Nezničitelný PS Guard

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: Mods_senior, Security team

miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 28 zář 2005 09:47

Tak tu mám první odpověď z geekstogo. Máš si prej stáhnout SmitRem, poklikat a někam ho rozbalit. Nastartovat do nouzáku, otevřít složku SmitRemu, poklepat na soubor RunThis.bat a nechat sken dojet do konce. V rootu systémovýho disku ti vznikne log jménem smitfiles.txt (např: C:\smitfiles.txt), nemaž ho, bude potřeba.
Pak restartuj do normálu a spusť online virus sken ActiveScan. Výsledky si nezapomeň uložit!
Poté sem pošli smitfiles.txt, ActiveScan log a novej HijackThis log. Jestli pozoruješ nějaký divný chování u compu, napiš to. Předám dál :wink:
Naposledy upravil(a) miras dne 28 zář 2005 13:18, celkem upraveno 1 x.

Reklama
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 28 zář 2005 10:35

Dík. Zkusím to. Ale co je to "divný chování"? Docela jsi mě polekal.

miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 28 zář 2005 10:42

No jako že by při surfování vyskakovaly okna, nebo že by mrznul, že by byl pomalej, vysoký vytížení procáku i když nic neděláš, atd. Zkráceně že by dělal něco, co se ti nelíbí a co dřív nedělal :wink:

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 28 zář 2005 11:23

Tak SmitRem už to projel. Teď to projíždí Panda Active Scan, ale to vypadá tak minimálně na hodinu. Zatím se nezdá, že by se dělo "něco divného". Mezitím jsem nahlédl do registrů a zdá se, že je to pryč. :D

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 28 zář 2005 12:40

Tak už to skončilo. Ale kde se nachází ten log z Active Scanu zaboha nevím. Není tam žádná volba zobrazit jej, nebo uložit někam, tak jsem jen zkopíroval výsledek v okně.
Takže HJT:
Logfile of HijackThis v1.99.1
Scan saved at 12:34:55, on 28.9.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\AVPersonal\AVSched32.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\WINCMD\TOTALCMD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\DOCUME~1\MIROSL~1\LOCALS~1\Temp\_tc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = My Name
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Seznam lištička - {B71B15CE-3093-459C-B764-AEB2486F2273} - C:\Program Files\Multimedia\Seznam Listicka\Toolbar.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Přelož do češtiny - res://C:\Program Files\Multimedia\Seznam Listicka\Toolbar.dll/5034
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Hledej v &Seznamu - res://C:\Program Files\Multimedia\Seznam Listicka\Toolbar.dll/5033
O8 - Extra context menu item: Hledej v Seznam &Fulltextu - res://C:\Program Files\Multimedia\Seznam Listicka\Toolbar.dll/5035
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3190CE28-0B6E-4133-A7D3-87D29CB92120} (ToolbarInetInstall Control) - http://www.listicka.cz/toolbar.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 6637602118
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{629B4BF8-146A-4032-ABCA-729639ADFA05}: NameServer = 81.27.192.33,81.27.192.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

SmitRem:
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ---------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD
<NO NAME> REG_SZ 0

HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard

Deleting ShudderLTD ----------


Checking if HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD is still present ------

Deleting leftovers in registry ------

leftovers deleted!

Okno AS:
Scan cancelled
My Computer
Local Disks
Floppy Disk
My Documents
Email
Other Media
Detected Disinfected
Virus 0 0
Spyware 0 0
Hacking Tools 0 0
Dialers 0 0
Security Risks 0 0
Suspicious files 0 0

miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 28 zář 2005 15:50

Nějak se mě ten výsledek Active Scanu nelíbí. Přijde mě divný proč tam píše "scan cancelled" :wink:. Myslel sem že na to mrknu, ale nějak se nedaří, tak sem jim zatím poslal tohle. Zkus to pustit ještě jednou kdyžtak...

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 28 zář 2005 16:01

To bylo v pořádku. Ten scan dojel do konce. Já jsem jej znovu spustil, když jsem hledal tu možnost uložení logu. No a aby to zase nejelo další hodinu, stopl jsem to.

miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 28 zář 2005 16:13

Na ja, ale tím pádem si mi sem poslal log z přerušenýho scanu. U toho předchozího, dokončenýho, byly výsledky stejný? Nenašel teda nic?

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 28 zář 2005 18:08

Výsledek byl zcela stejný - samé nuly. Myslím, že jsme zvítězili. :onfire:

miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 28 zář 2005 19:26

No ještě nekřič :wink:
Když už sme v tom a kluci na geekstogo sou tak ochotný, proč toho nevyužít a nepřesvědčit se dvakrát že je všechno OK.

Ten log ze smitremu by prej rád viděl celej.

TeaTimer je prej sice fajn obrana proti spywaru, ale může HijackThis bránit semtam něco odstranit. Taže prej máš TeaTimer vypnout:
Otevři Spybot Search & Destroy.
V Mode menu clickni na "Advanced mode" jestliže už neni zvolenej.
Vyber "Yes" při varování.
Rozbal "Tools" menu.
Clickni "Resident".
Odškrtni "Resident "TeaTimer" (Protection of overall system settings) active."
Ve File menu clickni "Exit" pro zavření Spybot Search & Destroy

Pusť skan v HijackThis a zaškrtni následující:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

clickni FIX CHECKED, pak zavři Hijackthis

Restartuj

A já doplním: Pošli znovu celej sávající SmitRem log, novej HijackThis log a zase pusť TeaTimer :wink:

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 28 zář 2005 20:15

Udělám to až zítra. Teď už musím jít. Ráno ve 4 vstávám. Ještě něco. Nainstaloval jsem si Mozillu, takže se objeví také v Hijackthisu. Takže já se pro dnešek loučím, mladej si chce ještě zahrát nějaký hry.

miras
Tvůrce článků
Level 5
Level 5
Příspěvky: 2159
Registrován: červenec 04
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod miras » 28 zář 2005 22:45

Instalace Mozilly tě jenom šlechtí :wink:. A vstávat ve čtyři by mě zabilo :lol:


Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti