Re: Help! Kémprogram amit nem tudok leszedni...

[Moravcsik Szilárd]

Hali!


A napokban magam is küzködtem hasonló problémával, nekem
a VirusBusteres srácok segítettek.
Küldtek egy progit, ami a rendszer indulásakor elinduló folyamatokról
részletes log-fájlt készített.

Íme a levelükből egy részlet:

Tisztelt Felhasználó!

Csatoltan küldünk egy kis programot. A kicsomagolás után indítsa el, majd a
Find gomb segítségével indítsa el a keresést, ami lefuttatva egy log file-t
generál a saját könyvtárába, ez a kis program összegyűjti a rendszer
indulásakor lefutó összes állományt, kérjük küldje be, ezt a log file-t.
Ennek segítségével kiszűrhetjük, a vírusgyanús állományokat.

Sajnos az utóbbi hónapokban nagyon elterjedtek az ún. browser hijacker
"vírusok"(igazából a trójai programok közé tartoznak) amelyek átirányítják a
böngészőt nem kívánt oldalakra (generálnak egy állományt ami regisztrálja
hogy milyen oldalalkat néz stb.)
Ráadásul a legújabb variánsok már nagyon trükkösek, sem a Spybot sem az Ad
Aware nem találja meg őket.

Esetleg próbálja ki az alábbi linken található programokat, ill. itt talál
bővebb leírást is az ilyen vírusokról.
http://www.spywareinfo.com/~merijn/downloads.html

Próbálja meg hogy rákeres a regedit programot elindítva Szerkesztés>Keresés
(Edit>Find) menüben arra az állományra (URL címre : http:// ...... .htm),
ami a böngészőjében szerepel amikor a nem kívánt oldalra irányítódik.
Törölje az összes ilyen bejegyzést.

Ellenőrizze az alábbi kulcsotkat is a regedit-ben:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\ZoneMap\Ranges\Range1 -az itt található összes bejegyzést
törölje.

Ellenőrizze a %windir%\system32\drivers\etc\hosts állomány tartalmát (pl
total vagy windows commander F4-es szerkesztőjével) amennyiben a
127.0.0.1       localhost -bejegyzésen kívül tatlál más ip tartományokat is
pl. 213.x.x.x akkor azokat törölje ki.

Törölje az ideiglenes internetfile-okat (InternetExplorer>Eszközök>Internet
beállítások>Általános> File-ok törlése és Cookiek törlése)
Állítsa vissza a weboldalakat (InternetExplorer>Eszközök>Internet
beállítások>Programok> Web oldalak visszaállítása)

A log fájlt elküldtem nekik, erre az alábbi levelet kaptam tőlük:

Köszönjük a beküldött log-ot.
Több gyanús bejegyzést is tartalmazott, ezért kérem küldje be az alábbi
file-okat, hogy a laboros kollégáink megvizsgálhassák, egy jelszóval védett
zip-ben:

 Reg32=C:\WINDOWS\reg33.exe
 Dial32=C:\WINDOWS\dl.exe
 Windows Update=C:\WINDOWS\mstaskss.exe
 Upgrade Service=C:\WINDOWS\winupd.exe
 Windows Internet Protocol=C:\WINDOWS\system32\winproc32.exe
 Windows Deafult Configuration=C:\WINDOWS\svchost.exe (-az eredeti
svchost-nak a system32 könyvtárban kell lennie!!!)

Segítségükkel egyelőre nincs problémám, de azért a warez oldalakat
azóta is kerülöm... :-)))

Üdv:

Moravcsik Szilárd
mszilard at contarex.hu