Ad-Aware

[Angel of Death]

Jak zobaczyłem ten temat jakoś mnie wzięło żeby przeskanowac system, co sie okazało ? 35 obiektów z tego 14 w rejestrze i 13 w C:\Windows ;o

[Hakuoh]

Cytuj:

Oryginalnie napisane przez Badzo

Mój ukochany brat, dostał na gg wiadomość, niby to od jakiejś laski, że chce pogadać. Był tam też link. No to on go otworzył. Jako że gg jest świetne pod tym względem, że wszelakie linki otwiera pod explorerem, zainstalowało się
Ad-aware nie pomagało, znalazło ok. 50 plików spyware, ale nadal to jest, Norton tez nie poomogł, tak samo mks online...

Omg...n/c. HijackThis naprawde pomoże.

[daroslaw]

Cytuj:

Oryginalnie napisane przez Hakuoh

Omg...n/c. HijackThis naprawde pomoże.

tylko trza wiedzieć ktore wpisy usunąć ^^

[Hakuoh]

Cytuj:

Oryginalnie napisane przez daroslaw

tylko trza wiedzieć ktore wpisy usunąć ^^

To żaden problem. Najlepiej usunąć na pierwszym miejscu wpisy które tyczą sie stron internetowych. Póżniej coś typy "Change" głównych stron internetowych. A zostawić te które są w antywirusach i częsciowo sterownikach. Oto przykład:
Te wpisy są używane do programów. Po czym można poznać? Albo po plikach albo po nazwach programów które sie używa.

[daroslaw]

up: ale niektore wpisy podszywaja sie pod zle wpisy(tzn prawie nie ma takiej mozliwosci lecz czasami sie to zdaza ;p). np sterowniki drukarki lexmark maja bardzo podejzane wpisy lecz sa dobre. Dobra koniec offtopa. A co tam z tym pulpitem badza? ;p
down: daje uciac glowe ze to nie to ;p

[Hakuoh]

MOŻLIWE: Właściwości pulpitu--> Pulpit --> Zmień tapete. Jeśli nie pomoże ... to nie wiem jak to zrobić innym sposobem.

[Badzo]

Od czasu do czasu to sie wlacza, ale juz tego napisu ze system jest zainfekowany nie ma... Tylko czasem paseczek sie wlacza, który wtryndzala sie wszedzie (czyt. nie mozna go zminimalizować).

Spróbuje jeszcze Spybot S&D, a jak nie pomoze to sciagne sobie tego hijackthis (? taj to sie nazywa?)

Cytuj:

A laczy sie toto z netem?

A bedzie to gdzies napisane?



#EDIT

Ten paseczek tez jest w aplikacjach, jako wpis "accces"


SPybot S&D nie działa...


#edit2
Bardzo wolno mi net chodzi... Próbuje tego hijackthis sciagnac, ale cos nie moge...

[Hakuoh]

Cytuj:

Oryginalnie napisane przez Badzo

Spróbuje jeszcze Spybot S&D, a jak nie pomoze to sciagne sobie tego hijackthis (? taj to sie nazywa?)

Spybot S&D po
1 - Mało pomoże bo i tak to sie spowrotem zainstalują SpyWare'y
2 - Pisze tam informacja "Używasz na własną odpowiedzialność"
3 - Znajduje niektóre potrzebne pliki. Znajdzie ci SVCHOST - Pod żadnym pozorem nie usuwaj go. Plik który jest odpowiedzialny za neta.

Tak a dokładnie HijackThis Ver.1.98.2

[daroslaw]

i daj tu loga lokniemy ;p
edit: otwierasz narzedzie, klikasz ok na te okienko co wyskoczy, i 1 przycisk od gory. na pulpicie( czy gdzie tam masz tego hijacka) pojawi ci się log tzn. plik tekstowy wklejasz go tutaj.
down: masz duuuuzo syfu ;p

[Badzo]

Logfile of HijackThis v1.99.1
Scan saved at 19:34:45, on 2005-09-24
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss*****
C:\WINDOWS\system32\winlogon*****
C:\WINDOWS\system32\services*****
C:\WINDOWS\system32\lsass*****
C:\WINDOWS\System32\Ati2evxx*****
C:\WINDOWS\system32\svchost*****
C:\WINDOWS\System32\svchost*****
C:\WINDOWS\system32\spoolsv*****
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr*****
C:\Program Files\Apache Group\Apache\Apache*****
C:\mysql\bin\mysqld-nt*****
C:\Program Files\Norton AntiVirus\navapsvc*****
C:\PROGRA~1\NORTON~1\AdvTools\NPROTECT*****
C:\WINDOWS\System32\iexplore*****
C:\WINDOWS\Explorer*****
C:\Program Files\Apache Group\Apache\Apache*****
C:\WINDOWS\system32\ras\explorer*****
C:\WINDOWS\System32\svchost*****
C:\Program Files\Java\jre1.5.0_02\bin\jusched*****
C:\WINDOWS\SOUNDMAN*****
C:\Program Files\Common Files\Symantec Shared\ccApp*****
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx*****
C:\WINDOWS\System32\rundll32*****
C:\Program Files\Kjerh\Uyyk*****
C:\PROGRA~1\BUTTER~1\BO1HEL~1*****
C:\Program Files\SurfAccuracy\SAcc*****
C:\WINDOWS\System32\paytime*****
C:\WINDOWS\System32\combop*****
C:\WINDOWS\System32\combo*****
C:\Program Files\Messenger\msmsgs*****
C:\WINDOWS\System32\paytime*****
C:\Program Files\ACD Systems\ACDSee\ACDSee*****
C:\Program Files\Winamp\Winamp*****
C:\Program Files\Mozilla Firefox\firefox*****
C:\Program Files\Gadu-Gadu\gg*****
C:\WINDOWS\System32\taskmgr*****
C:\Documents and Settings\Admin\Pulpit\hijackthis\HijackThis*****

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched*****
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN*****
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp*****"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy*****"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK*****
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx*****
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck*****
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon*****" -lang 1033
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids*****
O4 - HKLM\..\Run: [Maygqxi] C:\Program Files\Kjerh\Uyyk*****
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon*****
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt*****
O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1***** /partner BO1
O4 - HKLM\..\Run: [Windows Cache Loader] c:\cache*****
O4 - HKLM\..\Run: [microsft Updates] msupdate32*****
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc*****
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms*****
O4 - HKLM\..\Run: [Services] C:\WINDOWS\services***** $
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime*****
O4 - HKLM\..\Run: [combop*****] combop*****
O4 - HKLM\..\Run: [combo*****] combo*****
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc*****
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32*****
O4 - HKLM\..\RunOnce: [Panda_cleaner_183997] C:\WINDOWS\System32\ActiveScan\pavdr***** 183997
O4 - HKLM\..\RunOnce: [Panda_cleaner_209913] C:\WINDOWS\System32\ActiveScan\pavdr***** 209913
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs*****" /background
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen*****
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype*****" /nosplash /minimized
O4 - HKCU\..\Run: [WITaj!] rem -- Anulowane uruchamianie programu WITaj! 2000
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg*****" /tray
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001*****"
O4 - HKCU\..\Run: [Windows installer] C:\winstall*****
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime*****
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2*****
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff*****
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire*****
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9*****
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT*****
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget*****
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget*****
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O23 - Service: Apache - Unknown owner - C:\Program Files\Apache Group\Apache\Apache*****" --ntservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx*****
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag*****
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr*****
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc*****
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT*****
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt (file missing)
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc*****
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\AdvTools\NPROTECT*****
O23 - Service: QoS Provider (qosprv) - Unknown owner - C:\WINDOWS\System32\iexplore*****" -netsvcs (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\ras\explorer*****" /service (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ*****
O23 - Service: Smart Card Updater (SCardUpd) - Unknown owner - C:\WINDOWS\system32\scardupd***** (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc*****
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC*****

[daroslaw]

wejdz w tryb awaryjny i usun to w hijacku(napewno bedzie wiecej, ale narazie zobaczmy to):

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids*****
O23 - Service: Smart Card Updater (SCardUpd) - Unknown owner - C:\WINDOWS\system32\scardupd***** (file missing)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
O23 - Service: Apache - Unknown owner - C:\Program Files\Apache Group\Apache\Apache*****" --ntservice (file missing)
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt (file missing)

[Cafe]

start>uruchom>msconfig zakladka uruchomiania, i poszukaj podejzanych procesów odznacz je uruchom ponownie komputer, napisz czy pomogło

[Badzo]

Dobra, wielkie dzięki wszystkim za pomoc, ale pomoze chyba tylko format...Zazwyczaj połączeń z netem miałem ok. 20, teraz mam 150~ O_o I tak niedługo miałem mieć reinstala windowsa, wiec nic sie nie stanie...

bTW.
Chyba ten szit chciał mi w rejestrze pogrzebać:





@down

Ale jak, usunąć przez shift+delete?

[Matek]

TO nie jest odpowiednie forum, ale niech bedzie

Wywal te pliczki:

C:\WINDOWS\System32\iexplore*****
C:\WINDOWS\system32\ras\explorer***** (z tym nie jestem pewny - moze to dobre, ale dla mnie lekko podejrzanie wyglada)
C:\Program Files\Kjerh\Uyyk***** (jak to nie jest jakas smieszna nazwa dla gry tez wy***)
C:\WINDOWS\System32\paytime*****
C:\WINDOWS\System32\combop*****
C:\WINDOWS\System32\combo***** (te dwa to wirusy - az dziw mnie bierze, ze ich AV nie wykryl. Skanowales?)

nastepnie usun te wpisy:

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids*****
O4 - HKLM\..\Run: [Maygqxi] C:\Program Files\Kjerh\Uyyk*****
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime*****
O4 - HKLM\..\Run: [combop*****] combop*****
O4 - HKLM\..\Run: [combo*****] combo*****
o te wpisy co wczesniej byly poza Apachem.

Wywal WSZYSTKO co ci pokazalem, uaktualnij baze antywirusa, uruchom system w trybie awaryjnym, przeskanuj AV, wywal wszystko co wykryje, zrob loga HT i daj tutaj. Zobaczymy co z tego wyjdzie.

@up: albo w trybie awaryjnym, ale HT zaznacz ptaszkami te wpisy i kliknij Fix. Daj potem loga, ja lece pobiegac

[Badzo]

Sciagnalem avasta...

uyyk***** - trojan
był drugi taki sam...


Wykrył wirusa w pamieci operacyjnej... Robie restart i niech avast działa


EDIT
OMFG, łącznie było ok. 30 trojanów... Dobry avast


co to moze być?







SECOND



Combo to był ten wirus co mówił Matek... Ale o co z tym chodzi?



EDIT2
Dzisiaj doszedłęm do wnoisku, że Windows SUX!!!! Przenosze sie na linuxa...

NARA