dodaj lub usuń programu i sprawdź, czy jest
pozycja Hotbar lub "Web Tools from Hotbar". Jeśli jest, odinstaluj.

Poza tym przeskanuj system Ad-aware.

[Gość: joanka]

W dodaj/usuń już sprawdzałam, nie ma.
A co do skanowania to robię, tylko nie wiem czy dobrze im różne rzeczy mi
nalazł, ale tego pliku chyba nie.
Beznadziejna jestem :(

[Gość: piecyk gazowy]

Plik nie musi mieć identycznej nazwy, a hotbar być może zostanie usunięty.

Jeśli Ad-aware nie poradzi, ściągnij HijackThis:
www.majorgeeks.com/downloadget.php?id=3155&file=3&evp=3304750663b552982a8baee6434cfc13


Wykonaj skan, loga i wklej tu na forum.

[Gość: joanka]

Ad-aware coś mi tam wyczyścił, ale tego akurat tego pliku nie
widziałam.Sprawdzę, czy norton go jeszcze widzi, jak tak to spróbuję HijackThis
Dzięki wielkie

[Gość: joanka]

Norton nadal widzi ten plik.
Czy to co mam wkleić to lista jaka się mi wyświetliła po naciśnieciu skan?
Czy coś jeszcze mam zrobić?
Głupia jestem wstyd.

[kalinowski11]

Nie przesadzaj z tą samokrytyką :)

Hijack :

1.Ściągnij , uruchom .
2.Scan .
3.Save Log .
4.Zapisany log "skopiuj na myszkę" , wklej do posta i wyślij
na forum . Może jakaś "dobra dusza" się nad Tobą zlituje ;)
5.W wypadku gdy chcemy coś skasować , otwieramy Hijacka jeszcze
raz , klikamy Scan , zaznaczamy co chcemy skasować i klikamy
Fix checked . Z OPCJI KASOWANIA KORZYSTAMY PO KONSULTACJI NA FORUM .

[Gość: joanka]

Takie cudo mi wyświetliło:
Logfile of HijackThis v1.98.2
Scan saved at 17:42:55, on 2004-09-11
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\program files\konektortp\konektortp.exe
C:\program files\antydialer tp\antydialertp.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\ScannerP\TBRIDGE\BIN\InstantAccess.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mirka\Ustawienia lokalne\Temp\Katalog tymczasowy 1
dla hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
eduseek.interklasa.pl/forum
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Muzyka\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [KonektorTP] "c:\program files\konektortp\konektortp.exe" tray
O4 - HKLM\..\Run: [AntyDialerTP] "c:\program files\antydialer
tp\antydialertp.exe" tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04
\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [InstantAccess] C:\Program
Files\ScannerP\TBRIDGE\BIN\InstantAccess.exe /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\Program
Files\ScannerP\TBRIDGE\BIN\RegisterDropHandler.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Program
Files\ScannerP\TBRIDGE\BIN\RegisterDropHandler.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerP\AM32.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\System\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Program Files\Internet
Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {D1AA9E45-23B0-4618-AB59-5D4AE8BA0486} ([VULCAN] Dostęp do słownika
programu MS Word) - www.vulcan.edu.pl/forum/dialogs/wdspchk.CAB
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B6FAF02-CCA6-46EB-92B8-7F218263F780}:
NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B6FAF02-CCA6-46EB-92B8-7F218263F780}:
NameServer = 194.204.152.34 217.98.63.164


2. Mam masę plików poddanych kwarantannie, co dalej?

[kalinowski11]

Do wywalenia :

> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
>
red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*www.yahoo.com/
search/ie.html
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
>
red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
>
red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*www.yahoo.com

Jeżeli pliki są w kwarantannie to oznacza , że są zablokowane . Jeżeli nic się
nie sypie , usunąć .

[Gość: piecyk gazowy]

Slserv.exe - co to jest? Nie mogę się dogrzebać. Profilaktycznie można wywalić.

[Gość: piecyk gazowy]

Moduł SoulSeeka?

[Gość: joanka]

A komputer mi nie wybuchnie jak to usunę? :-)

Co do plików z kwarantanny, to nie wiem co w nich jest.
Są jednak takie, które nazwy mają jak moje dokumenty w wordzie, ale chyba inne
rozszerzenia. Wywalić to można bez szkody dla właściwych plików w wordzie?
NP:
obj[106]=MRU FileReference : C:\Documents and Settings\Mirka\recent\ocenianie
(2).lnk

[Gość: piecyk gazowy]

Można wywalić. To są skróty, zwykle widoczne w menu Start -> Moje bieżące
dokumenty.

[Gość: joanka]

Czyli wszystkie pliki w kwarantannie, które mają rozszerzenia *.lnk mogę
wywalić?

[Gość: piecyk gazowy]

Możesz - ale nie musisz. ;-)

[Gość: joanka]

to C:\WINDOWS\system32\slserv.exe wywalić też?
Tylko, ze ręcznie bo w Hijackthi go nie ma.

[Gość: piecyk gazowy]

Przenieś na wszelki wypadek do innego folderu (jak wszystko będzie OK, to po
jakimś czasie, np. po tygodniu, będziesz go mogła usunąć).

[Gość: joanka]

Wielkie dzięki!
Problem zniknął.
:-))))))))))))))))))))))))))))))))))))))))