Rokity-pomocy

Dla specjalistów Bezpieczeństwo
#1

program rootkitRevealer wyktył mi takie wartości w rejestrze:

(ZAŁĄCZAM SCREENA)

http://img93.imageshack.us/my.php?image=gh2jg.jpg

co mam z tym zrobić?

#2

na tym scrrenie nic nie ma :?

Złączono Posta : 17.07.2005 (Nie) 15:13

teraz jest juz cos

#3

Czym skanowałeś system?

Zapuść ten program remv3

Wyczyść rejestr programem jv16 PowerTools

Zrób skan czym sie tylko da:

:arrow: Panda

:arrow: Kaspersky

:arrow: mks_vir

:arrow: Trend

:arrow: Dr.Web

:arrow: BitDefender

Dodatkowy skan programami:

:arrow: PestPatrol

:arrow: Spybot Search & Destroy 1.4

:arrow: Ad-aware SE Personal

:arrow: CWShredder

Na koniec jeszcze wklej loga :arrow: HijackThis 1.99.1

#4

tutaj jest mój log, skanery nic nie wykryły poza tym programem do rootkitów i nie wiem czy to co wskazał mam usunąc czy tez nie ?

Logfile of HijackThis v1.99.1

Scan saved at 19:57:46, on 2005-07-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\AutoConnect\AutoConnect.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\WINDOWS\system32\SLEE81.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\dom\USTAWI~1\Temp\Rar$EX00.610\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE93DE47-6302-46B2-BD1F-629206B2DB8F}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
#5

fix

#6

tylko tyle??

reszta jest czysta??

bo ja jeszcze widziałem jakieś wpisy po symantecu, a symanteca narazie nie mam, bo testuje wersje trial kasperskiego , to jak ?

#7

dla mnie czysta. Jak nie uzywasz Symanteca to ciachnij:

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

#8

Jeżeli nie masz już Spyware Doctor to usuń resztki po nim:

A jeżeli chodzi o ten program którym, skanowałeś system to z ciekawości zainstalowałem go i zapuściłem skan i co zobaczyłem, wykrył prawidłowe pliki i foldery oraz wpisy w rejestrze mojej książki telefonicznej, do tego wykrył prawidłowy folder Document & Setting także proponuje nic nie usuwać (Nie znam tego programu i na jakiej zasadzie on działa ale na pierwszy rzut oka to jest do du…y)

#9

ale dlaczego jak to usune i pozostałosci po symantecu to jak skanuje drugi raz to te wpisy dalej tam są??

tak jakby wracały??

#10

A robisz to w trybie awaryjnym i wyłączonym przywracaniem systemu?

O tym wpisie mówisz że nie możesz go usunąć?

#11

tak

tak

#12

Nie możesz go usunąć bo wpisy 023 usuwa sie troszke inaczej:

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz proces Symantec Network Drivers Service nastepnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz SNDSrvc => Ok i zresetuj komputer.

Plik na czerwono usun ręcznie z dysku

Jeżeli chodzi o wpis 02 to coś robisz nie tak on bez problemu powinien sie sfixować, spróbuj jeszcze raz.

#13

dobra już zrobiłem jak trzeba , dzieki

jeszcze mam takie pytanie , czy tak naprawde tak mocno trzyma się symantec i za zadną cene nie chce systemu opuscic czy to tylko u mnie taki przypadek?

#14

nie tylko u ciebie. Jak dobrze pamiętam to kiedyś też była cięzka walka z nim i nawet o wiele gorsza 8)

#15

ok, dzieki za pomoc

#16

To co pokazał to narzedzie to zwykle śmieci.

Oproznij Temp, reszty nie ruszaj bo cos czuje ze ci sie rejestr potym posypie.

andi ?