Jump to content
IGNORED

Informatycy - pomóżcie wolfowi !


zyzio

Recommended Posts

Do wszystkich informatyków, a przede wszystkim guzii - pomóżcie wolfowi !

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Pewne kroki poczyniłem - ale tutaj chyba jest potrzebny plik naprawczy do rejestru - help !

Z góry dziękuję - kiedyś byłem w podobnej sytuacji i daliśmy wspólnie radę ! :)

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

>zyzio

Co moge jescze zdalnie polecić.....nie wiem czy to pomoże, ale zobacz...

Takie rzeczy lubią się instalować jako Java Scripts (pliki z rozszerzeniem.js).

Otworz rejestr i w kluczu:

 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

 

oraz (alias)

 

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

 

zobacz, czy nie startują z systemem podejrzane pliki.

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

Oczywiście ściezki wyglądaja jak niżej:

 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

 

oraz (alias)

 

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

Pod kluczami Run jest klucz RunOnce. Zobacz w nim.

Pliki ntbj32.exe oraz ntds32.exe są jakieś podejrzane.

 

Poniżej jest z innego forum rada (poszukaj jescze w Google):

 

/-----------------------

 

Please download Intermute's CWShredder from here:

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Save it to the desktop and run it, and click "Fix" to remove the CWS infection.

 

Then please download About:Buster from here:

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Unzip the files to a convenient location such as C:AboutBuster, and run AboutBuster.exe.

 

Read the instructions then click OK to proceed.

Click "Check for Updates", and then "Download Updates" to update About:Buster to the newest version.

Then click Start to begin the scan. If prompted to end the Explorer.exe process, click Yes.

Your desktop may disappear --- this is normal. Allow the program to scan twice, and when complete click "Save Log".

This will create a text file called "AB Logfile.txt" in the folder where About:Buster is saved.

Please post the entire contents of that logfile here for me.

Please also restart your computer and post a new HijackThis log.

 

/--------------------------

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

mialem kiedys to gowno na swoim kompie :) i z gory moge powiedziec ze latwo tego sie nie usunie, po kilku dniach meczenia sie z tym progralem i wywalaniem go na wszystkie sposoby udalo mi sie jakos go usunac ale nie do konca, zreszta poinstalowalem wtedy tyle programow do tepienia tego rodzajow plikow ze dalsze kozystanie z tego systemu okazalo sie niezbyt przyjemne, poprostu chyba usunalem za duzo potrzebnych plikow :), wiec najlepsza rada moze byc reinstal systemu i zajmie on naprawde mniej czasu niz bawienie sie s tym czyms no i to na tyle

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

Choć Informatykiem nie jestem:-) ale lubię czytać fora o tej tematyce :

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Może się na coś przyda;-)

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

>Bardini, 27 Gru 2005, 08:28

>Backup systemu to podstawowa sprawa

 

Masz racje, polecam dla windows robic tak:

Ustawic sobie partycje np. tak, C - system, D,E itp. programy/dane

Pozniej zrobic sobie jakims Ghostem (np. NortonGhost) obraz partycji systemowej, wrzucic na DVD, lub na dysk D (oczywiscie pamietajac o tym zeby na C nie trzymac danych a sam system). Dzieki temu w razie takiej sytuacji robimy format C i odtwarzamy C z obrazu :)

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

„Tak samo jak ludzie, Funky, bez żadnej różnicy” | VITUPERATIO STULTORUM LAUS EST

Link to comment
Share on other sites

Trzeba podjac radykalne działania, bo Wolfa trzeba prowadzic za rękę

z * => wywalić

 

*R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank

*R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R3 - Default URLSearchHook is missing

 

*O2 - BHO: Class - {4A97DE3D-EF0F-C750-1007-516E0CD9B571} - C:WINDOWSsystem32ipbs32.dll

*O4 - HKLM..Run: [AGRSMMSG] AGRSMMSG.exe

*O4 - HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"

O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe

O4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

O4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /tray

*O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"

*O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime

*O4 - HKLM..Run: [ntbj32.exe] C:WINDOWSntbj32.exe

*O4 - HKLM..Run: [netzu.exe] C:WINDOWSsystem32netzu.exe

*O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe

*O4 - Global Startup: BTTray.lnk = ?

*O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE

O4 - Global Startup: Mountit.lnk = C:Program FilesRoxioWinOnCD 6 PEMountIt.exe

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present

*O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

*O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

*!!!!!***O14 - IERESET.INF: START_PAGE_URL=http://proxy/edv/index.html

*O17 - HKLMSystemCCSServicesTcpipParameters: Domain = neu.drsn.biz

*O17 - HKLMSoftware..Telephony: DomainName = neu.drsn.biz

*O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = neu.drsn.biz

*O20 - Winlogon Notify: NavLogon - C:WINDOWSsystem32NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:WINDOWSsystem32Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:Program FilesWIDCOMMBluetooth Softwarebinbtwdins.exe

*O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe

*O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccPwdSvc.exe

*O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccSetMgr.exe

*O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:Program FilesSymantec AntiVirusDefWatch.exe

*O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:Program FilesiPodbiniPodService.exe

*O23 - Service: SAVRoam (SavRoam) - symantec - C:Program FilesSymantec AntiVirusSavRoam.exe

*O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedSNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

*O23 - Service: Symantec AntiVirus - Symantec Corporation - C:Program FilesSymantec AntiVirusRtvscan.exe

*O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:Program FilesRealVNCVNC4WinVNC4.exe" -service (file missing)

 

 

po kasowaniu uruchomic ponownie komputer

zainstalowac ponownie Nortona Symanteca

uruchomic komputer

uruchomic Hi-Jack This

wkleic raport

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

Japierdole... a slyszy sie ze Unixy sa zawile.......

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

„Tak samo jak ludzie, Funky, bez żadnej różnicy” | VITUPERATIO STULTORUM LAUS EST

Link to comment
Share on other sites

foxbat, 27 Gru 2005, 13:51

 

> a slyszy sie ze Unixy sa zawile.......

 

.... unixy są proste, natomiast programowanie grafiki wektorowej z renderingiem w c dla unixa używając jedynie "vi" to mogę powiedzieć, że dopiero robi się ciekawie ......

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

fajnie,

Zyzio poproś Wolfa aby nie łączył się z Netem w czasie tej procedury (najlepiej niech odepnie kabel lub kartę jak ma modem bezprzewodowy :))

a potem sciągnął i zainstalowal

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą ) albo Lavasoft Ad-Aware

i przeleciał system tym narzędziem, a potem napisz ile miał śmieci ...

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

>O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:Program FilesRealVNCVNC4WinVNC4.exe" -service

To samo z siebie instaluje VNC??

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

„Tak samo jak ludzie, Funky, bez żadnej różnicy” | VITUPERATIO STULTORUM LAUS EST

Link to comment
Share on other sites

próbuje inicjować, ale pewnie plik został usunięty

cały vic leży tu

O14 - IERESET.INF: START_PAGE_URL=http://proxy/edv/index.html

 

jest sobie pliczek iereset.inf

ustawia strone startowa na tą jak wyżej i tam już się dzieje (ja nie moge tam wejsc bo mam ustawiona restrykcje)

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

>W ogóle syfu w sieci panie co niemiara - coraz bardziej zmyślny i przebiegły i zawsze inny !

 

Racja panie ..... trzeba wiedzieć w co się klika ..........

lub to samo tylko inaczej :

trzeba być uświadomionym jak w sexie albo używasz sprawdzonych stron albo wchodzisz na nieznane z zabezpieczeniem.

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

Ad-Aware SE Build 1.06r1

Logfile Created on:27 grudnia 2005 15:22:01

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R82 19.12.2005

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch(TAC index:10):7 total references

MRU List(TAC index:0):10 total references

SearchClick(TAC index:10):7 total references

Tracking Cookie(TAC index:3):2 total references

Windows(TAC index:3):1 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

 

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

 

 

2005-12-27 15:22:01 - Scan started. (Full System Scan)

 

MRU List Object Recognized!

Location: : C:Documents and Settingsmlodabarrecent

Description : list of recently opened documents

 

 

MRU List Object Recognized!

Location: : softwaremicrosoftdirectdrawmostrecentapplication

Description : most recent application to use microsoft directdraw

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftdirectinputmostrecentapplication

Description : most recent application to use microsoft directinput

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftdirectinputmostrecentapplication

Description : most recent application to use microsoft directinput

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftinternet explorertypedurls

Description : list of recently entered addresses in microsoft internet explorer

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftwindowscurrentversionexplorercomdlg32lastvisitedmru

Description : list of recent programs opened

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftwindowscurrentversionexplorercomdlg32opensavemru

Description : list of recently saved files, stored according to file extension

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftwindowscurrentversionexplorerrecentdocs

Description : list of recent documents opened

 

 

MRU List Object Recognized!

Location: : .DEFAULTsoftwaremicrosoftwindows mediawmsdkgeneral

Description : windows media sdk

 

 

MRU List Object Recognized!

Location: : S-1-5-18softwaremicrosoftwindows mediawmsdkgeneral

Description : windows media sdk

 

 

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

#:1 [explorer.exe]

FilePath : C:WINDOWS

ProcessID : 1924

ThreadCreationTime : 2005-12-27 14:21:23

BasePriority : Normal

FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 6.00.2900.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Windows Explorer

InternalName : explorer

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : EXPLORER.EXE

 

#:2 [smax4pnp.exe]

FilePath : C:Program FilesAnalog DevicesSoundMAX

ProcessID : 828

ThreadCreationTime : 2005-12-27 14:21:30

BasePriority : Normal

FileVersion : 5, 0, 2, 2

ProductVersion : 5, 0, 2, 2

ProductName : SMax4PNP Application

CompanyName : Analog Devices, Inc.

FileDescription : SMax4PNP MFC Application

InternalName : SMax4PNP

LegalCopyright : Copyright © 2002-2004 Analog Devices

OriginalFilename : SMax4PNP.EXE

 

#:3 [smax4.exe]

FilePath : C:Program FilesAnalog DevicesSoundMAX

ProcessID : 840

ThreadCreationTime : 2005-12-27 14:21:31

BasePriority : Normal

FileVersion : 5, 0, 2, 6

ProductVersion : 5, 0, 2, 6

ProductName : SoundMAX Control Panel

CompanyName : Analog Devices, Inc.

FileDescription : SoundMAX Control Center

InternalName : SMax4

LegalCopyright : Copyright © 2002-2004, Analog Devices

OriginalFilename : SMax4.EXE

 

#:4 [netzu.exe]

FilePath : C:WINDOWSsystem32

ProcessID : 864

ThreadCreationTime : 2005-12-27 14:21:31

BasePriority : Normal

 

 

SearchClick Object Recognized!

Type : Process

Data : netzu.exe

TAC Rating : 10

Category : Malware

Comment : (CSI MATCH)

Object : C:WINDOWSsystem32

 

 

Warning! SearchClick Object found in memory(C:WINDOWSsystem32netzu.exe)

 

"C:WINDOWSsystem32netzu.exe"Process terminated successfully

"C:WINDOWSsystem32netzu.exe"Process terminated successfully

 

#:5 [atlbi.exe]

FilePath : C:WINDOWS

ProcessID : 1352

ThreadCreationTime : 2005-12-27 14:21:34

BasePriority : Normal

 

 

#:6 [userinit.exe]

FilePath : C:WINDOWSsystem32

ProcessID : 1568

ThreadCreationTime : 2005-12-27 14:21:35

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Userinit Logon Application

InternalName : userinit

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : USERINIT.EXE

 

#:7 [ad-aware.exe]

FilePath : C:Program FilesLavasoftAd-Aware SE Personal

ProcessID : 2108

ThreadCreationTime : 2005-12-27 14:21:48

BasePriority : Normal

FileVersion : 6.2.0.236

ProductVersion : SE 106

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft AB Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved

 

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 1

Objects found so far: 11

 

 

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

CoolWebSearch Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : clsid{676575dd-4d46-911d-8037-9b10d6ee8bb5}

 

Windows Object Recognized!

Type : RegData

Data :

TAC Rating : 3

Category : Vulnerability

Comment : Manual changing of browser start-page restricted

Rootkey : HKEY_USERS

Object : S-1-5-21-1301225425-336091757-1232828436-11521softwarepoliciesmicrosoftinternet explorercontrol panel

Value : Homepage

Data :

 

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 2

Objects found so far: 13

 

 

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 13

 

 

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : mlodabar@tradedoubler[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:1

Value : Cookie:[email protected]/

Expires : 2025-12-22 15:07:52

LastSync : Hits:1

UseCount : 0

Hits : 1

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : mlodabar@please[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:1

Value : Cookie:[email protected]/please/

Expires : 2006-11-25 15:05:44

LastSync : Hits:1

UseCount : 0

Hits : 1

 

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 2

Objects found so far: 15

 

 

 

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for C:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 15

 

 

Deep scanning and examining files (D:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for D:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 15

 

 

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

SearchClick Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallhsa

 

SearchClick Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallhsa

Value : UninstallString

 

SearchClick Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallse

 

SearchClick Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallse

Value : UninstallString

 

SearchClick Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallsw

 

SearchClick Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallsw

Value : UninstallString

 

CoolWebSearch Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftinternet explorerurlsearchhooks

 

CoolWebSearch Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CURRENT_USER

Object : softwaremicrosoftinternet explorersearch

Value : SearchAssistant

 

CoolWebSearch Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CURRENT_USER

Object : softwaremicrosoftinternet explorermain

Value : Search Bar

 

CoolWebSearch Object Recognized!

Type : RegData

Data : no

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CURRENT_USER

Object : softwaremicrosoftinternet explorermain

Value : Use Search Asst

Data : no

 

CoolWebSearch Object Recognized!

Type : RegData

Data : about:blank

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CURRENT_USER

Object : softwaremicrosoftinternet explorermain

Value : Start Page

Data : about:blank

 

CoolWebSearch Object Recognized!

Type : File

Data : 2.tmp

TAC Rating : 10

Category : Malware

Comment :

Object : C:DOCUME~1mlodabarLOCALS~1Temp

 

 

 

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 12

Objects found so far: 27

 

15:29:28 Scan Complete

 

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:07:27.483

Objects scanned:103135

Objects identified:17

Objects ignored:0

New critical objects:17

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:34:08, on 2005-12-27

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:WINDOWSExplorer.EXE

C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

C:Program FilesAnalog DevicesSoundMAXSmax4.exe

C:WINDOWSatlbi.exe

C:Program FilesInternet Exploreriexplore.exe

C:WINDOWSsystem32netzu.exe

C:totalcmdTOTALCMD.EXE

D:installhijackthis.com

 

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {DD3F3226-DC4D-6D02-9FF9-D05AE7EAF09A} - C:WINDOWSsystem32sdkrk32.dll

O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe

O4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

O4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /tray

O4 - HKLM..Run: [netzu.exe] C:WINDOWSsystem32netzu.exe

O4 - Global Startup: Mountit.lnk = C:Program FilesRoxioWinOnCD 6 PEMountIt.exe

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present

O14 - IERESET.INF: START_PAGE_URL=http://proxy/edv/index.html

O17 - HKLMSystemCCSServicesTcpipParameters: Domain = neu.drsn.biz

O17 - HKLMSoftware..Telephony: DomainName = neu.drsn.biz

O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = neu.drsn.biz

O20 - Winlogon Notify: NavLogon - C:WINDOWSsystem32NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:WINDOWSsystem32Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:Program FilesWIDCOMMBluetooth Softwarebinbtwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:Program FilesSymantec AntiVirusDefWatch.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:Program FilesiPodbiniPodService.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:Program FilesSymantec AntiVirusSavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedSNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:Program FilesSymantec AntiVirusRtvscan.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:Program FilesRealVNCVNC4WinVNC4.exe" -service (file missing)

 

Aha ten proxy to jest firmowy poprzez który z intranetu wychodzimy w siwat. Ale fakt 5 minut temy go wywaliłem a jest znowu zas w AdWare mialem jeden obiekt jest juz 17. W czasie operacji jestem odlaczony od netu

pozdr

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

Jak widac nowe syfki się pojawiają, ale jest chyba lepiej:

a co z tym ? :

C:WINDOWSsystem32xkeah.dll

C:WINDOWSsystem32sdkrk32.dll

C:WINDOWSsystem32NavLogon.dll

 

Ja bym toteż pozabijał - najlepiej killboxem :)

Jak widać syf zmyślny i trochę trzeba się pobawić.

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

xkeah.dll, sdkrk32.dll są nowe i zmieniają Internet Exploratora.

Dopóki nie wyplenimy tego gówna to tymczasowo można zainstalować i korzystać np z FireFoxa

Każde uruchomienie IE powoduje nową instalacje syfu a wszystko pobiera z pliku IERESET.INF czyli resetuje ustawienia IE i nadaje swoje.

>>Aha ten proxy to jest firmowy poprzez który z intranetu wychodzimy w siwat.

Może wasz firmowy serwer jest popśuty przez jakieś ścierwo. (tak tylko gdybam)

 

NavLogon.dll -> było do skasowania

 

Wolf sprawdz prosze FireFoxa

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

NavLogon.dll - to cholerstwo pewno puści dopiero na końcu, faktycznie syf ciężki, ale ja bym walczył do ostatniej kropli krwi :) Faktycznie zmiana przeglądarki to dobry pomysł ! Pragnę zauważyć, że wolf ma SP2 - znowu Bill się nie popisał.....robią go jak chcą, zresztą Nortona też, Noda 32 jest znacznie trudniej wymanewrować, poza tym non stop monituje infekcję, a Norton jak już coś wlezie nie widzi niczego - jakby był cichym wspólnikiem syfu :lol:

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

Norton to był dobry do wersji 4.0 (druga wersja pod windowsy) potem już klapa.

 

Aby nie leczyć dobrze jest zapobiegać - polecam stosować:

1. Adblock'a (z listą blokowanych stron + własna edycja np. na stronie Audiostereo można zablokować spokojnie 6 składników typu strona, skrypt, stat, itp i wszystko szybciej działa i nic się nie wciska na siłę, zero reklam)

2. Rezydenta SpyBoota (TeaTimer) blokuje ponad 8tyś sztuk znanego syfu

3. JavaScript Monitor (blokuje podejrzane skrypty sam decydujesz z jakich domen skrypt wykonac tymczasowo lub stale)

4. firewall (minimum systemowy)

5. antywirus (do wyboru)

 

w/w powinny działać non-stop z włączoną aktualizacją on-line.

 

Dodatkowo trochę innych narzędzi uruchamianych od czasu do czasu ...

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

Nie znam sie na Windowsach, czy praca na zwyklym userze np. w XP Pro czy win2k zamiast na administratorze daje wieksze poczucie bezpieczenstwa?

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

„Tak samo jak ludzie, Funky, bez żadnej różnicy” | VITUPERATIO STULTORUM LAUS EST

Link to comment
Share on other sites

foxbat, 28 Gru 2005, 10:32

 

>Nie znam sie na Windowsach, czy praca na zwyklym userze np. w XP Pro czy win2k zamiast na

>administratorze daje wieksze poczucie bezpieczenstwa?

 

to poczucie jest złudne

 

Jeżeli naprawde nie znasz się na Windowsach to pracuj na zwyklym userze z ograniczonymi prawami - bez prawa do instalacji softu.

Bezpieczeństwo wzrośnie jak dobrze skonfigurujesz konto admina.

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

guzia, nie pracuje na Windowsach :) tylko myslalem ze moze to komus pomoze :D

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

„Tak samo jak ludzie, Funky, bez żadnej różnicy” | VITUPERATIO STULTORUM LAUS EST

Link to comment
Share on other sites

wydaje mi sie ze to vx2 ale moge sie mylic...

6 h raz z nim walczylem ale ze zwyciestwem :)

troszke do poczytania i opis jak walczyc

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Hidden Content

    Give reaction or reply to this topic to see the hidden content.
Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )
Link to comment
Share on other sites

  • Pokaż nowe odpowiedzi
  • Archived

    This topic is now archived and is closed to further replies.

    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...

    Important Information

    We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

                      wykrzyknik.png

    AdBlock blocking software detected!


    Our website lives up to the displayed advertisements.
    The ads are thematically related to the site and are not bothersome.

    Please disable the AdBlock extension or blocking software while using the site.

     

    Registered users can disable this message.