Прилепилась гадская spyware

User avatar
Sabina
Уже с Приветом
Posts: 5669
Joined: 13 Oct 2000 09:01
Location: East Bay, CA

Прилепилась гадская spyware

Post by Sabina »

и никакие spybot-ы не помогают. Только из запущю, вроде находят что-то и через минуту опять полезли те же popups.

Может конечно на какие-то сайти одни и те же хожу и все это добро каждый раз цепляется, но тем не менее...
Не могли бы съевшие собаку на этом деле посомтреть что еще подкрутить

Это мои registry под Computer/HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
(Internet Optimizer and WebRebates уже оттуда убраны - не помогло :( )
Image

А вот что появляется в msinfo32
Image

Заранее thanks,
Sabina
Last edited by Sabina on 08 Jul 2004 06:12, edited 1 time in total.
BezKovshaPrishel
Уже с Приветом
Posts: 188
Joined: 02 Jul 2004 22:50
Location: ToЯonTo™, Canada

Post by BezKovshaPrishel »

IST - из регистра убрать
HTPatch - не уверен, в гугл
nwrkle.exe - чувствую, что-то неродное :)
User avatar
Sabina
Уже с Приветом
Posts: 5669
Joined: 13 Oct 2000 09:01
Location: East Bay, CA

Post by Sabina »

BezKovshaPrishel wrote:HTPatch - не уверен, в гугл


Оставляем похоже

BezKovshaPrishel wrote:nwrkle.exe - чувствую, что-то неродное


А это Гуголь не находить. Может в кауой виндовой документации можно на все "родное" посмотреть и методом исключения?

Сабина
google
Уже с Приветом
Posts: 136
Joined: 19 Mar 2003 11:18
Location: Moscow -> NYC ->CT

Re: Поилепилась гадская spyware

Post by google »

Sabina wrote:и никакие spybot-ы не помогают. Только из запущю, вроде находят что-то и через минуту опять полезли те же popups.
Заранее thanks,
Sabina

Не назову себя съевшим собаку, но занимался тем же не далее чем вчера
Я предпочитаю ad-aware http://www.lavasoftusa.com . Если регулярно обновлять базу, работает весьма эффективно. А помимо реестра интересно на список процессов в таск менеджере поглядеть, там обычно пара тех самых процессов и висит... По крайней мере, IST Service из Вашего реестра - это точно spyware...
User avatar
IA72
Уже с Приветом
Posts: 956
Joined: 04 Mar 2002 10:01

Post by IA72 »

Посмотри еще список BHO да и программы для запуска не только в CurrentVersion/Run можно запихнуть.
Запусти Spybot (ты ведь пользуешься правильным, Spybot Search & Destroy?), у него клоны есть злобные. В Advanced режиме посмотри полный отчет
User avatar
Sergunka
Уже с Приветом
Posts: 34164
Joined: 03 Dec 2000 10:01
Location: Vladivostok->San Francisco->Los Angeles->San Francisco

Post by Sergunka »

Stinger от Макафи попробуй
User avatar
Sabina
Уже с Приветом
Posts: 5669
Joined: 13 Oct 2000 09:01
Location: East Bay, CA

Post by Sabina »

IA72 wrote:Посмотри еще список BHO да и программы для запуска не только в CurrentVersion/Run можно запихнуть.
Запусти Spybot (ты ведь пользуешься правильным, Spybot Search & Destroy?), у него клоны есть злобные. В Advanced режиме посмотри полный отчет


Им самым. Он находит только SaveNow каждый раз. Я это дело чищу -и через минуту все взад возвращается. Вот и решилась руками по регистрам полезть. Вроде после удаления IST пока тихо :)

Сабина
Hamster
Уже с Приветом
Posts: 11475
Joined: 20 Nov 2000 10:01
Location: Escondido, CA

Post by Hamster »

nwrkle.exe это 99% что троян. Срочно лечить компьютер!

Посмотрите тут:
http://securityresponse.symantec.com/av ... .tool.html
MaxSt
Уже с Приветом
Posts: 21835
Joined: 11 Apr 1999 09:01
Location: RU

Post by MaxSt »

Sabina wrote:Я это дело чищу -и через минуту все взад возвращается.


Смотреть, что запусткается при старте, и соответственно чистить, надо не вручную, а при помощи утилитки Hijackthis.

После чистки не забудьте перезагрузиться.

MaxSt.
War does not determine who is right - only who is left.
User avatar
Sabina
Уже с Приветом
Posts: 5669
Joined: 13 Oct 2000 09:01
Location: East Bay, CA

Post by Sabina »

Hamster wrote:nwrkle.exe это 99% что троян. Срочно лечить компьютер!

Посмотрите тут:
http://securityresponse.symantec.com/av ... .tool.html


Откуда такая уверенность?
Я запустила тул по ссылке, ничего не нашел. PCcillin, который у меня установлен тоже постоянно virus definition обновляет и сканирует все подряд надо не надо. Думаете все равно прикупить еще Нортоновский сканер?

Сабина
User avatar
IA72
Уже с Приветом
Posts: 956
Joined: 04 Mar 2002 10:01

Post by IA72 »

Sabina wrote:
IA72 wrote:Посмотри еще список BHO да и программы для запуска не только в CurrentVersion/Run можно запихнуть.
Запусти Spybot (ты ведь пользуешься правильным, Spybot Search & Destroy?), у него клоны есть злобные. В Advanced режиме посмотри полный отчет


Им самым. Он находит только SaveNow каждый раз. Я это дело чищу -и через минуту все взад возвращается. Вот и решилась руками по регистрам полезть. Вроде после удаления IST пока тихо :)

Сабина


Судя по гуглу IST это порно-бар к эсплореру. Поэтому просто удалить ключик скорее всего мало будет, посмотри, что бы его не было в списке BHO и прочих плагинов.
User avatar
Sabina
Уже с Приветом
Posts: 5669
Joined: 13 Oct 2000 09:01
Location: East Bay, CA

Post by Sabina »

IA72 wrote:Судя по гуглу IST это порно-бар к эсплореру. Поэтому просто удалить ключик скорее всего мало будет, посмотри, что бы его не было в списке BHO и прочих плагинов.


Было такое дело, после того как я вместо sdforum.org забрела на sdforum.com :mrgreen:
Я тогда ее сразу деинсталлировала, в регистре видать она так и болталась.

Что-то все-таки странное происходит. Хоть совсем в Интернет не ходи. Запускаю Search и Destroy - находится этот SaveNow - HKEY_CLASSES_ROOT/wusn.1 и прочие куки и т.д.
Я все чищу, открываю опять эксплорер, снова окна валятся (Гугловский попап блокер стоит).
Запускаю Spybot - вижу ту же картину с SaveNow.

Может правда вирус какой :pain1: ?

Сабина
Hamster
Уже с Приветом
Posts: 11475
Joined: 20 Nov 2000 10:01
Location: Escondido, CA

Post by Hamster »

Sabina wrote:Откуда такая уверенность?
Я запустила тул по ссылке, ничего не нашел. PCcillin, который у меня установлен тоже постоянно virus definition обновляет и сканирует все подряд надо не надо. Думаете все равно прикупить еще Нортоновский сканер?
Сабина

Из-за названия файла и ключа. Положите где-нибудь этот файл, хоть здесь на форуме подвесьте. Посмотрю.
Покупать ничего не обязательно, там на сайте есть утилитка для удаления трояна W32.Korgo ( сейчас его эпидемия ).
User avatar
Sabina
Уже с Приветом
Posts: 5669
Joined: 13 Oct 2000 09:01
Location: East Bay, CA

Post by Sabina »

Hamster wrote:Покупать ничего не обязательно, там на сайте есть утилитка для удаления трояна W32.Korgo ( сейчас его эпидемия ).


Я же говорю, что прогнала эту утилиту. Ничего не нашлость :pain1:
А файл вот он

Сабина
Hamster
Уже с Приветом
Posts: 11475
Joined: 20 Nov 2000 10:01
Location: Escondido, CA

Post by Hamster »

0 bytes?

Return to “Вопросы и новости IT”