Spyware se stále vrací - Čtěte rozuzlení je překvapivé

[Jan Pašek]

Nejsem si jist jestli je to správně ale pokaždé když spustím Mwav odmázne následující:

Sat Mar 17 22:20:53 2007 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Mar 17 22:20:53 2007 => Loading Spyware Signatures from new External Database [Name: C:\DOCUME~1\Owner\LOCALS~1\Temp\spydb.avs, Size: 216563].
Sat Mar 17 22:20:53 2007 => Indexed Spyware Databases Successfully Created...

Sat Mar 17 22:21:03 2007 => Offending Key found: HKLM\Software\magnet !!!
Sat Mar 17 22:21:03 2007 => Deleting Registry Key: HKLM\Software\magnet
Sat Mar 17 22:21:03 2007 => Object "grokster Spyware/Adware" found in File System! Action Taken: Entries Removed.

Sat Mar 17 22:21:05 2007 => Offending Key found: HKCU\\magnet !!!
Sat Mar 17 22:21:05 2007 => Deleting Registry Key: HKCU\\magnet
Sat Mar 17 22:21:05 2007 => Object "grokster Spyware/Adware" found in File System! Action Taken: Entries Removed.

POZNáMKA: POštim to v normálním provozu s nainstalovaným a spuštěným NOD32 v PC je ještě nainstalováno ale nespuštěno ADware.(užívám pro kontrolu) a Spyvare terminátor ale ten jsem už měsíc nepoužíval.

DOTAZ jedná se o spyware nebo to maže nějakou součást AV programu? POpřípadě kdo mi řekne co přesně to vymazavá nebo spíše z jakého programu?

[Reklama]

[Pic]

Když zadáš do Google Spyware Magnet, dovíš se z několika míst, že to je prevít. Mimo jiné využívající dírku v iexploreru.

[Jan Pašek]

PIC prosím poraď obranu nainstalovaný NOD32 Trial a Sublent Kerio (Full) může být chyba v nastevení jmenovaných nebo se to protáhne jinudy Používán hlavmě Firefox a IE je tu spíše kvůli aktualizacím Woken.

[Jan Pašek]

Ještě hojně používám DC strong (sme big sosáči) a přidám ještě log z hijack a pokud někde někdo vidíte nějakou chybu dejte slepejšovi vědět. předem dík.

Logfile of HijackThis v1.99.1
Scan saved at 21:43:33, on 18.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\Mx-3 B-Cup Service.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7446056406
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7452781906
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MX-3 B-Cup XP (Mx-3 B-Cup Service) - Unknown owner - C:\WINDOWS\system32\Mx-3 B-Cup Service.exe" s (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[Baron Prášil]

v pohodě.
jenom zbytečnosti
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*

doplnil bych to nějakým antispyware. Spybotem nebo Spyware Terminatorem.

[fredik]

Jeníku ochrana před tím je nepoužívat Dc++ ale teď vážně. Ty dva klíče které ti Mwav maže si dává do registru DC++. Když ho Mwav odstraní tak při dalším spuštění Dc se ti tam ty hodnoty vytvoří znovu.

Můžeš se sám podívat co tam všechno je tam za záznamy když si pustíš Editor registrů a mrkneš na klíč:
HKEY_LOCAL_MACHINE\SOFTWARE\Magnet
ten druhý klíč co vypisuje Mwav je bez přesného označení to bys musel dohled ručně.

[Jan Pašek]

Tak Fredíku měl si pravdu navíc se mi tvá zpráva schovala naposledy jsem tu četl odpověď od B.Prášila Na celé sem si musel bolestně přijít sám.

Takže zpráva pro ostatní co mají stejný problém:
Příčinou zjevování se oněch šmejdíků je StrongDC++ v2.03 BasedDC++ 0.698 a nemusí být ani připojen k hubům aby se spyware ukázal. Vkládání oněch klíčů způsobují zapnuté funkce: "Spustit magnet URL
po spuštění" a "Spustit URL funkci po spuštění (pro zprovoznění dchub://odkazů)"
Výše zmiňované funkce naleznete ve Strongu: Soubor - nastavení - pokročilé - v první polovině rolovací nabídky.

Takže Mwav je někdy sice naše poslední záchrana ale někdy je až moc důkladný protože Trial verze NOD32 nic nenašla a mě tenhle problém stál hodně času. Navíc sem si pěkně rozharašil Stronga.

Tímto tento topic považuji za vyřešený Adminům se omlouvám že ho neoznačím jako vyřešený Chci aby ještě pěkně proběhl TOP30 a přečetlo si ho co nejvíce lidí.