[janek73]

Lugu järgmine, avastasin aktiivsete programmide ribalt ühe "tühik"ikooni, millel nimi on 192.168.8.109. Kinni panna ei anna, kustutada ei saa, ära ei kao. Ei tea kas jälle mingi viiruseroju? Scanni tegin NA 2004ga, trendmicroga av-ga, need viirust ei leidnud. Kui msconfig-ist startup-ist vaatasin siis seal samuti üks tühi riba...võtsin maha safemode-is, kuid miski ei muutunud. Süsteem restore-i ka teha ei lase, kuna puuduvad eelmised check pointid ja ka eelmist kuud ei lase vaadata...
Kas keegi oskab ses küsimuses aidata, mida raipega veel teha?

Tänud

[HacaX]

Tegu peaks olema sisevõrgu IPga.
Üks mõte oleks mõne progega uurida mis mälus istuvad asjad kettal olevatega seostab (ehk siis ütleb otse mis fail see on mis end mällu laeb (näiteks CodeStuff Starter)). Muidu ega juhtumisi tegu mõne "your IP" progega ei ole, mis *peabki* sinu IPd näitama?

[janek73]

Jah sul võib õigus olla, see on minu IP, vahetasin äsja interneti teenuse pakkujat - enne oli starman, nüüd dataref. Olin reisil ja eile kui tagasi tulin, avastasin selle arvutilt. Ei tea kas nemad siis panid "selle" mulle arvutisse? OOt, aga kas ta siis peabki seal olema, või on vaja see kuidagi ära saada?

[HacaX]

Mõtlen ikka veel, et võiksid tirida CodeStuff Starter või midagi analoogset ja vaadata mis asi see täpselt on mis sul seal ribal istub (eeldan, et see see riba, kus Start nupp peal on).
Muidu kui asjal paremat hiirenuppu klõpsida, siis menüüd ei avane ja sealt Minimize ei saa valida? Kui saab siis võiks proovida, äkki aitab.
Võib muidu arvata, et asi mingi kahjulik jubin ei ole... aga 100% kindel ei saa olla.

[janek73]

Vaatasin selle su antud progega üle, aga ei oskagi leida või öelda mis ta on. Ma save-isin muidu selle Starteri kontrolli ära aga kuda ma saan seda sulle näidata, saan siia kuidagi sisestada aga kuidas, kas img, või url, või saadan maili kuhugi...?

Aitäh vaeva eest

[janek73]

parema hiire klõpsu peale viskab ainult mõned tühjad read ja kui desktopile tirin, siis tuleb ainult tibatilluke kujutis, mida ei saa avada

[HacaX]

Kõikse parem oleks kuskile üles lükata ja siiasamasse URL panna. Muidu Processes leht ei näita seda asja?

[janek73]

ma ei tea kuhu saaks üless panna, mul endal pole kodukat...?

[HacaX]

Tee Zone'i või Hoti ajutine konto ja lükka näiteks sinna...

[Harley]

https://foorum.hinnavaatlus.ee/viewtopic.php?t=92541&highlight= tapselt sama jama mul oli... ja lahendasin
https://foorum.hinnavaatlus.ee/viewtopic.php?forum=10&topic=93536#902711 loe seda ka....

[Margus]

,Võta lahti run- msconfig-services-peida mikisofti protsesssid ära ja siis leiad selle pasa üles.(REMOTE ADMINISTRATOR SERVICE.Vist oli system 32 kaustas hidden fail.see kustuta ära

[janek73]

leidsin selle "rasautou" file win32 kaustast kas see ongi see raibe, mille kustutan?

[janek73]

REMOTE ADMINISTRATOR SERVICE on jah olemas, kuid mis nimeline file see win32 kaustas on, neid remote accsess file on mitmeid aga milline, mis nimeline neist nüüd see viirus on?

[janek73]

leidsin 7 hidden file, type MANIFEST, kui ütlesid, et on hidden file, kas siis need on nüüd viirused, mis tuleks kustutada?

[HacaX]

Ajaksin jälle oma joru: vaata mis Starter sulle ütleb (kui ei näita ühtegi vastavat asja, siis pane Configuration=>Options=>Miscellaneous=>"Show Expert-only items" ette linnuke).

[janek73]

Starteris võibolla ainuke kahtlane paistab sellisenimetusega C:\WINDOWS\System32\98357790.exe, file
Ilma ikoonita on veel see C:\WINDOWS\system32\myfastupdate.exe ja
WebCamRT.exe, muud kahtlast nagu ei leia

[HacaX]

Tapa 2 esimest maha, viimane peaks olema Logitechi veebikaamera jubin (kui sul üldse on kaamera, samas ei ole too asja toimimiseks tegelikult vajalik).
Kui tühi ikoon ära kaob siis tead, mida maha lasta.
Muidu Pest Patrol mainib veel üht faili mis asjaga seotud. Vahest oleks tõeste kõikse parem lasta tööle uuendatud Ad-aware/SpyBot.

[janek73]

killisin need kaks ära, peale sinu juhtnööre leidsin veel selle ilma ikoonita "rundll32 shell32,Control_RunDLL sysdm.cpl"
mis sellega teha?

[janek73]

nimi oli tal VmApplet

[HacaX]

See peaks olema System ikoon Control Panelis. Endal kah läheb selline asi käima. Ise pole seda veel disablenud, aga kui tahtmist on võid ju proovida

[janek73]

ok tänud egas midagi hakkan siis spybotiga nüüd küürima vaatame kas saan akkama

[janek73]

ma nüüd tegin restardi ja võtsin linnukuse eest REMOTE ADMINISTRATOR SERVICE servisel, aga ega ta vist kustutatud ikka ei ole???

[HacaX]

Ei, asi ise on ikka veel alles, lihtsalt deaktiveeritud. Nüüd pead faili enda ära kustutama (tegelikult *ei pea*, aga parem oleks).
See ongi põhjus, miks nuhitapjaid on mõttekam kasutada kui käsitsi häkkida: nood teevad tipp-topp kõik ühe korraga ära.

[janek73]

kustkohast ma selle faili nüüd ära kustutan?

[janek73]

kas spybotiga, panin ta praegu otsima