|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
peosuslik
HV vaatleja
liitunud: 07.10.2004
|
25.12.2004 11:54:45
Hijack this log |
|
|
Tere
Kas keegi loeb järgnevast loogist välja mõningaid pahalasi.
Teema sellest et ilmselt arvutis coolweb search, CWSShredderit jooksutades votab ta küll ajutiseks maha aga peale restarti on alati abuo blank ara vahetatud.
Ettetänades
Logfile of HijackThis v1.97.7
Scan saved at 10:48:30, on 25.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\APPLICATION DATA\SAWD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\IBJWQL.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neti.ee/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.neti.ee/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {ADB9CE45-5DF7-5C5E-DC6B-09C53F7844C3} - C:\WINDOWS\SYSTEM\LAZ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX (file missing)
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [Auew] C:\WINDOWS\Application Data\sawd.exe
O4 - HKCU\..\Run: [Welktd] C:\WINDOWS\SYSTEM\ibjwql.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38273.5159490741
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1044446.exe
O16 - DPF: {042EEA26-2402-4E5A-B5BB-0FB445A5526E} (VacPro.win98_P) - http://www9.advnt01.com/dialer/win98_P.CAB
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O19 - User stylesheet: (file missing)
|
|
| tagasi üles |
|
 |
Max Powers
liitunud: 21.03.2003
|
|
25.12.2004 12:21:04
|
|
|
| tsitaat: |
C:\WINDOWS\SYSTEM\ibjwql.exe
|
Mis see on?
|
|
| Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
   |
:: |
3 :: |
2 :: |
182 |
|
| tagasi üles |
|
|
peosuslik
HV vaatleja
liitunud: 07.10.2004
|
|
25.12.2004 12:45:04
|
|
|
pole aimug...
kustutan 2ra?
|
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
25.12.2004 16:49:23
|
|
|
Esmalt soovitaks hankida HJTst viimane versioon (1.99) ja ka CWShredder olgu 2.1 (juhul kui midagi vanemat hetkel tarbid).
Teiseks võta kogu puhastamine ette safe mode'is. Aga enne progede jooksutamist lase kõik ajutised failid maha (kas mõnda spetsproget kasutades või siis käsitsi, sest Winblowsi enda DiskCleanup ei tee korralikku puhastust). Kui asi ei peaks õnnestuma siis ühel kasutajal toimis asi teise konto all.
Praegu logis olevatest sissekannetest võiks ära märkida järgnevad:
O2 - BHO: (no name) - {ADB9CE45-5DF7-5C5E-DC6B-09C53F7844C3} - C:\WINDOWS\SYSTEM\LAZ.DLL
O4 - HKCU\..\Run: [Auew] C:\WINDOWS\Application Data\sawd.exe
O4 - HKCU\..\Run: [Welktd] C:\WINDOWS\SYSTEM\ibjwql.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1044446.exe
O16 - DPF: {042EEA26-2402-4E5A-B5BB-0FB445A5526E} (VacPro.win98_P) - http://www9.advnt01.com/dialer/win98_P.CAB
O19 - User stylesheet: (file missing)
Klõpsid "Fix" nuppu ja kui see valmis on teed alglaadimise. Kui mingeid silmnähtavaid probleeme silma ei hakka (Win ei pisa näiteks kisama et mingi fail puudu) siis kustuta käsitsi failid C:\WINDOWS\SYSTEM\LAZ.DLL, C:\WINDOWS\Application Data\sawd.exe ja C:\WINDOWS\SYSTEM\ibjwql.exe
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
peosuslik
HV vaatleja
liitunud: 07.10.2004
|
|
25.12.2004 18:57:59
|
|
|
Tere
Teostasin vastavalt Hacax näpunäidete järgi. Peab sind tänama, sest tundub et CWS ja sellega seonduvad pahalased on jalga lasknud. Vähemalt uuesti restartides nad avaleheks enam ei tryginud.
C:\WINDOWS\SYSTEM\LAZ.DLL seda jubinat ma küll pale HJT -ga repirimist ei leidnud küll aga ylejaanud 2 mis kasitsi sai eemaldatud.
Uuesti HJT-ga loogides on tulemus järgmine.
Logfile of HijackThis v1.99.0
Scan saved at 17:44:19, on 25.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neti.ee/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.neti.ee/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX (file missing)
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunServices: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
|
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
25.12.2004 19:09:05
|
|
|
Paistab korras olevat. Oleks tegelikult piisanud vast ka CWShredderi üksikversioonist (SpySubstract peaks vist nagu tasuline olema... aga jah, ega's ta kahjuks tule kui mälus istub).
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
Fiocchi
HV kasutaja
liitunud: 04.01.2005
|
|
19.01.2006 20:40:09
|
|
|
Proovisin täna ühte .rar faili avada, kuna aga ei avanenud, siis proovisin ka teisi faili formaate .zip jne. Korra proovisin ka .exe't, mispeale viskas korra command prompt'i akna ette, aga mingeid kirju ei jooksnud. Pärast ei lasknud enam seda faili kustudada ega nime muuta, ütles, et on kasutuses. Sealt siis kahtlus, et äkki mingi pahalane. Ad-Aware, NOD32 ja SpyBot S&D ei leidnud midagi kahtlast. Sai ka Hijackthis'iga scanitud. Tulemuseks siis selline log:
Logfile of HijackThis v1.99.1
Scan saved at 17:14:05, on 19.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
D:\EPoX\USDM\USDM.EXE
D:\Program Files\D-Tools\daemon.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\autoupdatev2.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Uus kaup\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [EPoXUSDM] "D:\EPoX\USDM\USDM.EXE" "5000"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "D:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123679117721
O17 - HKLM\System\CCS\Services\Tcpip\..\{0106E886-CEC0-42AE-B1FC-B01DC576FA78}: NameServer = 194.126.115.18,194.126.101.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{0106E886-CEC0-42AE-B1FC-B01DC576FA78}: NameServer = 194.126.115.18,194.126.101.34
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\smc.exe
On siin targemate inimeste arvates midagi kahtlast? Endale tundusid kahtlased need O17 read, need ip aadressidega. Tasub need kõrvaldada?
Samuti ka küsimus, et kas tavaline antiviirus võtab kinni ka nn key-loggerid? On veel mingeid häid programme, mis key-loggereid ja trojasid kõrvaldavad, peale SpyBot'i?
|
|
| Kommentaarid: 16 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
19.01.2006 21:40:15
|
|
|
Kindlasti on, eriti kui arvestada et SpyBot ei püüa ei troojaid ega keyloggereid 
See peaks sul suht kindlalt trooja olema:
O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe
On veel paar vidinat mille jooksutamine pole vajalik (NeroCheck ja Java Update näiteks) aga muu paistab OK.
Need IPd on Estpaki DNS serverite omad, seega igati korras.
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
Fiocchi
HV kasutaja
liitunud: 04.01.2005
|
|
19.01.2006 23:36:49
|
|
|
| HacaX kirjutas: |
See peaks sul suht kindlalt trooja olema:
O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe |
See on mul juba mingist varasemast ajast. Ei oska öelda kust ta tuli ja mida ta tahab, seega ei ole teda ka läbi tulemüüri netti lasknud, kuigi ta seda tihti küsinud on.
Aga mis oleks siis hea freeware programm selliste asjade eemaldamiseks? Ma olen kogu aega arvanud, et trojad võtab antiviirus kinni ja spybot võtab key-loggerid  , kui ei võta on küll jama. 
EDIT: Kui arvutis oleks mingi key-logger ka, kas see oleks siis Hijackthis logis ka avaldunud?
|
|
| Kommentaarid: 16 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
20.01.2006 02:05:52
|
|
|
Spyware tähendab traditsiooniliselt mitte keylogger'eid vaid säärast softi mis su surfamisharjumuste järele luurab. Ning SpyBot just säärasega tegelebki. Ka ei tasuks arvata et keylogger on mingi x ulmeline asi, vaid keylogger ongi kõige tavalisem trooja, lihtsalt natuke spetsiifilisema funktsionaalsusega (kõvaketta tühjakslaskmise asemel salvestab klahvivajutused).
Muidu tolle eemaldamisega saab ju kasvõi HJT hakkama - paned rea ette linnukese, klõpsid "Fix selected", teed alglaadimise ja siis kustutad antud faili kästitsi.
Kui tahad spetsiifiliselt troojate eemaldamiseks mõeldud asju siis võid kiigata A2 ja Ewido poole, mõlemad peaks IIRC kodukasutajale tasuta olema.
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
Fiocchi
HV kasutaja
liitunud: 04.01.2005
|
|
20.01.2006 18:22:25
|
|
|
| HacaX kirjutas: |
| Spyware tähendab traditsiooniliselt mitte keylogger'eid vaid säärast softi mis su surfamisharjumuste järele luurab. Ning SpyBot just säärasega tegelebki. Ka ei tasuks arvata et keylogger on mingi x ulmeline asi, vaid keylogger ongi kõige tavalisem trooja, lihtsalt natuke spetsiifilisema funktsionaalsusega (kõvaketta tühjakslaskmise asemel salvestab klahvivajutused). |
Paljudel troojadel on ka keyloggeri funktsioon ju olemas minuteada, nii et midagi ulmelist see jah pole.
Selle autoupdatev2'e tapsin ja kustutasin ära, aga ikkagi õhus küsimus, et kui midagi veel arvutis on, siis kas Hijackthis scan näitab seda? Ja milleks ta mul ei lase seda ümbernimetatud .exe faili kustutada?
Ewido muidu leidis veel mingi autoupdate, mille ära kustutas ja mõned cookied. Seega Hijackthis ei näe ikka kõiki asju?
|
|
| Kommentaarid: 16 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
20.01.2006 18:31:13
|
|
|
Kindel et see "uus" asi polnud lihtsalt mõni lisasissekanne registris (sellesama autoupdate'is konf näiteks) mitte otseselt uus EXE?
Kui pahalane automaatselt käima tiritake siis HJT seda suure tõenäosusega ka näitab. Ehkki siingi kehtib sama asi: HJT otsib mitte troojaid vaid adware'i.
EXE kustuta safe mode'is. Kui ei saa kasuta suvalist delete-on-boot proge (säärane funktsionaalsus on tegelikult isegi HJTl olemas)
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
Fiocchi
HV kasutaja
liitunud: 04.01.2005
|
|
21.01.2006 00:04:08
|
|
|
| HacaX kirjutas: |
| Kindel et see "uus" asi polnud lihtsalt mõni lisasissekanne registris (sellesama autoupdate'is konf näiteks) mitte otseselt uus EXE? |
Peale eelmise kustutamist scannisin uuesti HJT'ga üle ja see ei leidnud mingit autoupdate'i. Ainult Ewido leidis selle. See oli täitsa .exe kujul windowsi system32 kaustas, ühe .dll faili kõrvaldas ta ka. Samas ei näidanud ükski programm seda autoupdate'i ka protsessides, ei Ewido, HJT, Ad-Aware, Ad-Wach ja win ise.
|
|
| Kommentaarid: 16 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
