prosím o kontrolu logu MWAW

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Davson
Level 2.5
Level 2.5
Příspěvky: 284
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod Davson » 11 říj 2006 18:01

Posílám nový log MWAW po opravě dle návodu. Ten adresář downloadmanager jsem v adresáři registru odstranil, ale pořád tam ten jeden šmejd (kazaa) zůstal.
Co znamenají ty klíče "entry" refers to invalid object. Máto něco s tím výpisem Total Errors: 8 ? Dá se s tím něco dělat nebo to ničemu nevadí.

Wed Oct 11 17:35:25 2006 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Wed Oct 11 17:35:42 2006 => Checking CLSID Reference Entries...
Wed Oct 11 17:35:43 2006 => Entry "HKCR\MessengerNative.UIAutomation" refers to invalid object "{DF66AFC9-C61D-404a-B535-64FBF91D420F}". Action Taken: No Action Taken.

Wed Oct 11 17:35:43 2006 => Entry "HKCR\MessengerNative.UIAutomation.1" refers to invalid object "{DF66AFC9-C61D-404a-B535-64FBF91D420F}". Action Taken: No Action Taken.

Wed Oct 11 17:35:43 2006 => Entry "HKCR\MessengerPrivateNative.MessengerPriv" refers to invalid object "{BBBFCB14-3B21-491c-9E2A-B0F3D50F83FD}". Action Taken: No Action Taken.

Wed Oct 11 17:35:43 2006 => Entry "HKCR\MessengerPrivateNative.MessengerPriv.1" refers to invalid object "{BBBFCB14-3B21-491c-9E2A-B0F3D50F83FD}". Action Taken: No Action Taken.

Wed Oct 11 17:35:45 2006 => Checking Module Usage Entries...
Wed Oct 11 17:35:45 2006 => Checking Shared DLL Entries...
Wed Oct 11 17:35:51 2006 => Checking App Path Entries...
Wed Oct 11 17:35:52 2006 => Checking Installer Entries...
Wed Oct 11 17:35:52 2006 => Checking Shared Tools Entries...
Wed Oct 11 17:35:52 2006 => Checking File Extension Entries...
Wed Oct 11 17:35:52 2006 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".fb". Action Taken: No Action Taken.

Wed Oct 11 17:35:52 2006 => Checking Application Cache Entries...
Wed Oct 11 17:35:52 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "FMS". Action Taken: No Action Taken.

Wed Oct 11 17:38:19 2006 => Total Objects Scanned: 21247
Wed Oct 11 17:38:19 2006 => Total Critical Objects: 1
Wed Oct 11 17:38:19 2006 => Total Disinfected Objects: 0
Wed Oct 11 17:38:19 2006 => Total Objects Renamed: 0
Wed Oct 11 17:38:19 2006 => Total Deleted Objects: 0
Wed Oct 11 17:38:19 2006 => Total Errors: 8
Wed Oct 11 17:38:19 2006 => Time Elapsed: 00:03:47
Wed Oct 11 17:38:19 2006 => Virus Database Date: 10/10/2006
Wed Oct 11 17:38:19 2006 => Virus Database Count: 230328

Wed Oct 11 17:38:19 2006 => Scan Completed.

Reklama
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 11 říj 2006 18:14

Měly by to být tyhle klíče(vlastně jeden z nich) - najdi a smaž:

HKEY_CLASSES_ROOT\clsid\{66fc8717-efa7-4546-8c4a-e224f3a80c76}
HKEY_LOCAL_MACHINE\software\classes\clsid\{66fc8717-efa7-4546-8c4a-e224f3a80c76}

Jinak Kazaa vytváří dost velký počet klíčů v registrech, takže vždycky se některý při odstranění zašije.

Jinak ten Total errors má souvislost s výpisy refers to invalid object. Bohužel a také bohudík jsou to poznámky o změnách systémových souborů v souvislosti s instalací různých programů a aktualizací a jsou v 99% neškodné. Jejich změnou za původní bys dosáhl toho, že aplikace, která je přepsala, by ti nemusela fungovat.

Davson
Level 2.5
Level 2.5
Příspěvky: 284
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod Davson » 11 říj 2006 21:11

Díky ten kazza už je pryč. Udělal jsem nový log, ale zase se tam objevilo toto. Nevím kde jsem k tomu přišel. Už jsem z toho na mrtvicu. Zase mám postupovat tak že vymažu adresáře s klíčem v editoru registrů ?

Wed Oct 11 21:02:11 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Wed Oct 11 21:02:22 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Oct 11 21:02:22 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Wed Oct 11 21:02:22 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Oct 11 21:02:22 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Wed Oct 11 21:02:22 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 11 říj 2006 21:13

Gator je šmejd, takže jak tam vidíš ty cesty k jeho souborům, tak je hned vymaž.

Davson
Level 2.5
Level 2.5
Příspěvky: 284
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod Davson » 12 říj 2006 06:21

Já to v registru najdu a vymažu, vyčistím CCleanerem, Ad-adware a Spybotem, udělám restart.

Pak udělám sken MWAW a mám to tam zase, nemůžu se toho zbavit.

Wed Oct 11 21:02:22 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Wed Oct 11 21:02:22 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Oct 11 21:02:22 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Wed Oct 11 21:02:22 2006 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 12 říj 2006 08:13

Tak vymaž celou historii IE. Tam se ti schovává. Je to víceméně jen ikonka navštívené stránky a její nebezpečnost je spíše v možnosti, že na ni klikneš a budeš tam, odkud ti šmejdi mohou k tobě nalézt, než ve vlastní nebezpečnosti.

Davson
Level 2.5
Level 2.5
Příspěvky: 284
Registrován: říjen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod Davson » 12 říj 2006 19:31

Už to vypadá dobře. Tu historii IE jsem vymazal i předtím a nepomohlo to. Dnes to najednou zmizlo. Nemůže to být tím, že jsem dnes stahoval 6 záplat Windows XP. Jedna z nich byl nějaký program na havěť. Jedná se asi o nástroj pro odstranění nejznámějšího malware (Microsoft Windows Malicious Software Removal Tool). Vůbec nevím jak to funguje. To se spustí samo ? Člověk ani neví co to udělá, kdyby to něco našlo. Jestli bych aspoň viděl nějakou hlášku co to bylo a jestli se to odstranilo.

Dnes jsem měl při scanování nějakou novou hlášku. Něco jako Erorr detekted a abych si pro odstranění koupil e-Scan .
Poslední log už mně našel pouze toto :

Thu Oct 12 16:20:24 2006 => Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" refers to invalid object ""E:\data\cdw32.exe"". Action Taken: No Action Taken.

Thu Oct 12 16:20:24 2006 => Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" refers to invalid object "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmjblaunch.exe". Action Taken: No Action Taken.

Thu Oct 12 16:20:24 2006 => Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" refers to invalid object "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmfwlaunch.exe". Action Taken: No Action Taken.

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 12 říj 2006 20:11

Jo tyhle jejich removaly se integrují do woken a jedou i bez tvého vědomí. Hlavně, že už jsou ti šmejdi pryč. S těmi refersy už jsem ti psal výše. Takže tohle bych zatím ukončil.


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 13 hostů