podivné vypinání PC

mijaja · Příspěvekod **mijaja** » 16 pro 2006 19:49

Zabal log do zipu, nebo raru a pošli mi jej na email.

Reklama

Petr PV · Příspěvekod **Petr PV** » 17 pro 2006 12:06

maš to tam :bigups:

diky MooC

mijaja · Příspěvekod **mijaja** » 18 pro 2006 16:26

Tak jsem si ten log prohlédl, ale není tam nic než už téměř "klasický" grokster:

Sun Dec 17 11:27:02 2006 => Offending Key found: HKLM\Software\magnet !!!
Sun Dec 17 11:27:04 2006 => Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sun Dec 17 11:27:05 2006 => Offending Key found: HKCU\\magnet !!!
Sun Dec 17 11:27:05 2006 => Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.

Pokud si projdeš tuhle stránku, jsou tam kromě zajímavého čtení i roletkové seznamy souborů, knihoven a registrů, které tomuto šmejdu patří. Zkus si je zkopírovat do Notepadu a potom podle něj zkusit vyhledat na disku jak soubory, tak i registry a mazat a mazat.

Ten názor lidí, kterých jsi se na to ptal, je dosti alibistický. Tahle hláška totiž nemusí nutně patřit k virové nákaze. Tady může sehrát svou roli i konflikt hardwaru. Ale pro jistotu (i když log Hijackthisu je čistý) vyzkoušej v kompu RootkitRevealer a BlackLightBetu a napiš, co našli. pokud tam nebude ani žádný rootkit, budeš se muset zaměřit na hardwarové otázky.

Petr PV · Příspěvekod **Petr PV** » 18 pro 2006 19:47

díky moc ....

a mam poslední dotaz.... tak smažu a najdu nežádoucí registry a soubory ??

příklad toto ??

Sun Dec 17 11:27:05 2006 => Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.

:huh:

mijaja · Příspěvekod **mijaja** » 19 pro 2006 08:12

V logu mwavu je to téměř vždy napsáno jako dvouřádkový oznam. Někdy je to jednořádkově jako souhrn nálezů, ale potom je to níže rozepsané podrobněji:

Sun Dec 17 11:27:02 2006 => Offending Key found: HKLM\Software\magnet !!!
Sun Dec 17 11:27:04 2006 => Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.

Ty dva řádky vždy patří k sobě a v tom horním je cesta k souboru, který je kontrolován, v druhém zase to, co mwav nalezl.
Takže objekt grokster Spyware/Adware je prezentován v registrech klíčem HKLM\Software\magnet

Podle toho najdeš šmejda a smažeš jej.
Už jsi zkoušel ty antirootkity?

Petr PV · Příspěvekod **Petr PV** » 19 pro 2006 16:32

BlackLight..... nic nenašel

Rotkitreavear našel TOTO:

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 29.9.2006 14:03 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 29.9.2006 14:04 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 9.12.2006 18:56 0 bytes Hidden from Windows API.
C:\Documents and Settings\Administrator\Dokumenty\ICQ Lite\250447411\DukazOne - DP_348411076\metro.exe:KAVICHS 18.12.2006 20:09 36 bytes Hidden from Windows API.
C:\Documents and Settings\Administrator\Local Settings\Temp\mexe.com:KAVICHS 18.12.2006 20:13 36 bytes Hidden from Windows API.
C:\Documents and Settings\Administrator\Local Settings\Temp\mwavscan.com:KAVICHS 18.12.2006 20:13 36 bytes Hidden from Windows API.
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6903ILUF\_nn[1].htm 19.12.2006 15:40 2 bytes Hidden from Windows API.
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\TH7DO0FV\_nn[1].htm 19.12.2006 14:40 2 bytes Visible in Windows API, but not in MFT or directory index

a stahnul jsem si novej antivir ( je dobrej ??? ) Bitdefender 9 a našel toto :

C:\Documents and Settings\Administrator\Dokumenty\ICQ Lite\250447411\DukazOne - DP_348411076\metro.exe Detected: Application.Joke.Slidescreen.A
C:\Documents and Settings\Administrator\Local Settings\Temp\mexe.com Infected: BehavesLike:Win32.FileInfector
C:\Documents and Settings\Administrator\Local Settings\Temp\mexe.com Disinfection failed
C:\Documents and Settings\Administrator\Local Settings\Temp\mwavscan.com Infected: BehavesLike:Win32.FileInfector
C:\Documents and Settings\Administrator\Local Settings\Temp\mwavscan.com Disinfection failed
D:\SOUKROMÉ\Záloha\HijackThis\MWAV\mwav.exe=>(RAR Sfx o)=>mexe.com Infected: BehavesLike:Win32.FileInfector
D:\SOUKROMÉ\Záloha\HijackThis\MWAV\mwav.exe=>(RAR Sfx o)=>mexe.com Disinfection failed
D:\SOUKROMÉ\Záloha\HijackThis\MWAV\mwav.exe=>(RAR Sfx o)=>mexe.com Move failed
D:\SOUKROMÉ\Záloha\HijackThis\MWAV\mwav.exe=>(RAR Sfx o)=>mwavscan.com Infected: BehavesLike:Win32.FileInfector
D:\SOUKROMÉ\Záloha\HijackThis\MWAV\mwav.exe=>(RAR Sfx o)=>mwavscan.com Disinfection failed
D:\SOUKROMÉ\Záloha\HijackThis\MWAV\mwav.exe=>(RAR Sfx o)=>mwavscan.com Move failed
D:\SOUKROMÉ\Záloha\HRY CZ\THAW\THAW net\THAW v1.01 Trainer.zip=>Tony Hawk's American Wasteland Trainer.exe=>(Embedded EXE o) Detected: Application.Hotkeyshook.A
D:\SOUKROMÉ\Záloha\WinXP\WinXP.mdf=>UTILITIES/RESET501/RESET5SETUP.EXE Detected: Application.Srvany.I

a toto nemužu smazat

C:\Documents and Settings\Administrator\Local Settings\Temp\mexe.com
C:\Documents and Settings\Administrator\Local Settings\Temp\mwavscan.com

jak na to ??? a ty kliče nemužu najit abych je smazal ??

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName

kde je cesta u tohoto ??

mijaja · Příspěvekod **mijaja** » 20 pro 2006 17:28

Nehledej žádné zázraky:

To co Rootkit Revealer našel, nejsou šmejdi, ale součásti Kasperáka - tedy MWAVu. To jsou jen řetězce z jeho databází šmejdů, čili falešné poplachy.
Potom nějaké skryté soubory od Alcoholu
Nene, žádný rootkit, komp máš, až na ten jeden klíč čistý. A jak už jsem ti psal, tento klíč není příčinou tvých potíží. Spíše bych už pátral v otázce HW.

podivné vypinání PC

Kdo je online