Wykrywanie realspy


(Lama227) #1

Total Mechanic 6 swoim skanerem (Spython) wykryw mi trzy wirusy:

RealSpyMonitor, BBsee i sogo lub podobnie. Mało precyzyjnie, ale pośpieszyłem się z usuwaniem :oops: Problem w tym czy mogę ufać

wynikom skanowania Spythonem. Wszystkie trzy "wirusy" pojawiły się po instalaacji K Lite MegaCodec 1.63 Efekt uboczny ich usunięcia to brak obsługi Reala w systemie. Trudno się z tym pogodzić. W systemie mam zaporę Kaspersky, Avasta i czasem SpyBota. System był i jest stabilny, specjalnie nie muli (mam starawy sprzęt). Oczywiście szukałem rozwiazań w sieci z wiadomym skutkiem.


(adam9870) #2

Zrób skan http://www.ewido.net/en/ i pokaż raport oraz komplet logów - HijackThis i SilentRunners:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654


(Lama227) #3

proszę nie patrzeć na godzinę wysłania :lol:

Według życzenia załączam wszystkie logi

Jeszcze tylko mała dygresja. Jestem po lekturze (PC World) wyników testu skanerów on line - Symantec 0% , McAfee 0% BitDefender 17,5% po prostu żenada. Uwaga przywróciłem instalacje K Lite MegaCodec Pack ver. 1.6.2 Blokuję zaporą mmc.exe ponieważ uparcie chciał się łączyć ze zdalnym serwerem w Chinach (DNS Trace), a Explorer wybiera się do Kalifornii ! Na końcu dorzuciłem malenki log Kaspersky z pytaniem czy wszyscy tak mają? Do rzeczy ot log:

i następny:

A tu jeszcze jeden:

oto log z zapory:


(Myszonus) #4

Logi są czyste.

W sprawie kodeków : zainstaluj ffdshow 2007.01.03 oraz Real Alternative


(Lama227) #5

Wcale mnie to nie cieszy. To jest Real Alternative. Poza tym wnioskuję, że Spython działa błędnie. Mylę się? Męczy mnie sprawa mmc.exe (patrz uwagi wyżej). Pdsumowując "nie mam pewności w temacie Marioli". Już sprawdziłem, że virus BBsee występuje tylko w bazie Symanteca i Iolo Technologies, a przecież firmy wymieniają się takimi informacjami. Może ktoś mnie oświeci. Proooszę :?

Złączono Posta : 07.01.2007 (Nie) 15:07

Do moderatora.

Nie wiem czy nie wykraczam po za temat. Jeśli tak proszę o chłostę. Jestem lekko zielony na forach.


(Joan Sunshine) #6

Z opisu wirusa wynika, że powinieneś mieć folder BBsee w Program Files. Możliwe, że działa błędnie, ale mogą być po prostu pozostałości. Ze względu na to:

Użyj SmitFraudFix z opcji 2 w trybie awaryjnym i wklej raport.

Zafixuj ten wpis. :slight_smile:


(Lama227) #7

Dzięki, że ktoś zwrócił na uwagę na ten wpis (Name: Adware.IntCodec.) chociaż "gość" jest dla mnie nowy. Więc jak czysty mam system ? Zaraz użyję smitfrauda.


(adam9870) #8

Skoro jest wykrywany szkodnik to znaczy, że nie masz.

Użyj SmitFraudFix z opcji numer 2 w trybie awaryjnym i pokaż raport - pliczek c:\rapport.txt.


(Lama227) #9

wynik smitfrauda załączam czyścić jeszcze mu nic nie kazałem. Teraz objawię swoje lamerstwo: "w trybie awaryjnym" tzn. z bootu F8 czy coś takiego?


(Joan Sunshine) #10

Wybierasz w smicie opcję 2, na wszystko się zgadzasz wciskając Y.

Użyj narzędzia Rustock.b-Fix :slight_smile:


(Lama227) #11

Rustock nie znalazł rootkitów. Smitfrauda puściłem w trybie awaryjnym mimo tego narzekał na brak jakichś ścieżek. Tmp- niestety nie podał jakich. No dobrze czas coś "zabić". Czy mam usunąć tego ADware.IntCodec ?

Oto log po porządkach Smitfrauda:


(Bbieniol) #12

Wszystko jest już OK.

Jak wygląda teraz sytuacja?


(Lama227) #13

No i jest sukces chociaż nie wiem czemu to zawdzięczać :smiley: THX folks. Total Mechanic 6 nie znalazł już realspymonitora a kodek dalej działa. Jednak dalej wykrywa BBSee (nie, nie mam katalogu w program files) i Sogou. Wszystkie wpisy w rejestrze (to tylko przykład):

HKEY_CLASSES_ROOT\CLSID\{238D0F23-5DC9-45A6-9BE2-666160C324DD} RealVideo Decoder

odwołują się do Reala. Próba ich usunięcia kończy się brakiem stosownego kodeka :evil: Błąd skanera Spython !? Może ktoś miał już taki kłopot? Z góry dzięki!


(adam9870) #14

Spróbuj przeczyścić rejestr opis.

Potem przeskanuj jeszcze raz http://www.ewido.net/en/ i pokaż raport.


(Lama227) #15

Hurrra :mrgreen: jest czysto zniknął realspy a kodeki działają i oto chodziło. Skutek dodatkowy żaden program nie wybiera się już na zdalne serwery. Dla ścisłości nie usuwałem dodatkowych gości widzianych przez Spythona tj. BBSee i Sogou. Nikt ich więcej nie wykrywa. Obydwa powinny przynajmniej przekierowywać strony, a nic takiego się nie dzieje. False-positive - czyli nie ufać do końca Spythonowi. Chyba że są inne objawy (tak jak u mnie). Wielkie dzięki wszystkim za pomoc****. Jeszcze tylko log:


(Gutek) #16

czy plik usunięty?


(Lama227) #17

Nie. Myślę że nie ma takiej potrzeby. Password_Ripper jest częścią pakietu Totall Commandera i oficjalnie o tym informuje. Mylę się ?


(Gutek) #18

Ewido go znajduje i usuwa. Jest zbędny i do usnięcia


(Lama227) #19

Usunięcie go to nie problem. Ewido tez ma swoje ograniczenia np. nie widzi pewnego wiruska (trzymam go właśnie do testów) w moim archiwum. Może wiesz czym zastąpić password_rippera?

Złączono Posta : 08.01.2007 (Pon) 20:22

No zdaje się że wypadam z tematu i to w rozmowie z moderatorem :lol:


(Gutek) #20

Jak każdy tego typu skaner, program czy antywirus - kazdy ma inna baze danych. Ale nie masz syfu, więc nie ma sensu robić tasiemca i OT-ów

Nie wiem czy zastąpić :slight_smile: