Informatycy - pomóżcie wolfowi !

[zyzio]

Do wszystkich informatyków, a przede wszystkim guzii - pomóżcie wolfowi !

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Pewne kroki poczyniłem - ale tutaj chyba jest potrzebny plik naprawczy do rejestru - help !

Z góry dziękuję - kiedyś byłem w podobnej sytuacji i daliśmy wspólnie radę ! :)

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[Bardini]

>zyzio

Co moge jescze zdalnie polecić.....nie wiem czy to pomoże, ale zobacz...

Takie rzeczy lubią się instalować jako Java Scripts (pliki z rozszerzeniem.js).

Otworz rejestr i w kluczu:

 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

 

oraz (alias)

 

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

 

zobacz, czy nie startują z systemem podejrzane pliki.

[Bardini]

Oczywiście ściezki wyglądaja jak niżej:

 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

 

oraz (alias)

 

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

[Bardini]

Pod kluczami Run jest klucz RunOnce. Zobacz w nim.

Pliki ntbj32.exe oraz ntds32.exe są jakieś podejrzane.

 

Poniżej jest z innego forum rada (poszukaj jescze w Google):

 

/-----------------------

 

Please download Intermute's CWShredder from here:

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Save it to the desktop and run it, and click "Fix" to remove the CWS infection.

 

Then please download About:Buster from here:

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Unzip the files to a convenient location such as C:AboutBuster, and run AboutBuster.exe.

 

Read the instructions then click OK to proceed.

Click "Check for Updates", and then "Download Updates" to update About:Buster to the newest version.

Then click Start to begin the scan. If prompted to end the Explorer.exe process, click Yes.

Your desktop may disappear --- this is normal. Allow the program to scan twice, and when complete click "Save Log".

This will create a text file called "AB Logfile.txt" in the folder where About:Buster is saved.

Please post the entire contents of that logfile here for me.

Please also restart your computer and post a new HijackThis log.

 

/--------------------------

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[stefan^]

mialem kiedys to gowno na swoim kompie :) i z gory moge powiedziec ze latwo tego sie nie usunie, po kilku dniach meczenia sie z tym progralem i wywalaniem go na wszystkie sposoby udalo mi sie jakos go usunac ale nie do konca, zreszta poinstalowalem wtedy tyle programow do tepienia tego rodzajow plikow ze dalsze kozystanie z tego systemu okazalo sie niezbyt przyjemne, poprostu chyba usunalem za duzo potrzebnych plikow :), wiec najlepsza rada moze byc reinstal systemu i zajmie on naprawde mniej czasu niz bawienie sie s tym czyms no i to na tyle

[bitrate]

Choć Informatykiem nie jestem:-) ale lubię czytać fora o tej tematyce :

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Może się na coś przyda;-)

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[Bardini]

Backup systemu to podstawowa sprawa

[foxbat]

>Bardini, 27 Gru 2005, 08:28

>Backup systemu to podstawowa sprawa

 

Masz racje, polecam dla windows robic tak:

Ustawic sobie partycje np. tak, C - system, D,E itp. programy/dane

Pozniej zrobic sobie jakims Ghostem (np. NortonGhost) obraz partycji systemowej, wrzucic na DVD, lub na dysk D (oczywiscie pamietajac o tym zeby na C nie trzymac danych a sam system). Dzieki temu w razie takiej sytuacji robimy format C i odtwarzamy C z obrazu :)

[guzia]

Trzeba podjac radykalne działania, bo Wolfa trzeba prowadzic za rękę

z * => wywalić

 

*R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank

*R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystem32afgcw.dll/sp.html#36663%resultposition.net

*R3 - Default URLSearchHook is missing

 

*O2 - BHO: Class - {4A97DE3D-EF0F-C750-1007-516E0CD9B571} - C:WINDOWSsystem32ipbs32.dll

*O4 - HKLM..Run: [AGRSMMSG] AGRSMMSG.exe

*O4 - HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"

O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe

O4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

O4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /tray

*O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"

*O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime

*O4 - HKLM..Run: [ntbj32.exe] C:WINDOWSntbj32.exe

*O4 - HKLM..Run: [netzu.exe] C:WINDOWSsystem32netzu.exe

*O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe

*O4 - Global Startup: BTTray.lnk = ?

*O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE

O4 - Global Startup: Mountit.lnk = C:Program FilesRoxioWinOnCD 6 PEMountIt.exe

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present

*O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

*O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

*!!!!!***O14 - IERESET.INF: START_PAGE_URL=http://proxy/edv/index.html

*O17 - HKLMSystemCCSServicesTcpipParameters: Domain = neu.drsn.biz

*O17 - HKLMSoftware..Telephony: DomainName = neu.drsn.biz

*O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = neu.drsn.biz

*O20 - Winlogon Notify: NavLogon - C:WINDOWSsystem32NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:WINDOWSsystem32Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:Program FilesWIDCOMMBluetooth Softwarebinbtwdins.exe

*O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe

*O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccPwdSvc.exe

*O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccSetMgr.exe

*O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:Program FilesSymantec AntiVirusDefWatch.exe

*O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:Program FilesiPodbiniPodService.exe

*O23 - Service: SAVRoam (SavRoam) - symantec - C:Program FilesSymantec AntiVirusSavRoam.exe

*O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedSNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

*O23 - Service: Symantec AntiVirus - Symantec Corporation - C:Program FilesSymantec AntiVirusRtvscan.exe

*O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:Program FilesRealVNCVNC4WinVNC4.exe" -service (file missing)

 

 

po kasowaniu uruchomic ponownie komputer

zainstalowac ponownie Nortona Symanteca

uruchomic komputer

uruchomic Hi-Jack This

wkleic raport

[foxbat]

Japierdole... a slyszy sie ze Unixy sa zawile.......

[guzia]

foxbat, 27 Gru 2005, 13:51

 

> a slyszy sie ze Unixy sa zawile.......

 

.... unixy są proste, natomiast programowanie grafiki wektorowej z renderingiem w c dla unixa używając jedynie "vi" to mogę powiedzieć, że dopiero robi się ciekawie ......

[foxbat]

szanuje vi, nie raz mi dupe uratowalo ;)

[guzia]

fajnie,

Zyzio poproś Wolfa aby nie łączył się z Netem w czasie tej procedury (najlepiej niech odepnie kabel lub kartę jak ma modem bezprzewodowy :))

a potem sciągnął i zainstalowal

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą ) albo Lavasoft Ad-Aware

i przeleciał system tym narzędziem, a potem napisz ile miał śmieci ...

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[zyzio]

=> guzia

Ok, dzięki bardzo - zobaczymy jak sobie poradzi.

[foxbat]

>O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:Program FilesRealVNCVNC4WinVNC4.exe" -service

To samo z siebie instaluje VNC??

[guzia]

próbuje inicjować, ale pewnie plik został usunięty

cały vic leży tu

O14 - IERESET.INF: START_PAGE_URL=http://proxy/edv/index.html

 

jest sobie pliczek iereset.inf

ustawia strone startowa na tą jak wyżej i tam już się dzieje (ja nie moge tam wejsc bo mam ustawiona restrykcje)

[zyzio]

W ogóle syfu w sieci panie co niemiara - coraz bardziej zmyślny i przebiegły i zawsze inny !

[guzia]

>W ogóle syfu w sieci panie co niemiara - coraz bardziej zmyślny i przebiegły i zawsze inny !

 

Racja panie ..... trzeba wiedzieć w co się klika ..........

lub to samo tylko inaczej :

trzeba być uświadomionym jak w sexie albo używasz sprawdzonych stron albo wchodzisz na nieznane z zabezpieczeniem.

[foxbat]

Albo uzywasz do internetu innego OS'a...

[wolf]

Ad-Aware SE Build 1.06r1

Logfile Created on:27 grudnia 2005 15:22:01

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R82 19.12.2005

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch(TAC index:10):7 total references

MRU List(TAC index:0):10 total references

SearchClick(TAC index:10):7 total references

Tracking Cookie(TAC index:3):2 total references

Windows(TAC index:3):1 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

 

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

 

 

2005-12-27 15:22:01 - Scan started. (Full System Scan)

 

MRU List Object Recognized!

Location: : C:Documents and Settingsmlodabarrecent

Description : list of recently opened documents

 

 

MRU List Object Recognized!

Location: : softwaremicrosoftdirectdrawmostrecentapplication

Description : most recent application to use microsoft directdraw

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftdirectinputmostrecentapplication

Description : most recent application to use microsoft directinput

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftdirectinputmostrecentapplication

Description : most recent application to use microsoft directinput

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftinternet explorertypedurls

Description : list of recently entered addresses in microsoft internet explorer

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftwindowscurrentversionexplorercomdlg32lastvisitedmru

Description : list of recent programs opened

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftwindowscurrentversionexplorercomdlg32opensavemru

Description : list of recently saved files, stored according to file extension

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1301225425-336091757-1232828436-11521softwaremicrosoftwindowscurrentversionexplorerrecentdocs

Description : list of recent documents opened

 

 

MRU List Object Recognized!

Location: : .DEFAULTsoftwaremicrosoftwindows mediawmsdkgeneral

Description : windows media sdk

 

 

MRU List Object Recognized!

Location: : S-1-5-18softwaremicrosoftwindows mediawmsdkgeneral

Description : windows media sdk

 

 

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

#:1 [explorer.exe]

FilePath : C:WINDOWS

ProcessID : 1924

ThreadCreationTime : 2005-12-27 14:21:23

BasePriority : Normal

FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 6.00.2900.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Windows Explorer

InternalName : explorer

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : EXPLORER.EXE

 

#:2 [smax4pnp.exe]

FilePath : C:Program FilesAnalog DevicesSoundMAX

ProcessID : 828

ThreadCreationTime : 2005-12-27 14:21:30

BasePriority : Normal

FileVersion : 5, 0, 2, 2

ProductVersion : 5, 0, 2, 2

ProductName : SMax4PNP Application

CompanyName : Analog Devices, Inc.

FileDescription : SMax4PNP MFC Application

InternalName : SMax4PNP

LegalCopyright : Copyright © 2002-2004 Analog Devices

OriginalFilename : SMax4PNP.EXE

 

#:3 [smax4.exe]

FilePath : C:Program FilesAnalog DevicesSoundMAX

ProcessID : 840

ThreadCreationTime : 2005-12-27 14:21:31

BasePriority : Normal

FileVersion : 5, 0, 2, 6

ProductVersion : 5, 0, 2, 6

ProductName : SoundMAX Control Panel

CompanyName : Analog Devices, Inc.

FileDescription : SoundMAX Control Center

InternalName : SMax4

LegalCopyright : Copyright © 2002-2004, Analog Devices

OriginalFilename : SMax4.EXE

 

#:4 [netzu.exe]

FilePath : C:WINDOWSsystem32

ProcessID : 864

ThreadCreationTime : 2005-12-27 14:21:31

BasePriority : Normal

 

 

SearchClick Object Recognized!

Type : Process

Data : netzu.exe

TAC Rating : 10

Category : Malware

Comment : (CSI MATCH)

Object : C:WINDOWSsystem32

 

 

Warning! SearchClick Object found in memory(C:WINDOWSsystem32netzu.exe)

 

"C:WINDOWSsystem32netzu.exe"Process terminated successfully

"C:WINDOWSsystem32netzu.exe"Process terminated successfully

 

#:5 [atlbi.exe]

FilePath : C:WINDOWS

ProcessID : 1352

ThreadCreationTime : 2005-12-27 14:21:34

BasePriority : Normal

 

 

#:6 [userinit.exe]

FilePath : C:WINDOWSsystem32

ProcessID : 1568

ThreadCreationTime : 2005-12-27 14:21:35

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Userinit Logon Application

InternalName : userinit

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : USERINIT.EXE

 

#:7 [ad-aware.exe]

FilePath : C:Program FilesLavasoftAd-Aware SE Personal

ProcessID : 2108

ThreadCreationTime : 2005-12-27 14:21:48

BasePriority : Normal

FileVersion : 6.2.0.236

ProductVersion : SE 106

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft AB Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved

 

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 1

Objects found so far: 11

 

 

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

CoolWebSearch Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CLASSES_ROOT

Object : clsid{676575dd-4d46-911d-8037-9b10d6ee8bb5}

 

Windows Object Recognized!

Type : RegData

Data :

TAC Rating : 3

Category : Vulnerability

Comment : Manual changing of browser start-page restricted

Rootkey : HKEY_USERS

Object : S-1-5-21-1301225425-336091757-1232828436-11521softwarepoliciesmicrosoftinternet explorercontrol panel

Value : Homepage

Data :

 

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 2

Objects found so far: 13

 

 

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 13

 

 

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : mlodabar@tradedoubler[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:1

Value : Cookie:[email protected]/

Expires : 2025-12-22 15:07:52

LastSync : Hits:1

UseCount : 0

Hits : 1

 

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : mlodabar@please[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:1

Value : Cookie:[email protected]/please/

Expires : 2006-11-25 15:05:44

LastSync : Hits:1

UseCount : 0

Hits : 1

 

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 2

Objects found so far: 15

 

 

 

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for C:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 15

 

 

Deep scanning and examining files (D:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for D:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 15

 

 

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

SearchClick Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallhsa

 

SearchClick Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallhsa

Value : UninstallString

 

SearchClick Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallse

 

SearchClick Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallse

Value : UninstallString

 

SearchClick Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallsw

 

SearchClick Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftwindowscurrentversionuninstallsw

Value : UninstallString

 

CoolWebSearch Object Recognized!

Type : Regkey

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_LOCAL_MACHINE

Object : softwaremicrosoftinternet explorerurlsearchhooks

 

CoolWebSearch Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CURRENT_USER

Object : softwaremicrosoftinternet explorersearch

Value : SearchAssistant

 

CoolWebSearch Object Recognized!

Type : RegValue

Data :

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CURRENT_USER

Object : softwaremicrosoftinternet explorermain

Value : Search Bar

 

CoolWebSearch Object Recognized!

Type : RegData

Data : no

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CURRENT_USER

Object : softwaremicrosoftinternet explorermain

Value : Use Search Asst

Data : no

 

CoolWebSearch Object Recognized!

Type : RegData

Data : about:blank

TAC Rating : 10

Category : Malware

Comment :

Rootkey : HKEY_CURRENT_USER

Object : softwaremicrosoftinternet explorermain

Value : Start Page

Data : about:blank

 

CoolWebSearch Object Recognized!

Type : File

Data : 2.tmp

TAC Rating : 10

Category : Malware

Comment :

Object : C:DOCUME~1mlodabarLOCALS~1Temp

 

 

 

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 12

Objects found so far: 27

 

15:29:28 Scan Complete

 

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:07:27.483

Objects scanned:103135

Objects identified:17

Objects ignored:0

New critical objects:17

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:34:08, on 2005-12-27

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:WINDOWSExplorer.EXE

C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

C:Program FilesAnalog DevicesSoundMAXSmax4.exe

C:WINDOWSatlbi.exe

C:Program FilesInternet Exploreriexplore.exe

C:WINDOWSsystem32netzu.exe

C:totalcmdTOTALCMD.EXE

D:installhijackthis.com

 

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystem32xkeah.dll/sp.html#36663%

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {DD3F3226-DC4D-6D02-9FF9-D05AE7EAF09A} - C:WINDOWSsystem32sdkrk32.dll

O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe

O4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

O4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /tray

O4 - HKLM..Run: [netzu.exe] C:WINDOWSsystem32netzu.exe

O4 - Global Startup: Mountit.lnk = C:Program FilesRoxioWinOnCD 6 PEMountIt.exe

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present

O14 - IERESET.INF: START_PAGE_URL=http://proxy/edv/index.html

O17 - HKLMSystemCCSServicesTcpipParameters: Domain = neu.drsn.biz

O17 - HKLMSoftware..Telephony: DomainName = neu.drsn.biz

O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = neu.drsn.biz

O20 - Winlogon Notify: NavLogon - C:WINDOWSsystem32NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:WINDOWSsystem32Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:Program FilesWIDCOMMBluetooth Softwarebinbtwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:Program FilesSymantec AntiVirusDefWatch.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:Program FilesiPodbiniPodService.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:Program FilesSymantec AntiVirusSavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:Program FilesCommon FilesSymantec SharedSNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:Program FilesSymantec AntiVirusRtvscan.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:Program FilesRealVNCVNC4WinVNC4.exe" -service (file missing)

 

Aha ten proxy to jest firmowy poprzez który z intranetu wychodzimy w siwat. Ale fakt 5 minut temy go wywaliłem a jest znowu zas w AdWare mialem jeden obiekt jest juz 17. W czasie operacji jestem odlaczony od netu

pozdr

[guzia]

znajdz na dysku netzu.exe (Malware) i atlbi.exe (Trojan) i wykasuj je

[zyzio]

Jak widac nowe syfki się pojawiają, ale jest chyba lepiej:

a co z tym ? :

C:WINDOWSsystem32xkeah.dll

C:WINDOWSsystem32sdkrk32.dll

C:WINDOWSsystem32NavLogon.dll

 

Ja bym toteż pozabijał - najlepiej killboxem :)

Jak widać syf zmyślny i trochę trzeba się pobawić.

[guzia]

xkeah.dll, sdkrk32.dll są nowe i zmieniają Internet Exploratora.

Dopóki nie wyplenimy tego gówna to tymczasowo można zainstalować i korzystać np z FireFoxa

Każde uruchomienie IE powoduje nową instalacje syfu a wszystko pobiera z pliku IERESET.INF czyli resetuje ustawienia IE i nadaje swoje.

>>Aha ten proxy to jest firmowy poprzez który z intranetu wychodzimy w siwat.

Może wasz firmowy serwer jest popśuty przez jakieś ścierwo. (tak tylko gdybam)

 

NavLogon.dll -> było do skasowania

 

Wolf sprawdz prosze FireFoxa

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

[zyzio]

NavLogon.dll - to cholerstwo pewno puści dopiero na końcu, faktycznie syf ciężki, ale ja bym walczył do ostatniej kropli krwi :) Faktycznie zmiana przeglądarki to dobry pomysł ! Pragnę zauważyć, że wolf ma SP2 - znowu Bill się nie popisał.....robią go jak chcą, zresztą Nortona też, Noda 32 jest znacznie trudniej wymanewrować, poza tym non stop monituje infekcję, a Norton jak już coś wlezie nie widzi niczego - jakby był cichym wspólnikiem syfu :lol:

[guzia]

Norton to był dobry do wersji 4.0 (druga wersja pod windowsy) potem już klapa.

 

Aby nie leczyć dobrze jest zapobiegać - polecam stosować:

1. Adblock'a (z listą blokowanych stron + własna edycja np. na stronie Audiostereo można zablokować spokojnie 6 składników typu strona, skrypt, stat, itp i wszystko szybciej działa i nic się nie wciska na siłę, zero reklam)

2. Rezydenta SpyBoota (TeaTimer) blokuje ponad 8tyś sztuk znanego syfu

3. JavaScript Monitor (blokuje podejrzane skrypty sam decydujesz z jakich domen skrypt wykonac tymczasowo lub stale)

4. firewall (minimum systemowy)

5. antywirus (do wyboru)

 

w/w powinny działać non-stop z włączoną aktualizacją on-line.

 

Dodatkowo trochę innych narzędzi uruchamianych od czasu do czasu ...

[foxbat]

Nie znam sie na Windowsach, czy praca na zwyklym userze np. w XP Pro czy win2k zamiast na administratorze daje wieksze poczucie bezpieczenstwa?

[guzia]

foxbat, 28 Gru 2005, 10:32

 

>Nie znam sie na Windowsach, czy praca na zwyklym userze np. w XP Pro czy win2k zamiast na

>administratorze daje wieksze poczucie bezpieczenstwa?

 

to poczucie jest złudne

 

Jeżeli naprawde nie znasz się na Windowsach to pracuj na zwyklym userze z ograniczonymi prawami - bez prawa do instalacji softu.

Bezpieczeństwo wzrośnie jak dobrze skonfigurujesz konto admina.

[foxbat]

guzia, nie pracuje na Windowsach :) tylko myslalem ze moze to komus pomoze :D

[guzia]

nie pomogło :D

[polkr]

wydaje mi sie ze to vx2 ale moge sie mylic...

6 h raz z nim walczylem ale ze zwyciestwem :)

troszke do poczytania i opis jak walczyc

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )

Ukryta Zawartość

Zaloguj się, aby zobaczyć treść.

Zaloguj się, aby zobaczyć treść (możliwe logowanie za pomocą )