-
Обнаружен шпион.. или необнаружен?!
Добрый день всем!
У меня 2 вопроса:
1. (главный) У меня Аутпост постоянно обнаруживает спай в "HKCR\scrfile\shell\open\command", делает вид, что исправляет, а потом.... опять его же обнаруживает.. В параметрах вроде все правильно (нашел где-то значения).
2. Отправил лог HiJackThis на проверку, а там некоторых путей в реестре вообще нету (например "R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page ="). Что это значит?
Помогите плз разобраться, что есть что в логах...
Заранее благодарен..
Последний раз редактировалось M@xWell; 25.06.2007 в 14:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Спасибо.
А по поводу 2х вопросов можете дать к.-л. комментарии?
-
Спсбо.
Может есть какие-то мнения по поводу R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =? Почему его нет в реестре?
-
Учебник: saule-spb.ru - описание лога HJ от Saule
ключик c LocalPage д.б. в реестре.
по-второму - на какую программу ругается Outpost? Scrfile - скринсейверный файл, в нем иногда бывает гадость.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
ключик c LocalPage д.б. в реестре
а ннету... при чем ни в HKCU, ни в HKLM..
Сообщение от
PavelA
по-второму - на какую программу ругается Outpost? Scrfile - скринсейверный файл, в нем иногда бывает гадость.
Выдает: Данные в HKCR\scrfile\shell\open\command. Имяобъекта Windows Shell Open Commands
-
Сообщение от
M@xWell
а ннету... при чем ни в HKCU, ни в HKLM..
Не нравится HJ пустое значение в этом ключе. У меня там живет: (HKCU)
C:\WINNT\system32\blank.htm
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Не нравится HJ пустое значение в этом ключе
ну не нравится ему целых 2 таких ключа (см. лог R0 ).. только как изменить их значение, если в реестре нету этих ключей?!
Цитата из руководства HJ:
R0 - ваша домашняя страница (загружающаяся при старте IE)
В реестре есть ключ StartPage, но не LocalPage
Кстати, может подскажете еще такую вещь:
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
оба файла существуют именно в тех местах, где указаны
-
Сообщение от
M@xWell
ну не нравится ему целых 2 таких ключа (см. лог R0 ).. только как изменить их значение, если в реестре нету этих ключей?!
Цитата из руководства HJ:
В реестре есть ключ StartPage, но не LocalPage
Маленькая мелочь: LocalPage пишется раздельно.
По сути: можно добавить в реестр ручками строковый параметр с таким названием и все будет хорошо.
Сообщение от
M@xWell
Кстати, может подскажете еще такую вещь:
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
оба файла существуют именно в тех местах, где указаны
Это известный глюк Хиджака. Не понимает он, когда программа запускается с параметрами.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Маленькая мелочь: LocalPage пишется раздельно.
Ну это я так написал.. если на то пошло, то Start Page тоже. форум же не по орфографии и грамматике
Спасибо всем за разъяснения. Был бы также весьма признателен, если б дали к.-н. информацию по поводу Windows Shell Open Commands (1й вопрос). Есть ли там спай или я зря волнуюсь?
Кроме аутпоста никто не ругается...Делал все по правилам
-
Сообщение от
M@xWell
Ну это я так написал.. если на то пошло, то Start Page тоже. форум же не по орфографии и грамматике
К моему величайшему сожалению LocalPage не находится в реестре, а Local Page - есть. В нашем деле каждый пробел важен.
Про scrfile: Я так думаю, что Винда при загрузке подставляет нестандартное значение, которое не нравится Outpost.
Можно при помощи Regmon посмотреть, кто пытается что-то менять.
Скачать можно с www.sysinternals.com
Последний раз редактировалось PavelA; 05.06.2007 в 13:43.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Между прочим, вы сами написали именно БЕЗ пробела:
ключик c LocalPage д.б. в реестре.
Я все таки сделал поправку на человеческий фактор (опечатка или лень лишний раз нажать пробел), а вот Вы почему то не берете сей факт к рассмотрению. И неужели я б не заметил, если б в списке ключей вместо LocalPage был бы Local Page?!
Сообщение от
PavelA
К моему величайшему сожалению LocalPage не находится в реестре, а Local Page - есть.
А к моему величайшему сожалению ни LocalPage, ни Local Page нету... я не просто так спрашиваю... Я-то его добавил, но интересно, почему его небыло, а HJ нашел??
-
Он не нашел, а просто отметил, что его нет. А по его данным должен быть обязательно.
по поводу пробелов: мир, дружба, кока-кола (или квас "Микола")
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Он не нашел, а просто отметил, что его нет. А по его данным должен быть обязательно.
Аа, вот где собака порылась!! Спасибо
Сообщение от
PavelA
по поводу пробелов
Согласен
Позволю себе еще раз напомнить (самому надоело, но хочется разобраться) об spyware, которого находит Outpost. Фишка вот в чем: я пользуюсь System mechanic 6, но он пользуется "услугами" других фаеров (в моем случае outpost). Когда я сканирую через SM, постоянно находит этот spyware. Просканировал отдельно Outpost'ом - вроде все ок (ну не все: нашел что-то, но совсем иное). Опять через SM - опять находит...
-
М.б. проблема в System mechanic, точнее в его базах спайваре.
http://www.google.ru/search?hl=ru&q=...ic+scrfile&lr=
- смотри, там много как раз по твоему вопросу. Гугл знает очень много.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-