Explorer.dll :: Hinnavaatluse Foorumid

Uueke · HV vaatleja liitunud: 14.12.2004

Kasutasin ka otsingut aga ammendavat vastust ei leidnud, seega siis uus teema.

Mure siis selles, et NAV leidis explorer.dll failist Hacktool.SCKeylogger aga ära ta seda ei kustuta.
Olen proovinud Ad-aware, Spybot ja HijackThis aga lahti ei ole sellest saanud. Olen üritanud ka julmalt
ära kustutada aga ei lase seda teha. Kõike seda olen proovinud ka Safe Mode's. OS XP SP2 ja ka kõik
eelpool mainitud proged on uuendatud. Viirust turvab Norton Internet Security 2005.

.phonkyp. · Kreisi kasutaja liitunud: 17.09.2004

Ei hakka ümber tõlkima:

TzigaLind · HV veteran liitunud: 12.01.2002

Noh kui Norton selle leidis siis ka
Nortoni Petsi käest saab teada
selle kustutamise meetodi.

Uueke · HV vaatleja liitunud: 14.12.2004

Ta pakub välja registrist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, kuid
RunServices kataloogi minul millegipärast ei eksisteeri.

TzigaLind · HV veteran liitunud: 12.01.2002

Vaata ikka korralikult järgi, peab olema.

HacaX · HV Guru liitunud: 22.01.2004

Sa HijackThisi "Delete file on boot" võimalust ei kasutanud?

Uueke · HV vaatleja liitunud: 14.12.2004

To TzigaLind: No ei ole seda, äkki tal mingi Hidden peal?

To HacaX: Hijack'i jama selles, et ta ei näita seda progressi ja faili. Igax juhux uhan siia ka logi, ehk on abi.

Logfile of HijackThis v1.98.2
Scan saved at 7:45:13, on 15.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Keyboard\Ikeymain.exe
C:\program files\powerstrip\pstrip.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Download\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neti.ee/
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64AEEFE6-458A-48C7-95E2-A6C72FA489BB}: NameServer = 192.168.3.1

A võibolla aitab lihtsalt selle faili asendamine?

HacaX · HV Guru liitunud: 22.01.2004

Logis paistavad ainukesed imelikud olevat too policy piirang ning et nimeserver on paika pandud...
Kas ma sellest sain ikka õieti aru, et faili EXPLORER.DLL leidsid üles, aga kustutada ei saa? Ja HijackThisis Config=>Misc Tools=>"Delete file on reboot..." üleüldse seda faili valida ei võimalda?

RegEditis võid ju ka lihtsalt otsingut kasutada et ExPLORER.DLL sissekanne üles leida kui seda tõesti ...\SERVICES alt ei leia.

Uueke · HV vaatleja liitunud: 14.12.2004

Nii, probleem lahendatud ja masin ka kõige pisemast saastast vabastatud(hetkel vähemalt). Probleemi
aitas lahendada regedit kus sai kasutatud otsingut(mille peale mina muidugi ei tulnud, loll pää - palju vaeva)
leidmaks faili explorer.dll, mis oli hoopis teises kohas, kui Symantec'i lehekülg oli väitnud. Leides selle sissekande
ja peale õnnestunud kustutamist(oh seda imet), ei leidnud NAV enam midagi. Seega arvan, probleem on lahendatud.
Aitähh kõigile, kes abiks olid.

See teema nüüd lõpetatud.