Sziasztok!
Végigolvastam az összes hozzászólást, de egy dologról nem volt szó (vagy legalábbis nem láttam), ami eléggé meg tudja keseríteni az ember életét. Mélységesen egyetértek azokkal az emberekkel, akik azt mondják, hogy a windows reinstall nem megoldás. Egyrészt ha minden elsőre megoldhatatlannak tűnő problémánál reinstall lenne, akkor miből tanulna az ember, másrészt ha ügyfelei vannak (az egyik legrosszabb felhasználó mindig az aki éppen a "te ügyfeled") nem teheti meg hogy havonta újrainstallálja a gépét. Nem is beszélve a munkahelyi gépről 2-3 fejlesztőkörnyezettel megtámogatva
. Tehát muszáj megkeresni a probléma forrását.
Én is beszereztem az about:blank nevű férget (pár oldallal előbb screenshot is volt róla), és sajna az istennek sem sikerült leírtani. Később meglett a probléma egy un. hidden dll formájában. Ez olyan dll amely együtt indul a explorer.exe-vel nem látod a process explorerben, sőt ha rákeresel akkor a kereső nem találja meg, ill. a system32 könyvtárban sem látod. Egyedül a file monitorban látod azt, hogy az explorer.exe néha megnyitja, kiolvas belőle valamit, majd bezárja. Természetesen csökkentett módban sem látszódott, tehát elég esélytelen volt leirtani. Hála istennek van egy dllfix nevű progi amivel le lehet irtani. Borzasztó gagyi a felülete, de nálam csak ez az egy segített. Ha nem találja valaki a neten, akkor dobjon egy mailt.
Amúgy ha nem baj kicsit összefoglalom a kéthetes szenvedés tapasztalatait:
Ha lehet kerüljük az IE-t. Sajnos én is azt használom (még most is) mivel van egy olyan szolgáltatása amit nagyon szeretek és más böngésző nem tudja. A többi böngésző egyik legnagyobb előnye viszont, hogy nem ismerik a activex-et (viszont igy a windowsupdate ugrott), és van beépitett popup blokkoló. Persze tegyük hozzá, ha valaki kivárja az sp2-őt, akkor ezek a gondok megoldódnak, ugyanis végre az IE is tudja bolokkolni a popup ablakokat és alapból letiltja az oldal betöltésekor az axtivex vezérlőket és a javascriptet (és tök jól működik). Viszont hatalmas hátránya, hogy az szinte az összes hijack-et az IE-re írják, és szerintem ez nem fog változni.
Használjuk a windowsupdate szolgáltatást. A hijack-ek legnagyobb része az IE biztonsági résein keresztül támad, ha mindig friss a rendszerünk sokkal kisebb az esélye a fertőzésnek. (Persze lásd az előző bekezdést, ill. a minden kérdésre igent nyomó userrel sem tudsz mit csinálni)
Nem árt mondjuk hetente leellenőrizni a rendszered egy direkt erre a célra készült programmal. Nekem a SpySweeper jött be a legjobban , de ízlések és pofonok.... Tapasztalatom szerint a vírusírtók ezen a téren nagyon nem remekelnek.
Ha már megtörtént a baj akkor jöhet a szórakozás....
Futtasunk le SpySweepert vagy valami hasonlót, ill a CWShreddert. Ez elég sokszor egyből megoldja a dolgot. Ha nem akkor nézzükmeg azt, hogy mi indul el automatikosan a windowsal együtt. Erre a legjobb az msconfig.exe, de kézzel is megnézhetjük a HKLM\Software\Microsoft\windows\currentversion\run és a HKCU\Software\Microsoft\windows\currentversion\run kulcsokat (ez utóbbit sokan elfelejtik, pedig itt is lehetnek furcsa dolgok). A feladatkezelőben ill. processexplorerben ki tudjuk listázni a futó processzeket. Ha valamelyiknek a neve gyanús akkor nyugottan keressük meg és a tulajdonságait megnézve kiderül, hogy ki a gyártója. Ha nincs ilyen információ az elég intő jel lehet. Állítsuk le a processzt és nevezzük át a fájlt. Ha esetleg valami fontos volt akkor még mindig visszanevezhetjük. Nézzünk szét a windows és a system32 mappákban. Rendezzük be létrehozás dátuma szerint a fájlokat. Ha nem rég volt a fertőzés könnyen kiszűrhetők azok az exe-k és dll-ek amik azon a napon keletkeztek. Ha ezeket letöröljük vagy átnevezzük akkor már az esetek 70%-ában célt érünk.
Ha ez sem segít jöhet a HiJackThis. Ezzel elég óvatosan kell bánni, mert könnyen szanálhatunk olyan dolgokat a registryből amire még szükségünk lenne. Itt is láthatjuk az automatikusan elinduló programokat, és egy olyan infót is amit máshol nem (ha jól olvastam erről sem volt még szó). Ez pedig a BHO bejegyzések. Ezek az un. Browser Helper Object-ek amik a olyan dll-ek amik automtikusan elindulnak az IE indulásakor (a registriben tulajonképpen itt csak egy CLSID-t találsz, de erre a karaktersorra rákeresve megtalálod, hogy ez az ID melyik dll-hez tartozik). A Hijack-os dll-ek 99%-a ide regisztrálja be magát. Vigyázat pl. az acrobat reader vagy a flashget dll-je is itt van, tehát nem érdemes ész nélkül törölgetni. De ha nem tudod hogy a dll éppen mit csinál akkor nyugottan nézd meg tulajdonságát. Ha még ezután sem tűnt el a dolog jöhetnek a "komolyabb" programok.
Két nagyonjó program a filemonitor és a registry monitor. Ezzel simán tudod moniztorozni, hogy mit csinál a IE. Sajna az én esetemben a regmon nem sokat segített ugyanis azt mutatta, hogy a kezdőlapomat mindig a IE (azaz önmaga) szeretné megváltoztatni tehát a kígyó a saját farkába harapott
. Persze most már tudjuk, hogy a BHO-ban betöltött dll csinált zombit az IE-ből. Persze itt jött a következő probléma, hogy hiába töröltem le ezt a bizonyos dll-t, valaki mindig újragyártotta egy másik néven. Itt jön a képbe a file monitor. Elinditva és futtatva kb. 2 órát kiderült, hogy bizony ezt a dll-t az explorer.exe hozza létre, ezt pedig sajna mégse törölhettem
. Aki használt már filemonitort tudhatja, hogy 1-2 perc alatt is mennyi bejegyzést csinál, úgyhogy ezt már csak egészen elszánt embereknek ajánlom. Egyébként innen már valamivel egyszerűbb az ember dolga, mert a dll-legyártása előtti néhány száz sort kell kielemezni, és az esetemben ott volt az a bizonyos sql.dll írása és olvasása. Persze azt mondanom sem kell, hogy bármit csinálsz (kivéve a monitorozást) azt célszerű csökkentett módban csinálni.
Hát egyelőre ennyi, remélem sikerül segíteni néhány embernek hogy megszabaduljon ezaktől a programoktól. És bocs ha túl szájbarágós lett a leírás.
K.
Súgó
A téma zárva.
Elküldve: 2004. 08. 01. 22:20
ilyesmi reakciót prodúkálnék ha a sok 
re 
Elküldve: 2004. 08. 02. 14:09
