» »

Regedit in brisanje ključa

Silvano ::

Na enem izmed računalnikov uporabljam AV Kaspersky. Zakaj ravno tega, nebi zdaj razlagal, tako pač je in tako mora biti (za enkrat ;) ),... Za surfanje uporabljam Mozillo. Inštaliran imam tudi Windows Internet Explorer 7. Operacijski sistem in vso programje JE LICENČNO.
Problem je pa nasledni: Vsake toliko časa se mi vklopi IE 7 in mi pač prikaže neke strani. Kaspersky sicer javi, da je zadevo preprečil, vendar se meni to nekak ne zdi, saj se IE7 odpre, čeprav ga sploh ne uporabljam. Javi pa mi, da je za zadevo "kriv" naslednji ključ:

C:\Program Files\Internet Explorer\iexplore.exe HKEY_USERS\S-1-5-21-1881698234-1796622633-1648912389-31520\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser ....(in potem vse kas se nahaja v tem ključu)

Zdaj me pa zanima, če lahko pobrišem vse zadeve, ki se pač nahajajo v omenjenem ključu.

BlackHole ::

Če nisi siguren, ga pač prej izvozi in si tako narediš backup. Potem pa ga komot zbrišeš.
LP Marko

Silvano ::

Sem zbrisal, vendar to ni to,... Še vedno enak problem,...

V glavnem, se mi IE odpre (in v njem seveda vedno neka starn), vedno, ko poženem Mozillo ali odprem nov zavihtek ali novo povezavo v Mozilli. Skratka zelo moteča zadeva.
Bi se mogoče dalo kako ugotoviti kateri program povzroča tovrstno vklaplanje IE-ja in posledično neke strani v samem IE-ju?
Počistil sem že register (CCleaner, Registry Mechanic), uninsalliral sem Mozillo in IE7, vendar se ni zgodilo nič. Poizkusil sem tudi s System Restore z datumom, ko je še vse normalno delovalo, pa še vedno nič,... ;((

Jakka ::

Poženi Spybot S&D, updejtan, pa povej kaj pove.

Izi ::

Narobe si se lotil zadeve. Zaenkrat pusti register čisto pri miru.
Staknil si črva in sedaj je prvi korak, da ga pravilno identificiraš.
Ker gre za črva ti antivirus program tukaj prav nič ne pomaga.
Kot je že Hundey omenil poženi nekaj najpogostejših programčkov za odkrivanje in odstranjevanje črvov in poglej kaj ti bodo našli. Ti programi so večinoma zastonj.
Mogoče ti ga bo celo kakšen program uspel odstraniti, če pa ne pa boš vsaj zvedel za kakšen črv gre.
Ko veš kaj te je napadlo pa na internetu poiščeš navodila za odstranjevanje dotičnega črva. Šele tukaj ponavadi pride na vrsto brisanje zadev v registru.

Zgodovina sprememb…

  • spremenil: Izi ()

Silvano ::

Spybot S&D ni našel nič,... Bo treba še z kakšnim drugim poizkusit.
Kakšen predlog bi mi prav prišel,... ;)

p.s.: kam se pa po navadi zajedo tile črvi, v register?

Zgodovina sprememb…

  • spremenil: Silvano ()

StratOS ::

Hja, iz registra je vidno, da gre za nekakšen toolbar v IE.
Torej če imaš default naštiman browing z FF in se ti odpira kdaj pa kdaj IE, torej mora obstajati kakšen starter, ki to zažene ali koda,program ki to sproži.

Priporočal bi ti pregled Addonov in BHO.
Zaženi Hijack This
Najbolje da postaš log programa na http://www.hijackthis.de/ in pregledaš situacijo ter popraviš možna nesoglasja z tem programom.

Črvi so programi, koda, skripti, torej nabor ukazov, ki je v večini zadolženi za širjenje.
Črv se direktno ne more naseliti v register v aktivni obliki, lahko le kot link, povezava do določenih programov, aktivnih serverjev ...

Poročaj.
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Jakka ::

Zanimivo, da Spybot ni pomagal. Log od HijackThis pa tudi sem prilepi. Da vidimo kaj ti sploh laufa.

Silvano ::

Evo, Logfile od HijackThis:
Meni je bol ali manj to španska vas ,... 8-O ;) ,...

-------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 7:25:24, on 22.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\EPLAN4\570sp1\Epl6000.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\sis\Desktop\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=...
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=...
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso...
O16 - DPF: {8BC53B30-32E4-4ED3-BEF9-DB761DB77453} (CInstallLPCtrl Object) - http://u3.sandisk.com/download/apps/LPI...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sar.intern
O17 - HKLM\Software\..\Telephony: DomainName = sar.intern
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sar.intern
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sar.intern
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kaspersky Network Agent (klnagent) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 5910 bytes

-------------------------------------------------------------

Silvano ::

Aha, mi je le nakak uspelo iz Kasperskega izvleči njegove " stare zapiske". Pravi pa, da imam Trojanca: Trojan.Win32.Agent.etb

Hm,... g.Google pa še ni preveč poučen o tej zadevi.
Bom še malo pobrskal. Če pa ima kdo kakšno rešitev, pa se priporočam,....

StratOS ::

A comp vezan na domeno ?
Čudno se mi zdi sar.intern kot domena ?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sar.intern
O17 - HKLM\Software\..\Telephony: DomainName = sar.intern
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sar.intern
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = sar.intern


Drugače ti pa priporočam še dodatnega checkerja :
Silent Runners skript
Ta ti bo našel vse startup programe, BHO-je, Shell objekte, aktivne servise, programske serverje , toolbarje ...
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Silvano ::

Ja, računalnik je v tej domeni,....

Drugače pa je trojanec : Trojan.Win32.Agent.efb, tako, da bo treba to nekak odstranit. Bom pa še pregledal s Silent Runners skript,...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kako odstraniti Winload.exe...

Oddelek: Pomoč in nasveti
151452 (1192) vratar
»

Kopiranje iber počasno

Oddelek: Pomoč in nasveti
161164 (846) brdi
»

Težave Firefox-om

Oddelek: Pomoč in nasveti
71095 (968) mikes
»

Trojan big problem:(

Oddelek: Strojna oprema
131950 (1743) mini-moris
»

Proxy trojanski konj

Oddelek: Pomoč in nasveti
141296 (1015) jan01

Več podobnih tem