Exploit- Jak usunąć?

No więc włazlem na tę stonę (83.17.39.210) nna której był server do ogame który działał! Ale podobno tam jest exploit i gość dostał bana. Wyslalem wszystko na chara kolegi i teraz moje pytanie. Jak go usunąć Skanuje wlasnie Spybot - Search & Destroy i Nortonem 2005 ale niewiem czy on go usunie.POMOCY!

@EDIT
Spybot przeskanował oto wynik i wszystko co wykrył zostało usuniete.

Odświerzam I PROSZE O POMOC!
@EDIT
Przeskanowalem spybotem jeszcze raz i znowu znalazl te same błędy i usunął -.-

[Parys]

Wyłącz przywracanie systemu, a potem wejdź do awaryjnego. Tam natomiast odpal Spybota i usuń pliki. Powinno je wywalić doszczętnie. Zrób jeszcze skan Hijackthis.

[--Cienius--]

jatez wszedel mna to gowno to moj log







Logfile of HijackThis v1.99.1
Scan saved at 20:14:47, on 2007-06-24
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
C:\Program Files\Alwil Software\Avast4\ashServ*****
C:\WINDOWS\system32\spoolsv*****
C:\WINDOWS\System32\nvsvc32*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Alwil Software\Avast4\ashWebSv*****
C:\Program Files\Alwil Software\Avast4\ashMaiSv*****
C:\WINDOWS\Explorer*****
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
D:\Program Files\Tibias\Tibia*****
C:\Program Files\Opera\Opera*****
D:\Program Files\HijackThis*****

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 8321783
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 91.90:321
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp*****
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock*****
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32***** C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - Global Startup: PGPtray.lnk = C:\Program Files\PGP\PGP602i\PGPtray*****
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/vi...an_unicode.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv*****
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ*****
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv*****" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv*****" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService*****
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32*****









Help pk?

Cytuj:

Oryginalnie napisane przez Parys

Wyłącz przywracanie systemu, a potem wejdź do awaryjnego. Tam natomiast odpal Spybota i usuń pliki. Powinno je wywalić doszczętnie. Zrób jeszcze skan Hijackthis.

To napewno wywali wszystkie keyloggery?

[Harpun]

Ściągnij sobie Link Scanner Pro i sprawdź adres stronki albo wejdź tutaj.

[Diego'Odin]

<double post>

[Diego'Odin]

log wygląda na czysty - ale zrob update do SP2 bo nawet wfm nie wytrzymasz...

btw exploita nie da się usunąć... On zwykle zasysa ci świństwo na kompa i odpala go. Jaką przeglądarke używasz?

@down
EXPLOITA nie wykryjesz zadnym hijackthis'em - to slrypt/aplikacja(?) która umozliwia sciagniecie i odpalenie jakiegos smiecia. tego smiecia dopiero da sie wykryc.

[--Cienius--]

Mój log right? moze tam nie bylo exploita tak btw to nawet fajne te gm takie szybkie ;D

Używam Firefoxa,mam servis packa2(czy jakos tak ) i mam wylaczone przywracanie systemu. Wlasnie sie skanuje nortonem 2005 i macze sie z hijackthis ,jak sie skonczy norton to daje na awaryjny (przy włączaniu kompa F9?) przeskanuje spybotem i chyba sciagne avasta tak dla pewnosci CHODZ. FIREFOX NIEPOWINNIEN EXPLOITA przepuscic.

Logfile of HijackThis v1.99.1
Scan saved at 20:18:12, on 2007-06-24
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Common Files\Symantec Shared\ccSetMgr*****
C:\Program Files\Common Files\Symantec Shared\SNDSrvc*****
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc*****
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr*****
C:\WINDOWS\system32\spoolsv*****
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc*****
F:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc*****
F:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor*****
F:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT*****
F:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB*****
F:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE*****
C:\WINDOWS\system32\svchost*****
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc*****
C:\WINDOWS\system32\WgaTray*****
C:\WINDOWS\Explorer*****
C:\Program Files\Common Files\InstallShield\UpdateService\issch*****
C:\Program Files\Common Files\Symantec Shared\ccApp*****
C:\WINDOWS\system32\ctfmon*****
C:\WINDOWS\system32\devldr32*****
F:\program files\steam\steam*****
F:\Program Files\Gadu-Gadu\gg*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Program Files\Common Files\Symantec Shared\Nmain*****
F:\PROGRA~1\NORTON~1\NORTON~3\navw32*****
F:\INSTALKI\HijackThis*****

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tibia.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\Program Files\TuxBox LogoViewer\MSDXM.OCX
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck*****
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm***** -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch*****" -start
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp*****"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon***** /Consumer
O4 - HKCU\..\Run: [CTFMON*****] C:\WINDOWS\system32\ctfmon*****
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype*****" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "f:\program files\steam\steam*****" -silent
O4 - HKCU\..\Run: [Gadu-Gadu] "F:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - Startup: UniSpiker-2.6.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA*****
O8 - Extra context menu item: Download with GetRight - F:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\Program Files\GetRight\GRbrowse.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E203EAFB-5853-41DD-A8EE-743E3ECBFCE0}: NameServer = 194.204.152.34,194.204.159.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr*****
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc*****
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr*****
O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc*****
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT*****
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1*****
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - F:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc*****
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - F:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor*****
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - F:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT*****
O23 - Service: SAVScan - Symantec Corporation - F:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan*****
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ*****
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc*****
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc*****
O23 - Service: Speed Disk service - Symantec Corporation - F:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB*****
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - F:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE*****
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc*****



Macie tu moj log .. Zaznaczyłem steam do wywalenie(przez niego sie w csa gra) ale on mi na stonce hijackthis.de powiedzial ze norton moze byc niebezpieczny ale nortona nieruszalem. Pomocy !

@EDIT

NORTON NIC NIEZNALAZL!

[Diego'Odin]

jak exploit pod firefoxa napisany to przepusci.. ale norton na aktualizacjach powinien miec sygnatury.

@log wyglada RACZEJ na czysty

No więc tak... Włączyłem spybota w trybie awaryjnym i nic nie znalazł!!!!!!!!!
A więc jak? Mogę już odetchnąć?Czy nadal jest szansa na hacka?Jakdotąd nikt na moje chary się nie lognoł..
Przeskanuje jeszcze Ad-Aware i się zobaczy.


Crtl+Alt+del screen moze ktos cos z tego wyczyta

[Uther92]

Dajcie loga z silent runners i gmer'a (opcja wykrywania rootkitów) i jak chcecie to jeszcze combofix, albo comboscan
A na przyszłość aktualizujcie system i przeglądarki.

Ad-Aware wykrył mi jakieś śmieci ale już usunął kilka i kilka na kwarantanne wzioł .Ściagam Avasta jak on niewykryje to chyba nic niewykryje ;s Dzieki za help ale potrzebuje was jeszcze

A tak najlepjej .. to niech ktoś sprawdzi czy na tej stronce co podalem wogóle jest exploit bo jak się okazało kolega który tam krzyknoł EXPLOI! Mowi tak
@ja nie wiem czy tam jest exploit
ale raczej tak

[Uther92]

@Up
Daj te logi to będzie wszystko podane jak na tacy
No chyba, że zawsze aktualizujesz system, to mogło po prostu nie przejść
@Edit
Who is...hackera:
IP address location & IP address info:
IP address: 83.17.39.210
IP country: Poland
IP address state: Lublin
IP address city: Pulawy
IP latitude: 51.416698
IP longitude: 21.966700
ISP: Polish Telecom
Organization: Static ip
Host: alj210.internetdsl.tpnet.pl
Local Time: 2007-06-24 21:10

Cytuj:

Oryginalnie napisane przez Uther92

@Up
Daj te logi to będzie wszystko podane jak na tacy
No chyba, że zawsze aktualizujesz system, to mogło po prostu nie przejść
@Edit
Who is...hackera:
IP address location & IP address info:
IP address: 83.17.39.210
IP country: Poland
IP address state: Lublin
IP address city: Pulawy
IP latitude: 51.416698
IP longitude: 21.966700
ISP: Polish Telecom
Organization: Static ip
Host: alj210.internetdsl.tpnet.pl
Local Time: 2007-06-24 21:10

Logi z czego? z Hijackthis? Ja jestem niestety newbie w keyloggerach ;s

[Uther92]

silent runners http://www.silentrunners.org/
gmer http://www.gmer.net/

Cytuj:

Oryginalnie napisane przez Uther92

silent runners http://www.silentrunners.org/
gmer http://www.gmer.net/

eeee... jakoś stronki niewygladaja zachęcająco zreszto niemoge pobrac bo mi wyskakują "chińskie znaczki"

[Uther92]

Stronki na 100% bezpieczne. A żeby pobrać klikasz ppm i zapisz element docelowy jako...