Nezničitelný PS Guard

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Nezničitelný PS Guard

Příspěvekod mijaja » 25 zář 2005 15:19

Prosím Vás nevíte někdo, jak se zbavit v registrech Windows odkazu :HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard\PSGuard\License. Antispyware mi to hlásí jako :High threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed.

Infected registry keys/values detected
HKEY_LOCAL_MACHINE\Software\ShudderLTD
HKEY_LOCAL_MACHINE\Software\ShudderLTD\PSGuard C:\Program Files\PSGuard
Na disku to samozřejmě není, pouze v registrech, Spybot ani Ad-Aware to nevidí, CWShredder také ne. Když to chci smáznout z registrů, tak mi to píše, že nelze odstranit.
Smazat to nelze ani v nouzovém režimu. :x

Reklama
miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 26 zář 2005 09:32

Nevím jestli tě potěším. Měl bych zřejmě řešení tvýho problému. Akorát je to šíleně dlouhý a celý v angličtině. Najdeš to tady.
Přiznávám že sem byl línej číst to celý, jestli angličtinou aspoň trochu vládneš zkus na to mrknout. Kdyby byl problém určitě rád helpnu, ale celý se mě to louskat a překládat nějak moc nechce :wink:

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 26 zář 2005 17:25

Dík. Ještě nevím, co to udělá. Snažíme se to s přelouskat, ale já umím anglicky asi jako Maxipes Fík. Ještě, že se aspoň děcka něco naučily. Takže co jsem pochopil (snad správně) je vytvořit dávkový soubor Export.bat, kliknout na něj... No ještě musím louskat dál. Ta zatím dík

Uživatelský avatar
mikel
Level 5
Level 5
Příspěvky: 2298
Registrován: květen 05
Bydliště: Karviná
Pohlaví: Muž
Stav:
Offline

Příspěvekod mikel » 27 zář 2005 15:37

Tak tě musím zklamat. :-( Přečetl jsem si celý topic a vypadá to následovně:
Export.bat je pouze pro vypsání hodnoty PSGuard z registrů do textového souboru.
Poté následovala rada na vytvoření souboru unreg.bat s následujícím textem a jeho zpuštění mělo odstranit položku PSGuard z registrů:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\SHUDDERLTD]

Bohužel se tak nestalo a tak vymysleli nějaký nový skript, který už byl úspěšný, ale bohužel ho poslali tazateli jako soukromou zprávu!
Takže úspěšné řešení tam není vypsáno. :x
Znáte pravidla?
Tipy a triky ve Windows XP
Návody: HijackThis, MWAV, CCleaner (THX to mijaja)
Problémy, které chcete vyřešit pište sem do fóra. Neposílejte je emailem ani po ICQ!

miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 27 zář 2005 16:44

Napsal sem onomu človíčkovi, jestli by bylo možný o onen nástroj se podělit, tak uvidíme...

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 27 zář 2005 17:14

Zdravím. Hoši, bylo by to prima. Osobně si myslím, že takto postižených PSGuardem bude více, protože tak jak se prezentuje ten program, určitě nachytá více lidí než jen mého syna.

miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 27 zář 2005 17:58

To sou dobrý týpci, mě odpověděl asi za pět minut :D
Nicméně, bylo mi řečeno že i když symptomy sou stejný, příčina se může lišit, pročež bude lepší poslat jim tam log z HijackThis a že prý to posoudí individuálně.
Takže si teď zahraju tak trochu na tlumočníka :lol:. Vytvoř ten log, já jim ho předhodím :wink:

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 27 zář 2005 18:06

Promiň, právě jsem obědval (trochu opožděně).
Tady je:
Logfile of HijackThis v1.99.1
Scan saved at 18:05:08, on 27.9.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\AVPersonal\AVSched32.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WINCMD\TOTALCMD.EXE
C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe
C:\Program Files\Ahead\nero\nero.exe
C:\WINDOWS\system32\imapi.exe
C:\DOCUME~1\MIROSL~1\LOCALS~1\Temp\_tc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Seznam lištička - {B71B15CE-3093-459C-B764-AEB2486F2273} - C:\Program Files\Multimedia\Seznam Listicka\Toolbar.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Přelož do češtiny - res://C:\Program Files\Multimedia\Seznam Listicka\Toolbar.dll/5034
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Hledej v &Seznamu - res://C:\Program Files\Multimedia\Seznam Listicka\Toolbar.dll/5033
O8 - Extra context menu item: Hledej v Seznam &Fulltextu - res://C:\Program Files\Multimedia\Seznam Listicka\Toolbar.dll/5035
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} (ToolbarInetInstall Control) - http://www.listicka.cz/toolbar.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 6637602118
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{629B4BF8-146A-4032-ABCA-729639ADFA05}: NameServer = 81.27.192.33,81.27.192.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
Naposledy upravil(a) mijaja dne 28 zář 2005 09:44, celkem upraveno 1 x.

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 27 zář 2005 19:17

Mirasi já jsem ten problém měl nahozený i na Igiho fóru. Tam mě odkázali sem:http://www.viry.cz/forum/viewtopic.php?t=2786
To mi ale připadá jako jít k až základům systému a bál bych se kompletního přeinstalování.

miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 27 zář 2005 20:24

Bart PE sice znám, ale aktivně sem ho jetě nepoužil a z toho co vím mě nějak moc nenapadá jak by ti to mohlo pomoct. Kdyžtak hoď link na tu druhou diskuzi, ať poznáme konkurenci :wink:

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 27 zář 2005 21:05


miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 27 zář 2005 21:21

Jo táákhle... To je sice pravda že by ses tímhle způsobem toho klíče zbavil, ale nic víc tím nevyřešíš. Chtělo by to spíš zjistit proč teď nejde smazat. Otázka je, jestli by se tam ten klíč zas po spuštění systému neobjevil. Uvidíme, snad někdo na http://www.geekstogo.com/ odpoví


Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 5 hostů