Backdoor Berbew -mato
|
|
Toymaatti
Senior Member
|
5. lokakuuta 2005 @ 18:16 |
Linkki tähän viestiin
|
Koitas auttaisko rekisterin siivous. Hae RegSeeker, scannaa ja anna poistaa kaikki löydöt(noin itse olen aina tehnyt, ja se tekee varmuuskopion poistoista)
http://www.hoverdesk.net/freeware.htm
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
LeLu10
Member
|
6. lokakuuta 2005 @ 04:43 |
Linkki tähän viestiin
|
No nyt on RegCleaner ajettu läpi. Pariin kertaan, ensimmäisellä kerralla löytöjä kun oli 517, toisella pari kymmentä ja kolmannellakin vielä kaksi... Toivottavasti käytin oikein, poistin kaiken mitä Clean The Regitry löysi. Toimiihan tuo kone ainakin ensisilmäyksellä kuten pitää.
Vaan AA löytää edelleen madon :/
Mikä tuo HKCU nyt oikein on? HKEY on jotain rekisteritiedostoja, sen verran olen tässä käsittänyt. Miten noihin pääsee suoraan käsiksi katselemaan mitä sieltä löytyy?
|
Säkäri
Suspended due to non-functional email address
|
6. lokakuuta 2005 @ 05:55 |
Linkki tähän viestiin
|
|
LeLu10
Member
|
6. lokakuuta 2005 @ 06:43 |
Linkki tähän viestiin
|
Exploreria olen tällä hetkellä pääsääntöisesti käyttänyt, Mozilla ei vain tuntunut oikealta... Vaan voisihan sitä tuotakin koettaa, että vaihtaisi selainta! Jospa nuo uusimmat päivitykset Mozillasta ovat parempia.
Luulisi, että tämä olisi yleisempi ongelma, jos vika on ainoastaan Explorerissa olevassa aukossa? Vai eikö kukaan muu ole ajanut tuota Adware Awayta koneellaan?
|
Toymaatti
Senior Member
|
6. lokakuuta 2005 @ 07:07 |
Linkki tähän viestiin
|
Taitaa tuo Adware Away olla aikas tuntematon suuruus, ainakin toistaiseksi.
Kokeillaas vielä näin. Käynnistä vikasietotilaan(paina F8 käynnistyksen aikana) ja tyhjennä tempit
Nuo alemmat kaikissa käyttäjätileissä
C:\Temp
C:\Windows\Prefetch
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Käyttäjä nimi\Local Settings\Temp
Scannaa AdwareAwaylla
Käynnistä normaalisti(kysyykö SpySweeper mitään?), sitten vain jännätään mitä tapahtuu :)
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
LeLu10
Member
|
6. lokakuuta 2005 @ 07:42 |
Linkki tähän viestiin
|
Nytpä jännittää vähän itseänikin...
Kone käynnistyi Järjestelmän määrityksiä kysellen, josta yleistä-välilehdeltä valitsin "normaali käynnistys". Tämä saattoi kyllä johtua myös siitä, että edellisellä käynnistyksellä poistin tuon PG:n käynnistyksen yhteydessä avattavista ohjelmista.
Nooh, kaikki kyseiset kansiot tyhjensin, jopa niistä netservice\localsettings\temp~1\content.ie5, tai jotain, -kansioista.
Spy sweeperin Startup Shield ilmoitti ensimmäisenä, että "Spy Sweeper has detected new programs that will start when windows starts."
Nero Check (C:\windows\system32\NeroCheck.exe)
InCD (C:\Program Files\Ahead\InCD\InCD.exe)
ATIPTA (C:Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe)
Vaihtoehtoja valittavaksi: Keep taikka Restore
Enpähän uskaltanut valita mitään. Järjestelmän määrityksetkset vaativat vielä parasta aikaa koneen uudelleen käynnistystä.
Ja AdwareAwayn tulos, yllätys yllätys: Backdoor Berbew löytyy edelleen koneelta.
|
Toymaatti
Senior Member
|
6. lokakuuta 2005 @ 08:09 |
Linkki tähän viestiin
|
Kyllä ne SpySweeperin ilmoittamat saa käynnistyä(tosin aika turhia kyllä ovat).
Stten koitetaan poistaa se suoraan rekisteristä :D
Otetaan ensin varmuuskopio ongelmien varalle.
>Käynnistä
>Suorita, (kirjoita) regedit
>OK
>Tiedosto
>Vie
>Varmista että tallennuspaikkana lukee TYÖPÖYTÄ ja kirjota alas TIEDOSTO-nimi kohtaan Rekisteri
>Tallenna
Nyt työpöydällä on Rekisteri-niminen kuvake ja sitä kun klikkaa hiirenvasemmalla ja
klikkaa > Kyllä, niin se palauttaa rekisterin kaikki tiedostot ennalleen.
Sitten tuplaklikkaile > HKEY_CURRENT_USER > Software\Microsoft\Internet Explorer,
klikkaa hiirenoikealla > Main Form ja valitse > POISTA. Sulje regedit.
Kyseleekö SpySweeper nyt mitään?
Ja taas jännätään :)
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
LeLu10
Member
|
6. lokakuuta 2005 @ 08:25 |
Linkki tähän viestiin
|
No nyt en IHAN vielä uskaltanut tuota tehdä, kun NIIN paljon jännittää ;)
Ei vaan, tuolta löytyi pelkästään kansio "Main", ei "Main Form". "Main"-kansiosta löytyy kyllä tuollainen tiedosto nimeltä "FormSuggest PW Ask", kyseessä oli siis kirjoitusvirheni, tarkistin asian uudesta AA:n skannauksesta. Sori.
Poistanko nyt varmasti koko kansion "Main" vai pelkästään tuon kyseisen tiedoston.
|
Zipp2
Member
|
6. lokakuuta 2005 @ 08:48 |
Linkki tähän viestiin
|
Mun mielestä anna niitten olla siellä,varmaan väärä hälytys Adware Awayltä.
|
Toymaatti
Senior Member
|
6. lokakuuta 2005 @ 09:34 |
Linkki tähän viestiin
|
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
LeLu10
Member
|
6. lokakuuta 2005 @ 10:57 |
Linkki tähän viestiin
|
Sweet jesus, noin paljon lontoota! Olo on kuin kirjoituksissa...
Nortonhan ei tuota löydä ja enkä ohjeiden mukaista {79FA9088-19CE-715D-D85A-216290C5B738}löytänyt minäkään sieltä missä sen pitäisi mukamas olla...
Tuohon virheeseen minäkin alan uskoa. Mutta kovasti kyllä kiinnostaisi, että mikä tuo FormSuggest PW Ask oikein on ja mistä se tulee? Ja voiko sen poistaa? Ja voiko sen koneelle tulemisen jotenkin estää?
Kyllä tää on niin jänskää, että kohta pissin housuuni. Taikka ammun reijän tämän rakkineen kylkeen.
|
AfterDawn Addict
|
6. lokakuuta 2005 @ 11:12 |
Linkki tähän viestiin
|
Tostahan on monta varianttia (A-T Symantecin sivujen mukaan), että jos siinä on "vika". Eli nuo ohjeet eivät ehkä päde kaikille niistä.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 6. lokakuuta 2005 @ 11:13
|
Zipp2
Member
|
6. lokakuuta 2005 @ 11:28 |
Linkki tähän viestiin
|
|
LeLu10
Member
|
6. lokakuuta 2005 @ 11:44 |
Linkki tähän viestiin
|
Tuo teksti FormSuggest PW Ask:sta selvensi asiaa minulle kummasti. Elikkäs kun minulla on siellä datana "no", ei selaimeni koskaan kysy salasanojen tallentamista, eikö vaan?
No nyt taas poistin AdwareAwaylla sen, ja se häivisikin rekisteristä. Mistä se sinne tulee uudestaan? Kävin tuossa parilla sivulla testaamassa, niin ei selain minulta salasanojen tallentamista kysy nytkään... Hmm...
Tulisimmeko siihen tulokseen, että kyseessä on siis virhe AdwareAwayssa? Nyt pitäisi olla joku toinenkin, joka on ko. ohjelmaa käyttänyt... Löytyykö samanlaisia kokemuksia?
Tai sitten on kuten -kemisti- sanoi: muut ohjelmat eivät vain sitä tunnista. Kummallista silloin, kuinka Nortonin palomuuri päästä madon koneelleni kerta toisensa jälkeen...
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 6. lokakuuta 2005 @ 11:45
|
Toymaatti
Senior Member
|
6. lokakuuta 2005 @ 14:11 |
Linkki tähän viestiin
|
Siis ollaanko me kokoajan jahdattu IE:n salasana asetuksen muutoksesta johtuvaa AA:n hälyytystä?
Winukkahan sen AA:lla poistetun sinne takaisin laittaa käynnistyessään.
Kokeillas mitä tuo vaikuttaa
Avaa IE > Työkalut > Internet-asetukset > Sisältöön liityvät asetukset > Automaattinen täydennys...
laita merkki muihin kolmeen mutta älä > Lomakkeet, kohtaan(näin pitäisi olla oletusasetus) > OK.
Eli nyt sen pitäisi kysyä tallennetaanko salasana.
Quote: Kyllä tää on niin jänskää, että kohta pissin housuuni
Jaa kohta? Minä olen jo kahdesti käynyt housupyykillä ja pian tulee lisää koskapa taas jännätään :D
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
AfterDawn Addict
|
6. lokakuuta 2005 @ 14:15 |
Linkki tähän viestiin
|
Quote: Siis ollaanko me kokoajan jahdattu IE:n salasana asetuksen muutoksesta johtuvaa AA:n hälyytystä?
Siltä se vähän vaikuttaa :P
Quote: Jaa kohta? Minä olen jo kahdesti käynyt housupyykillä ja pian tulee lisää koskapa taas jännätään :D
Kannattaisko hankkia jo suosiolla vaipat loppufixauksen ajaksi? ;)
|
Toymaatti
Senior Member
|
6. lokakuuta 2005 @ 14:47 |
Linkki tähän viestiin
|
Heh joo, mutta ei vaipasta ole mitään apua...enää. Nyt kyllä lähtee koko ukko liotukseen ja saunaan :)
Se parhaiten nauraa joka toiselle kuoppaa kaivaa.
|
Mainos
|
|
|
LeLu10
Member
|
6. lokakuuta 2005 @ 15:11 |
Linkki tähän viestiin
|
Ei herramunjee... Minähän se tuolla Explorerin asetuksissa kävin, asetukset olivat kuten pitää, mutta kuitenkin varanvuoksi laitoin rastin siihen lomakkeet ruutuun ja otin sitten taas pois. Vaan arvatkaapa mitä sanoo laatuohjelma Adware Away tästä minun tempauksestani?
"Found [4] Backdoor Berbew Objects"!!
-HKCU:\Software\Microsoft\Internet Explorer\Main\FormSuggest PW Ask
-HKCU:\Software\Microsoft\Internet Explorer\Main\FormSuggest Passwords
-HKCU:\Software\Microsoft\Internet Explorer\Main\Use FormSuggest
-HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete\AutoSuggest
Että näin. Mitä opimme tästä? En minä ainakaan varmaan yhtään mitään, mutta tulipahan rekisterikin puhdistettua ja housut kanssa.
Taitaa olla seuraavana ohjelmassa "AdwareAway -away"
Suurkiitos madon metsästykseen osallistuneille! Jälleen kerran, tuskin jää viimeiseksi. Vielä kun tuohon toiseenkin ongelmaan vastaus löytyisi, asiaan voi perehtyä täällä --> http://keskustelu.afterdawn.com/thread_view.cfm/240837
;)
|