Показано с 1 по 15 из 15.

Обнаружен шпион.. или необнаружен?! (заявка № 10176)

  1. #1
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64

    Thumbs up Обнаружен шпион.. или необнаружен?!

    Добрый день всем!
    У меня 2 вопроса:
    1. (главный) У меня Аутпост постоянно обнаруживает спай в "HKCR\scrfile\shell\open\command", делает вид, что исправляет, а потом.... опять его же обнаруживает.. В параметрах вроде все правильно (нашел где-то значения).
    2. Отправил лог HiJackThis на проверку, а там некоторых путей в реестре вообще нету (например "R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page ="). Что это значит?


    Помогите плз разобраться, что есть что в логах...
    Заранее благодарен..
    Последний раз редактировалось M@xWell; 25.06.2007 в 14:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Логи чистые.

  4. #3
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Спасибо.
    А по поводу 2х вопросов можете дать к.-л. комментарии?

  5. #4
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Спсбо.
    Может есть какие-то мнения по поводу R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =? Почему его нет в реестре?

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Учебник: saule-spb.ru - описание лога HJ от Saule

    ключик c LocalPage д.б. в реестре.

    по-второму - на какую программу ругается Outpost? Scrfile - скринсейверный файл, в нем иногда бывает гадость.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Цитата Сообщение от PavelA Посмотреть сообщение
    ключик c LocalPage д.б. в реестре
    а ннету... при чем ни в HKCU, ни в HKLM..

    Цитата Сообщение от PavelA Посмотреть сообщение
    по-второму - на какую программу ругается Outpost? Scrfile - скринсейверный файл, в нем иногда бывает гадость.
    Выдает: Данные в HKCR\scrfile\shell\open\command. Имяобъекта Windows Shell Open Commands

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от M@xWell Посмотреть сообщение
    а ннету... при чем ни в HKCU, ни в HKLM..
    Не нравится HJ пустое значение в этом ключе. У меня там живет: (HKCU)
    C:\WINNT\system32\blank.htm
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Цитата Сообщение от PavelA Посмотреть сообщение
    Не нравится HJ пустое значение в этом ключе
    ну не нравится ему целых 2 таких ключа (см. лог R0 ).. только как изменить их значение, если в реестре нету этих ключей?!

    Цитата из руководства HJ:
    R0 - ваша домашняя страница (загружающаяся при старте IE)
    В реестре есть ключ StartPage, но не LocalPage

    Кстати, может подскажете еще такую вещь:
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    оба файла существуют именно в тех местах, где указаны

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от M@xWell Посмотреть сообщение
    ну не нравится ему целых 2 таких ключа (см. лог R0 ).. только как изменить их значение, если в реестре нету этих ключей?!

    Цитата из руководства HJ:
    В реестре есть ключ StartPage, но не LocalPage
    Маленькая мелочь: LocalPage пишется раздельно.
    По сути: можно добавить в реестр ручками строковый параметр с таким названием и все будет хорошо.
    Цитата Сообщение от M@xWell Посмотреть сообщение
    Кстати, может подскажете еще такую вещь:
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    оба файла существуют именно в тех местах, где указаны
    Это известный глюк Хиджака. Не понимает он, когда программа запускается с параметрами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Цитата Сообщение от PavelA Посмотреть сообщение
    Маленькая мелочь: LocalPage пишется раздельно.
    Ну это я так написал.. если на то пошло, то Start Page тоже. форум же не по орфографии и грамматике

    Спасибо всем за разъяснения. Был бы также весьма признателен, если б дали к.-н. информацию по поводу Windows Shell Open Commands (1й вопрос). Есть ли там спай или я зря волнуюсь?
    Кроме аутпоста никто не ругается...Делал все по правилам

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от M@xWell Посмотреть сообщение
    Ну это я так написал.. если на то пошло, то Start Page тоже. форум же не по орфографии и грамматике
    К моему величайшему сожалению LocalPage не находится в реестре, а Local Page - есть. В нашем деле каждый пробел важен.

    Про scrfile: Я так думаю, что Винда при загрузке подставляет нестандартное значение, которое не нравится Outpost.

    Можно при помощи Regmon посмотреть, кто пытается что-то менять.
    Скачать можно с www.sysinternals.com
    Последний раз редактировалось PavelA; 05.06.2007 в 13:43.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Между прочим, вы сами написали именно БЕЗ пробела:
    ключик c LocalPage д.б. в реестре.
    Я все таки сделал поправку на человеческий фактор (опечатка или лень лишний раз нажать пробел), а вот Вы почему то не берете сей факт к рассмотрению. И неужели я б не заметил, если б в списке ключей вместо LocalPage был бы Local Page?!

    Цитата Сообщение от PavelA Посмотреть сообщение
    К моему величайшему сожалению LocalPage не находится в реестре, а Local Page - есть.
    А к моему величайшему сожалению ни LocalPage, ни Local Page нету... я не просто так спрашиваю... Я-то его добавил, но интересно, почему его небыло, а HJ нашел??

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Он не нашел, а просто отметил, что его нет. А по его данным должен быть обязательно.
    по поводу пробелов: мир, дружба, кока-кола (или квас "Микола")
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Full Member Репутация Репутация Репутация Аватар для M@xWell
    Регистрация
    04.06.2007
    Сообщений
    127
    Вес репутации
    64
    Цитата Сообщение от PavelA Посмотреть сообщение
    Он не нашел, а просто отметил, что его нет. А по его данным должен быть обязательно.
    Аа, вот где собака порылась!! Спасибо

    Цитата Сообщение от PavelA Посмотреть сообщение
    по поводу пробелов
    Согласен

    Позволю себе еще раз напомнить (самому надоело, но хочется разобраться) об spyware, которого находит Outpost. Фишка вот в чем: я пользуюсь System mechanic 6, но он пользуется "услугами" других фаеров (в моем случае outpost). Когда я сканирую через SM, постоянно находит этот spyware. Просканировал отдельно Outpost'ом - вроде все ок (ну не все: нашел что-то, но совсем иное). Опять через SM - опять находит...

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    М.б. проблема в System mechanic, точнее в его базах спайваре.
    http://www.google.ru/search?hl=ru&q=...ic+scrfile&lr=
    - смотри, там много как раз по твоему вопросу. Гугл знает очень много.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) M@xWell, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус Шпион
      От Gen в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 05.09.2011, 15:12
    2. Шпион
      От Alexgood в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.05.2011, 22:44
    3. WM шпион
      От Tim321 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.07.2010, 17:39
    4. Какой-то шпион
      От Wastelander в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:19
    5. шпион и троян
      От dsa2 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 06:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00556 seconds with 19 queries