uskumatu jama spywarega. :: Hinnavaatluse Foorumid

Sirius · HV kasutaja liitunud: 06.05.2004

Kogu lugu algas sellest, et üks hetk ei connectinud Wolf ET enam servudesse ja kickis mind koguaeg "inaquetute O/S privileges" tõttu.
Siis hakkasin asja uurima, ja avastasin terve posu spyware endal arvutis.
Olen siis teinud scannid järgmiste programmidega:(ka safe modes)
Ad-aware
Spysweeper
Spybot
Nod32
Spysubtract
CWShredder
Alertspy
MRUblaster
hijackthis(kõik vähegi! kahtlase maha võtnud)

Ja mitte ükski neist ei mõju!???
Olen deletinud registrist niipalju keysisid, et ime et win üldse boodib,

Startup on täiesti tühjaks tehtud.Aga ikkagi, kui restardi teen, algab mingi kirves protsess umbes sellise nimega "djjlephdp.exe".
Ja põhiline jama on siiski selles, et mul on privilege jama, kui ma panen start-setings-administratoive tools-localsecurity settings- sealt debug programs ja allow everyone, siis ta lihtsalt ei salvesta seda ära, järgmine kord kui välja login või restardi teen on see jälle kadunud, ja selle tõttu ma ei saagi ET-d mängida, kuna ET nõuab admini õigus, aga ma olen admin, ja E´T nõuab, et mu oleks õigus seda debug-i kasutada.
Ja registryst ei saa ma paari keyd üldse kustutadagi, kuna see lihtsalt tekib kohe tagasi, aga selline proge nimega VX2Finder tuvastab selle kui spyware.

Ühesõnaga, ma olen nüüd teist päeva siin ajusid p****e k*ppinud, ja mul hakkab juba arvutist kahju, kuna monitor ja kast on juba rohkem kui ühe hoobi jalaga või rusikaga saanud.

On kellelgi mingit ideed?

Kangur · HV kasutaja liitunud: 30.08.2004

Siiski postita Hijackthis logi siia.

Sirius · HV kasutaja liitunud: 06.05.2004

ogfile of HijackThis v1.99.1
Scan saved at 22:36:24, on 11.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Eset\nod32krn.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Sirius\LOCALS~1\Temp\Rar$EX00.125\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neti.ee/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A271395-BFF5-49F7-97FB-2105FA8B90B4}: NameServer = 194.126.115.18 194.126.101.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A271395-BFF5-49F7-97FB-2105FA8B90B4}: NameServer = 194.126.115.18 194.126.101.34
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A271395-BFF5-49F7-97FB-2105FA8B90B4}: NameServer = 194.126.115.18 194.126.101.34
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\dn8s01l7e.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

Herr Kurm · Piiratud kasutaja liitunud: 25.03.2004

leidub sellien asjake: http://tools.zerosrealm.com/VX2Finder(126).exe
pmselt kui mingi pahalane sul neid adminni asju mudib, ja sa saad ta maha võetud, siis ei pruugi proge mida kasutasid killimiseks admini sätteid taastada (neid, mis on su adminni sätted ära reostanud). Selleks lähebki siis tarvis ülalolevat asjakest.

klikka "Find VX2.betterinternet info" , kui leiab midagi, siis vali select all files found vms. VX2finder kustautab need siis, kui resa teed. Pmselt mine resale ja sis peale resa vajuta Guardian.reg->User Agent->Restore Policy.
Kui midagi ei leia, siis tee ikka Guardian.reg->User Agent->Restore Policy.

Mingil vandil oli see proble ja lahendus funktsis

ahjaa kui tahad inglise keeles lugeda, siis
http://www.punkbuster.com/index.php?page=faq-et.php

Sirius · HV kasutaja liitunud: 06.05.2004

njaa, vat selle progrega ongi selline kala, et ei anna seal sellist valikut nagu kustuta kõik ära.Ta leiab mul registryst ühe jura.Aga seda jura ma manuaalselt kustutada ei saa, kuna tekib kohe tagasi.
Seda ma olen ennem ka proovinud.

Krt sõber ütles, t tee format, mis sa ikka ajusid kep*d, aga mina ikka, et hakka nüüd spyware pärast formatit tegema, põhimõtte oärast ei tee

Incikas · HV veteran liitunud: 12.09.2004

kui sul seal midagi olulist kaotada pole,siis format

,

Kangur · HV kasutaja liitunud: 30.08.2004

Proovi F-Prot'i.

Kirves · HV kasutaja liitunud: 23.10.2004

Proovi Kaspersky Anti-Viirust, mind aitas ükskord hädast välja, polnd nii hull nagu sul aga ajusid keppis küll täiega

Sirius · HV kasutaja liitunud: 06.05.2004

ei tee formatit.krt.kaotada on ka ikka üht teist ja 10 Gb ei akka plaatidele ka laskma.
Hetkel läheb siis proovimisse f-prot.
Muide, see protsess, mis alguses algab on nimega "hdfhwdl.exe", ja mis kõige huvitavam, google ei ütle ühtegi asja selle kohta.

Sirius · HV kasutaja liitunud: 06.05.2004

ok - f-prot ei aidanud, sõi mul 350Mb mäu ära ja scannides leidis 1 asja.milel ksututamine ei aidanud.Ikka on jama, mingid lambi popupid tõmbavad üles.Pinda käib.Ja iga kord scannides adawarega või mingi muu sellisega ta leiab uuesti kõik selle staffi, kustutamine ei paista aitavat.Ma enam ei mõika, tulemüür on peal, nad ei tohiks netist midagi enam kätte saada.

f-secure proovin veel siis.

kas keegi Hijack this logi järgi ei oska midagi öelda?

HacaX · HV Guru liitunud: 22.01.2004

Ei paista sul seal midagi. Aga mida Autoruns näitab (see kuvab enamvähem kõik proged mis üht või teist pidi automaatselt käima tiritakse (teeb silmad ette nii HJTle kui tegelikult ka kõigele muule mis vähemalt mulle ette sattunud)).

Sirius · HV kasutaja liitunud: 06.05.2004

nii.
sain lahti ühest viirusest, mis oli avastatud alles 4 märtsil:).
Aga ta ei luba ikkagi registryst mul seda ühte vajalikku keyd ära kustuda(see tekib kohe tagasi),
samas see tuvastatakse kahtlasena.

killerdogg · HV vaatleja liitunud: 30.10.2004

Äkki netijuhe tagant ära ja alles siis viirusskänn...

Sirius · HV kasutaja liitunud: 06.05.2004

sain lahti.

3.5 päeva ajude n*ssi ja asi korras.Põhimõtteliselt tuli paar kahtlast servicet kinni keerata ja registryst hunnik keysid maha last + veel win kasutast terve posu .dll faile ja system32 kasutast samamoodi terve kuhi .dll faile.ja veel mingi 1001 erineva progrega scannida ja removida.

ja imede ime - win veel elab.

Incikas · HV veteran liitunud: 12.09.2004

põhiline et vajalikke dll asju ära ei viska...

markoboy · HV kasutaja liitunud: 08.06.2002