CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Bezczelne spyware!

Bezczelne spyware!

Napiszę krótko – zmieniło stronę startową a nawet bezczelnie wlazło na pulpit i nie chce dać się wytępić, uźyłem CWShredder'a i Hi This Jack – log z tego ostatniego w chwili obecnej juz jest "zdrowy", strona startowa juz wyczyszczona, ale z pulpitu nie chce dać się wyrzucić, po kaźdym uruchomieniu systemu na dysku C: tworzy się plik r.exe a w tray'u jakiś dziwny komunikat się pojawia od zcasu zainfekowania, jak go kliknę to otwiera przeglądarkę z jakimś cool searchem (moge zrobić scr) z linkami do softu który rzekomo ma to zwalczyć.... Macie pomysły jakieś ?


CHYBA SIĘ ZARAZ WŚCIEKNĘ !!

Odpowiedzi: 20

mam jush hijack'a downloaduje się, tamto to byla pomylka...
Bucu
Dodano
28.02.2005 18:32:04
chcialem go sciagnac, ale na stronie pisze ze "hijack this has been replaced by spyware guard"
wiec go sciagam, zaraz ci loga dam
Bucu
Dodano
28.02.2005 18:28:13
Pokaz jeszcze log z Hijack This bo na screenie rzeczywiscie procesu nie widać.
Bobi
Dodano
28.02.2005 18:23:02
procesy... wiem zamykałem niewiem który
kilka jest od pandy antywirusa... (chyba 4...)
internet explorer



Dzieki za pomoc
z góry (i z dołu teź :P ) Dzieki
Bucu
Dodano
28.02.2005 18:13:03
Trzeba by bucowi (nie obrazajac Twej osoby :wink: ) procesy w tasku najpierw pozamykać
Bobi
Dodano
28.02.2005 17:52:31
jak usunąć tą ikonkę w tray'u? (źółty wykrzyknik)
bo wredną tapetke juz usunąłem...

Dzieki za pomoc.
Bucu
Dodano
28.02.2005 17:34:45
po usunięciu wirusów pojawia się czarny pulpit.
Spróbuj wejść we właściwości pulpitu na zakładce w pulpit>dostosuj pulpit>zakładka sieć web i wyczyścić w oknie wpisaną stronę
ArturoG
Dodano
09.02.2005 12:17:36
Prosze Cie bardzo
Odptaszkujesz syfa w msconfig i wywalisz z rejestru to info sie juz nie pojawi
Bobi
Dodano
08.02.2005 19:27:32
kombinowałem w Dosie i itak niec nie zdziałałem, ale uruchomiłem pod awaryjnym i przez konto Administrator pięknie wszystko wykasowałem!
HALLELUJAH!
Co prawda po uruchomieniu wyskoczył czerwony zonk, źe brakuje skasowanego pliku w systemie, ale wazne ze problem zazegnany!
Piekne dzieki!
Eyden
Dodano
08.02.2005 19:23:47
Zaznacz w systemie pokazywanie ukrytych i systemowych plikow
W przyklejonym o HJT masz nawet obrazki
Bobi
Dodano
08.02.2005 18:50:14
nie moge skasowac tego pliku, jak uruchamiam kompa pod Dosem i odpalam Norton Commandera to nie widzi tego pliku :–/
zaraz jeszcze popróbuje
Eyden
Dodano
08.02.2005 18:48:43
wylaczasz przywracanie

Trojan:
O4 – HKLM..RunOnce: [Srv32 spool service] C:WINDOWSSystem32spoolsrv32.exe
O4 – HKCU..RunOnce: [Srv32 spool service] C:WINDOWSSystem32spoolsrv32.exe

Usuwasz plik spoolsrv32.exe
Fixujesz wpisy


Alexa:
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:WINDOWSweb elated.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:WINDOWSweb elated.htm


Poza tym
Bobi_robert:
Usuwasz z dysku plik desktop.html i we własciwosciach pulpitu/pulpit/dostosuj pulpit usuwasz security

Moze byc pod nazwa security ale nie koniecznie
Bobi
Dodano
08.02.2005 18:18:55
P.S. Przy kasowaniu tego pliku, po restarcie i tak się pojawia spowrotem, tak więc nic to nie daje, coś jeszcze siedzi...
Eyden
Dodano
08.02.2005 18:14:09
Logfile of HijackThis v1.99.0
Scan saved at 17:03:31, on 2005–02–08
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesGadu–Gadugg.exe
C:WINDOWSSystem32CTsvcCDA.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:Program FilesInternet Exploreriexplore.exe
C: otalcmdTOTALCMD.EXE
C:WINDOWS egedit.exe
C:Documents and SettingsEydenPulpithijackthis_199HijackThis.exe

R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = w3cache.dami.pl:8080
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..RunOnce: [Srv32 spool service] C:WINDOWSSystem32spoolsrv32.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [Komunikator] C:Program FilesTlen.pl len.exe
O4 – HKCU..RunOnce: [Srv32 spool service] C:WINDOWSSystem32spoolsrv32.exe
O8 – Extra context menu item: &Download with &DAP – C:PROGRA~1DAPdapextie.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Send To &Bluetooth – C:Program FilesWIDCOMMBluetooth Softwaretsendto_ie_ctx.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:WINDOWSSystem32msjava.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:WINDOWSSystem32msjava.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:WINDOWSweb elated.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:WINDOWSweb elated.htm
O9 – Extra button: eBay – Homepage – {EF79EAC5–3452–4E02–B8BD–BA4C89F1AC7A} – C:Program FilesIrfanViewEbayEbay.htm
O16 – DPF: {31B7EB4E–8B4B–11D1–A789–00A0CC6651A8} (Cult3D ActiveX Player) – http://www.cult3d.com/download/cult.cab
O16 – DPF: {917623D1–D8E5–11D2–BE8B–00104B06BDE3} (CamImage Class) – http://195.68.227.10/activex/AxisCamControl.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {C5E28B9D–0A68–4B50–94E9–E8F6B4697514} (NsvPlayX Control) – http://www.tv.poloniaonline.us/nsvplayx_vp3_mp3.cab
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:WINDOWSSystem32CTsvcCDA.exe
O23 – Service: NVIDIA Driver Helper Service – NVIDIA Corporation – C:WINDOWSSystem32 vsvc32.exe

Eyden
Dodano
08.02.2005 18:11:41
Póki co to nie mam pojęcia po co uźywąłeś tego progrmau i czemu się na brak biblioteki uskarźasz ( u mnie wsystemie teź jej nie ma,a wszystko działa ) – gdybyś czytął uwaznie to byś wiedział, źe mowa o połączeniu z internetem jest w tej częsci.
Co zrobiłeś jak w linku?
Przecieź nie masz identycznego loga jak w nim podany .
Na odległość mamy stwiedzić czy juź wszystko wyczysciłeś,czy teź w systemie – procesach, rejestrze coś dalej siedzi?

Konkretna porada – zdalnie i za darmo idź do serwisu i zapłać za usługę czyszczenai systemu. Nie edziesz wtedy musiął się wysilać z podawanie informacji podstawowych – takich jak np. log z HJT.

PS.
Z tego co pamiętam ten link , na który się powołujesz nie jest jedynym z "danger".
Rebe
Dodano
08.02.2005 18:09:29
Pokaz log z HijackThis

Usuwasz z dysku plik desktop.html i we własciwosciach pulpitu/pulpit/dostosuj pulpit usuwasz security
Bobi
Dodano
08.02.2005 18:09:26
Nie mam włączonego! Prosze o konkretną poradę bo nie wiem juź co zrobić a nie o filozofowanie!

W tym programie nie pokazuje mi biblioteki o której mowa w poście wyźej...
Eyden
Dodano
08.02.2005 17:53:16
Zaraz się okaźe, źe jakie przywracanie sytemu masz właczone. Przy takich operacjach trzeba pamiętać o właczeniu go.
Rebe
Dodano
08.02.2005 17:43:55
http://www.centrumxp.pl/forum/viewtopic.php?t=27482&highlight=danger robiłem jak w tym poście i nic nie pomogło, czarna strona siedzi :–|
Eyden
Dodano
08.02.2005 17:41:03
uźyłeś najnowsze cwshredder http://www.majorgeeks.com/download3019.html
zobacz tu http://www.searchengines.pl/phpbb203/index.php?showtopic=23611&hl=czarny+pulpit
lucy
Dodano
08.02.2005 17:29:28
Eyden
Dodano:
08.02.2005 17:10:55
Komentarzy:
20
Strona 1 / 2