[Eleanor]

Idézet: SuMMeR - Dátum: 2009. febr. 12., csütörtök - 21:48

Van neki egy gyorskeresõ üzemmódja, az lefutott elég gyorsan, de az se ment problémamentesen, elsõ alkalommal símán lefagyott a program. Kezdek gondolkozni, hogy visszatérek az elõzõ verzióhoz, csak nem találom a telepítõ programot, neten meg most nincs kedvem keresgetni (gyors ellenõrzés azért: oldversion.com-on 6.1-ig van fenn, de szerintem annál újabb volt nálam, a mostani meg 8.0.2-ként mutatkozik be).

Ha mindenáron mazochizálni akarsz: Ad-Aware 2008 7.1.0.11

[Eleanor]

Idézet

Ad-aware SE referencefile (Discontinued) 30.03.2009 [ 8.37 MB | Freeware | Win All]


Technical support and definitions updates are now discontinued for SE Plus, SE Pro and SE Enterprise. This is the final update.

[druppa]

Tippet kérek, mert ilyennel még nem találkoztam, hogy spybot nem tud törölni egy trójait. 

A történet:
Szomszéd szólt, segitsek neki, mert altavizsla levelezõt használ, és eltünt az összes levél a fiókjából.
Átmegyek, a képernyõn Zonealarm narancssárga figyelmeztetõ képernyõje, hogy services.exe webre akar csatlakozni. Kérdezem, ez mi, legyint, hogy valami hibaüzenet, de nincs itt a fia, õ szokott az ilyen ablakokra kattintani.
 

Nyeltem egyet, letiltottam a program mostani futását, de nem pipáltam be, hogy emlékezzen rá, hogy lássam, mikor indul el legközelebb.

A gépen XP SP3 van, Zonealarm 2007-es 7.0.843 tüzfal, windows security center kikapcsolva, avast 4.8 virusirtó fut, és mint megtudom, idönként spybot el van inditva.

Csináltam egy újraindítást, bejelentkezõ képernyõn rövid villanásból mintha egy fehér ablak megnyilt volna és rögtön be is csukódott, mintha csak a szemem káprázott volna, majd avast alsó sorban figyelmeztetõ üzenetet irt, hogy c:\windows\file.bat virusos.

spybot 1.2 elinditva, talál win32.joleee.k trójait és jelzi, hogy win tüzfalak kikapcsolva.

meglepõdök, mert a trójait nem tudja törölni, zölddel kipipálja, majd törlési utasitásra közli, hogy javitva, de valahogy mégse.

spybot-ot frissitem, telepiti 1.6-os verziót, azt is frissitem, helyzet nem változik.

illetve a tüzfal jelzi, hogy services.exe webre akar csatlakozni, nem engedem. (persze file.bat fájl nem létezik a gépen)

gépet újrainditom, csökkentett módban rencegizdaként belépek, file.bat sehol, viszont 2009.04.02 dátummal találok services.exe fájlt a c:\windows könyvtárban, egy mozdulattal törlöm.

újrainditás után megnyugszom, avas nem jelez hibaüzenetet, spybot-ot elinditom, trójai ugyan ott van.

Ezeket irja ki, és egyiket se tudja javitani, bár úgy csinál, mintha megtenné:

Win32.Joleee.K
Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Beállítások (Rendszerleíró adatbázis módosítás, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Beállítások (Rendszerleíró adatbázis módosítás, fixed)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Win32.Joleee.K: [SBI $39C82568] Beállítások (Rendszerleíró adatbázis érték, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\services\del

Javaslat, ötlet, kioktatás? 

[Eleanor]

Idézet: druppa - Dátum: 2009. ápr. 3., péntek - 0:23

Tippet kérek, mert ilyennel még nem találkoztam, hogy spybot nem tud törölni egy trójait. 

https://forum.hwsw.hu/index.php?showtopic=5...dpost&p=5563917

[druppa]

Hát, nem lettem okosabb, a virusriasztás eltünt, de ledöbbentem, mennyi folyamat megy ezen a gépen. 

Közzéteszem a teljes logfájlt, várok tippeket, miket lõjek ki, vagy miket keresgéljek, a hijack mindenre olyasmiket ir, hogy "ez egy ... folyamat, kell, de lehet, hogy ..."

Egyben vagyok biztos, hogy a 2009.04.02 dátumú services.exe fájlt töröltem, most pedig egy 2008-as dátumú services.exe fájl van a system32 könyvtárban - talán az xp helyreállította magát?


Itt a mostani teljes logfájl:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:26, on 2009.04.03.
Platform: Windows XP Szervizcsomag 3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HELYI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HÁLÓZATI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O8 - Extra context menu item: Letöltés a FlashGet-tel - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Minden letöltése a FlashGet-tel - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1183570355906
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1183564977500
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8777E71-5ACA-486C-90E6-9178D2A28A5C}: NameServer = 84.2.44.1 84.2.46.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5565 bytes

[Eleanor]

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

[druppa]

Idézet: Eleanor - Dátum: 2009. ápr. 4., szombat - 18:19

[SIZE=7]O4 - HKLM\.

Na igen, amint irtam volt, régi dátummal, avast nem riaszt és hijack szerint rendben van.
Szerinted nem?

[feri22]

tûzfalak Érdemes megnéézni 

[feri22]

Idézet: feri22 - Dátum: 2009. ápr. 8., szerda - 14:46

tûzfalak Érdemes megnéézni 

PC Tools Firewall Plus magyaritás itt: zityi33 JÓL müxikk 

Szerkesztette: feri22 2009. 04. 14. 14:56 -kor

[Eleanor]

[Eleanor]

Idézet

The "Conficker" specific removal tools

Symantec....... W32.Downadup Removal Tool
Kaspersky..... KKiller_v3.4.3 tool
BITdefender.....bd_rem_tool
MicroSoft......Microsoft Windows Malicious Software Removal Tool (KB890830)
Eset...... Win32/Conficker Worm Removal Tool,
F-Secure.....F-SECURE MALWARE REMOVAL TOOL (F-Downadup)
McAfee.......Stinger tool
Spy Hunter Conficker Removal Tool
Sophos Conficker Cleanup Tool
Protector Plus Clean Conficker worm tool

[Eleanor]

Idézet

Vista Firewall Control

        * Designed for Windows 7 & Vista
        * Free versions available
        * Decreases expenses of mobile/satellite connections
        * Zone based network permissions management
        * Integration with Window Explorer for direct access permission management
        * Integration with Windows Security Center
        * Instant notifications of blocked activity
        * Special editions for portable devices (USB flash/HDD drives, iPod etc)
        * Special editions for U3 smart devices
        * Protection from incoming and outgoing threats
        * External network connection (firewall/router) box support
        * Automatic network connection box detection/management
        * External/worldwide access to selected local application
        * Port Forwarding management
        * Automatic Port Forwarding-to-applications synchronization
        * Simplicity of operation
        * Per-application security settings
        * Group zone and application network access permission management
        * IPv6 support

[Hollys]

Idézet: Eleanor - Dátum: 2009. ápr. 15., szerda - 12:53

Ez a legjobb eddig! Feltettem Állandó védelemként a legújabbat, kár, hogy ebbõl még nincs magyar. A Spyware Terminator képes együtt dolgozni a NOD32 3.0-al is. Kemény támadásokat védtek ki együtt. Mindenkinek csak ajánlani tudom.

[Eleanor]

[Mtbsrác]

Nah sikerült nekem is bexopni egy szép very high férget.
VRT1.tmp néven megy.

Idézet

SUPERAntiSpyware can safely remove VRT1.TMP (Trojan.Agent/Gen-NewDropper) and protect your computer from spyware, adware, malware, rootkits, worms, trojans, keyloggers, bots and other forms of harmful software.

Spybot - Search & Destroy és a Spyware Terminator-al még ezekkel
sokmindent leszedtem. Másokakkal kb semmitse de még mindig
a gépbenvan. Most spec csak az oldalblokkolás megy a tobbö nemmüxik
de ua a rendszerbevan.

Az az érdekes hogy format C: után is megtalált ismét.
És blokkolja temészetesen az összes virusírtó oldalt.
Oldást tudom hogy meglehet kerülni csak nemtom
melyik reg bejegyzést kell átírni.

[Mtbsrác]

Olyan kémprogi keresõ kellene ami nemcsak a rendszerben nézne
utána hanem mindenhol amerre csak lehetséges.

[Vulpex]

http://wigwam.info/a...050605163121126

[Eleanor]

[Eleanor]

http://windowsxp.mvps.org/firewall.htm

[Eleanor]

HijackThis log értelmezõ