BEZPIECZNE witryny
moj IE od niedawna wszystkie witryny w sieci Internet traktuje jako bezpieczne ZAUFANE ..... jak to zmienic????
Odpowiedzi: 11
TzaR, zerknij sobie do:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
powinienes znalezc wpis "AppInit_DLLs" i byc moze jako wartosc nazwe biblioteki ktora uruchamia to gowno.
Warto sprawdzic.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
powinienes znalezc wpis "AppInit_DLLs" i byc moze jako wartosc nazwe biblioteki ktora uruchamia to gowno.
Warto sprawdzic.
hmmmm
No jakby niebylo mi potrzebne zbadanie Loga Hijacka i jego interpretacja bo z tym niema problemu.... problem pojawia sie gdy
1– BtGrab – no problema
2– Isrvs _ katalog no problema
3– lbqrxy.exe – tu pojawiaja sie schody ten plik generowany jest przez inny plik .... tzn ze gdy widnieje jako proces jest niedousuniecia bo uruchamia sie natychmiast po wylaczeniu...wiec niedo usuniecia... no ale w trybie awaryjnym niema czego usuwac!!! poniewaz plik w/w juz nieistnieje ... gdyz wczesniej pliki ktore go generowaly zostaly usuniete
pozatym potrafie usunac wszystko.....co pokaze mi Hijack i co znajde w rejestrze..... jednak. jest jeszce cos czego nie odkrylem jeszcze i to cos na nowo uruchamia caly proces od nowa.... niewiem co TO jest!!! :(
No jakby niebylo mi potrzebne zbadanie Loga Hijacka i jego interpretacja bo z tym niema problemu.... problem pojawia sie gdy
1– BtGrab – no problema
2– Isrvs _ katalog no problema
3– lbqrxy.exe – tu pojawiaja sie schody ten plik generowany jest przez inny plik .... tzn ze gdy widnieje jako proces jest niedousuniecia bo uruchamia sie natychmiast po wylaczeniu...wiec niedo usuniecia... no ale w trybie awaryjnym niema czego usuwac!!! poniewaz plik w/w juz nieistnieje ... gdyz wczesniej pliki ktore go generowaly zostaly usuniete
pozatym potrafie usunac wszystko.....co pokaze mi Hijack i co znajde w rejestrze..... jednak. jest jeszce cos czego nie odkrylem jeszcze i to cos na nowo uruchamia caly proces od nowa.... niewiem co TO jest!!! :(
Wylacz przywracanie
Uruchom komputer w awaryjnym bez neta
Pozbadz sie:
lbqrxy.exe
BTGrab.dll
C:WINDOWSisrvs (cały katalog)
FIX:
Uruchom komputer w awaryjnym bez neta
Pozbadz sie:
lbqrxy.exe
BTGrab.dll
C:WINDOWSisrvs (cały katalog)
FIX:
O2 – BHO: (no name) – {00000000–F09C–02B4–6EC2–AD0300000000} – C:WINDOWSBTGrab.dll
O2 – BHO: IE Update Class – {5B4AB8E2–6DC5–477A–B637–BF3C1A2E5993} – C:WINDOWSisrvssysupd.dll
O4 – HKLM..Run: [Desktop Search] C:WINDOWSisrvsdesktop.exe
O4 – HKLM..Run: [ffis] C:WINDOWSisrvsffisearch.exe
O4 – HKLM..Run: [lbqrxy] c:windowssystem32lbqrxy.exe
O15 – Trusted Zone: *.addictivetechnologies.com
O15 – Trusted Zone: *.addictivetechnologies.net
O15 – Trusted Zone: *.admin2cash.biz
O15 – Trusted Zone: *.awmdabest.com
O15 – Trusted Zone: *.bettersearch.biz
O15 – Trusted Zone: *.c4tdownload.com
O15 – Trusted Zone: *.clickspring.net
O15 – Trusted Zone: *.f1organizer.com
O15 – Trusted Zone: *.finefind.nettraffic2cash.biz
O15 – Trusted Zone: *.iframe.biz
O15 – Trusted Zone: *.megapornix.com
O15 – Trusted Zone: *.mt–download.com
O15 – Trusted Zone: *.newiframe.biz
O15 – Trusted Zone: *.overpro.com
O15 – Trusted Zone: *.Pamela.biz
O15 – Trusted Zone: *.private–dialer.biz
O15 – Trusted Zone: *.private–iframe.biz
O15 – Trusted Zone: *.slotch.com
O15 – Trusted Zone: *.sp2admin.biz
O15 – Trusted Zone: *.sp2fucked.biz
O15 – Trusted Zone: *.vse–moe.biz
O15 – Trusted Zone: *.windupdates.com
O15 – Trusted Zone: *.xxxtoolbar.com
O15 – Trusted Zone: *.ysbweb.com
O16 – DPF: v3cab – http://searchmiracle.com/cab/10.cab
O16 – DPF: {79849612–A98F–45B8–95E9–4D13C7B6B35C} – http://static.topconverting.com/activex/loader2.ocx
Wylacz przywracanie
Uruchom komputer w awaryjnym bez neta
Pozbadz sie:
lbqrxy.exe
BTGrab.dll
C:WINDOWSisrvs (cały katalog)
FIX:
Uruchom komputer w awaryjnym bez neta
Pozbadz sie:
lbqrxy.exe
BTGrab.dll
C:WINDOWSisrvs (cały katalog)
FIX:
O2 – BHO: (no name) – {00000000–F09C–02B4–6EC2–AD0300000000} – C:WINDOWSBTGrab.dll
O2 – BHO: IE Update Class – {5B4AB8E2–6DC5–477A–B637–BF3C1A2E5993} – C:WINDOWSisrvssysupd.dll
O4 – HKLM..Run: [Desktop Search] C:WINDOWSisrvsdesktop.exe
O4 – HKLM..Run: [ffis] C:WINDOWSisrvsffisearch.exe
O4 – HKLM..Run: [lbqrxy] c:windowssystem32lbqrxy.exe
O15 – Trusted Zone: *.addictivetechnologies.com
O15 – Trusted Zone: *.addictivetechnologies.net
O15 – Trusted Zone: *.admin2cash.biz
O15 – Trusted Zone: *.awmdabest.com
O15 – Trusted Zone: *.bettersearch.biz
O15 – Trusted Zone: *.c4tdownload.com
O15 – Trusted Zone: *.clickspring.net
O15 – Trusted Zone: *.f1organizer.com
O15 – Trusted Zone: *.finefind.nettraffic2cash.biz
O15 – Trusted Zone: *.iframe.biz
O15 – Trusted Zone: *.megapornix.com
O15 – Trusted Zone: *.mt–download.com
O15 – Trusted Zone: *.newiframe.biz
O15 – Trusted Zone: *.overpro.com
O15 – Trusted Zone: *.Pamela.biz
O15 – Trusted Zone: *.private–dialer.biz
O15 – Trusted Zone: *.private–iframe.biz
O15 – Trusted Zone: *.slotch.com
O15 – Trusted Zone: *.sp2admin.biz
O15 – Trusted Zone: *.sp2fucked.biz
O15 – Trusted Zone: *.vse–moe.biz
O15 – Trusted Zone: *.windupdates.com
O15 – Trusted Zone: *.xxxtoolbar.com
O15 – Trusted Zone: *.ysbweb.com
O16 – DPF: v3cab – http://searchmiracle.com/cab/10.cab
O16 – DPF: {79849612–A98F–45B8–95E9–4D13C7B6B35C} – http://static.topconverting.com/activex/loader2.ocx
Logfile of HijackThis v1.97.7
Scan saved at 19:54:18, on 2005–02–02
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32DRIVERSCDANTSRV.EXE
C:WINDOWSsystem32 vsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGadu–Gadugg.exe
C:WINDOWSsystem32 askmgr.exe
c:windowssystem32lbqrxy.exe
c:windowssystem32packager.exe
G:hijack]hijackthisHijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: (no name) – {00000000–F09C–02B4–6EC2–AD0300000000} – C:WINDOWSBTGrab.dll
O2 – BHO: IE Update Class – {5B4AB8E2–6DC5–477A–B637–BF3C1A2E5993} – C:WINDOWSisrvssysupd.dll
O2 – BHO: (no name) – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:program filesgooglegoogletoolbar5.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:program filesgooglegoogletoolbar5.dll
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [MKS_MENU] C:Program FilesMKSBinmks_menu.exe
O4 – HKLM..Run: [Desktop Search] C:WINDOWSisrvsdesktop.exe
O4 – HKLM..Run: [ffis] C:WINDOWSisrvsffisearch.exe
O4 – HKLM..Run: [lbqrxy] c:windowssystem32lbqrxy.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O8 – Extra context menu item: &Google Search – res://c:program filesgoogleGoogleToolbar5.dll/cmsearch.html
O8 – Extra context menu item: Backward Links – res://c:program filesgoogleGoogleToolbar5.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:program filesgoogleGoogleToolbar5.dll/cmcache.html
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Similar Pages – res://c:program filesgoogleGoogleToolbar5.dll/cmsimilar.html
O8 – Extra context menu item: Translate into English – res://c:program filesgoogleGoogleToolbar5.dll/cmtrans.html
O15 – Trusted Zone: *.addictivetechnologies.com
O15 – Trusted Zone: *.addictivetechnologies.net
O15 – Trusted Zone: *.admin2cash.biz
O15 – Trusted Zone: *.awmdabest.com
O15 – Trusted Zone: *.bettersearch.biz
O15 – Trusted Zone: *.c4tdownload.com
O15 – Trusted Zone: *.clickspring.net
O15 – Trusted Zone: *.f1organizer.com
O15 – Trusted Zone: *.finefind.nettraffic2cash.biz
O15 – Trusted Zone: *.iframe.biz
O15 – Trusted Zone: *.megapornix.com
O15 – Trusted Zone: *.mt–download.com
O15 – Trusted Zone: *.newiframe.biz
O15 – Trusted Zone: *.overpro.com
O15 – Trusted Zone: *.pizdato.biz
O15 – Trusted Zone: *.private–dialer.biz
O15 – Trusted Zone: *.private–iframe.biz
O15 – Trusted Zone: *.slotch.com
O15 – Trusted Zone: *.sp2admin.biz
O15 – Trusted Zone: *.sp2fucked.biz
O15 – Trusted Zone: *.vse–moe.biz
O15 – Trusted Zone: *.windupdates.com
O15 – Trusted Zone: *.xxxtoolbar.com
O15 – Trusted Zone: *.ysbweb.com
O16 – DPF: v3cab – http://searchmiracle.com/cab/10.cab
O16 – DPF: {79849612–A98F–45B8–95E9–4D13C7B6B35C} – http://static.topconverting.com/activex/loader2.ocx
Tpo lista w procesach jest taki programik ibqrxy.exe uruchamiajacy sie automatycznie po zakonczeniu procesu.
Scan saved at 19:54:18, on 2005–02–02
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32DRIVERSCDANTSRV.EXE
C:WINDOWSsystem32 vsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGadu–Gadugg.exe
C:WINDOWSsystem32 askmgr.exe
c:windowssystem32lbqrxy.exe
c:windowssystem32packager.exe
G:hijack]hijackthisHijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: (no name) – {00000000–F09C–02B4–6EC2–AD0300000000} – C:WINDOWSBTGrab.dll
O2 – BHO: IE Update Class – {5B4AB8E2–6DC5–477A–B637–BF3C1A2E5993} – C:WINDOWSisrvssysupd.dll
O2 – BHO: (no name) – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:program filesgooglegoogletoolbar5.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:program filesgooglegoogletoolbar5.dll
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [MKS_MENU] C:Program FilesMKSBinmks_menu.exe
O4 – HKLM..Run: [Desktop Search] C:WINDOWSisrvsdesktop.exe
O4 – HKLM..Run: [ffis] C:WINDOWSisrvsffisearch.exe
O4 – HKLM..Run: [lbqrxy] c:windowssystem32lbqrxy.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O8 – Extra context menu item: &Google Search – res://c:program filesgoogleGoogleToolbar5.dll/cmsearch.html
O8 – Extra context menu item: Backward Links – res://c:program filesgoogleGoogleToolbar5.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:program filesgoogleGoogleToolbar5.dll/cmcache.html
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Similar Pages – res://c:program filesgoogleGoogleToolbar5.dll/cmsimilar.html
O8 – Extra context menu item: Translate into English – res://c:program filesgoogleGoogleToolbar5.dll/cmtrans.html
O15 – Trusted Zone: *.addictivetechnologies.com
O15 – Trusted Zone: *.addictivetechnologies.net
O15 – Trusted Zone: *.admin2cash.biz
O15 – Trusted Zone: *.awmdabest.com
O15 – Trusted Zone: *.bettersearch.biz
O15 – Trusted Zone: *.c4tdownload.com
O15 – Trusted Zone: *.clickspring.net
O15 – Trusted Zone: *.f1organizer.com
O15 – Trusted Zone: *.finefind.nettraffic2cash.biz
O15 – Trusted Zone: *.iframe.biz
O15 – Trusted Zone: *.megapornix.com
O15 – Trusted Zone: *.mt–download.com
O15 – Trusted Zone: *.newiframe.biz
O15 – Trusted Zone: *.overpro.com
O15 – Trusted Zone: *.pizdato.biz
O15 – Trusted Zone: *.private–dialer.biz
O15 – Trusted Zone: *.private–iframe.biz
O15 – Trusted Zone: *.slotch.com
O15 – Trusted Zone: *.sp2admin.biz
O15 – Trusted Zone: *.sp2fucked.biz
O15 – Trusted Zone: *.vse–moe.biz
O15 – Trusted Zone: *.windupdates.com
O15 – Trusted Zone: *.xxxtoolbar.com
O15 – Trusted Zone: *.ysbweb.com
O16 – DPF: v3cab – http://searchmiracle.com/cab/10.cab
O16 – DPF: {79849612–A98F–45B8–95E9–4D13C7B6B35C} – http://static.topconverting.com/activex/loader2.ocx
Tpo lista w procesach jest taki programik ibqrxy.exe uruchamiajacy sie automatycznie po zakonczeniu procesu.
jak TYlko pojawia sie objawy to zrobie LOga.... i zapodam....a teraz tak niemoge wlaczyc aktualizacji automatycznych.... bo sa zablokowane... niemoge wylaczyc permanentnych zaufanych witryn bo sa zablokowane wszystko co moglbym uzyc do zwalczenia tego syfu .,...jest zablokowane!!!
Wklej log z Hijack This
wszystko sie zaczyna od uruchomienia procesu dddd.exe tak sie nazywa On Generuje pliki exe (nazwy wg jakiegos algorytmu bo co sie uruchomi generuje inne) pakuje je do katalogu uzytkownika.... oraz tworzy liste stron zaufanych... w rejestrze– nie widocznych z poziomu ustawien w IE... Tam fokle jest nieaktywna ta opcja dodawania do zaufanych witryn....
czasem jest tak ze zamkne proces IE a on nadal pozostaje jako aktywny proces badz nie majac IE uruchomionego ON widnieje w procesach jako aktywny... wszystkie strony INternetowe maja wymuszone "Zaufane witryny" Koszmar normalnie...
a teraz co znajduje AV
Trojan Startpage.NK.UW
Trojan downloader Small.Abp
Trojan Downloader agent II
Trojan clicker Agent
Adware BispyJ26
mniom....
czasem jest tak ze zamkne proces IE a on nadal pozostaje jako aktywny proces badz nie majac IE uruchomionego ON widnieje w procesach jako aktywny... wszystkie strony INternetowe maja wymuszone "Zaufane witryny" Koszmar normalnie...
a teraz co znajduje AV
Trojan Startpage.NK.UW
Trojan downloader Small.Abp
Trojan Downloader agent II
Trojan clicker Agent
Adware BispyJ26
mniom....
TzaR zapodaj jakies nazwy (plikow, procesow, wirusow ktore znajduje AV) zebysmy wiedzieli z czym mamy do czynienia
Nazwy staron ktore sie dodają
Mozesz poblokowac je hosts'em
Nazwy staron ktore sie dodają
Mozesz poblokowac je hosts'em
heh zalozmy ze zrobilem wszystko co da sie zrobic......hijackiem skanuje kompa co 10 minut a dlaczego... ??
co jakis czas ni z tad ni z owad uruchamia sie jakis dziwny dialer!!! sam... niewiem poprostu powstaje z nikad proces ktory usuwam nastepnie wlaczam mks.a by znalaz lakiegos virusa .. nic... po pojawieniu sie tego dialera.. powstaja mi wpisy o "zaufanych witrynach" ktore da sie zlikwidowac Hijackiem poza jednym ktory trzeba z poziomu rejestru wpierniczyc... nastepnie znowu uruchamiam Mks i ten znajduje mi kolejne 10 wirusow (trojany i inne)... Ten proces powtarza sie kilkakrotnie....za kazdym razem po skoncoznej opercaji jestem niemalze pewien ze usunauem z kompa caly syf co potwierdza skanowanie MKS'em (ON LINE) i skanowanie hijackjiem... wszystkie wskazuja ze jest czysto.... do czasu Kiedy znowu niz tad ni z owad uruchomi sie ten sam dialer i wszystko zaczyna sie na nowo!!! Problem z zas ZAUFANYMI witrynami pozostaje.... mam SP02 i w IE jest opcja blokady okienek wyskakujacych... no to ONa niedziala !!! nawet jak ja wlacze zeby dzialala to nie dziala... To tez sprawka tego syfu.... czy Ktos mial podobne przygody i wie jak przez to przebrnac??
co jakis czas ni z tad ni z owad uruchamia sie jakis dziwny dialer!!! sam... niewiem poprostu powstaje z nikad proces ktory usuwam nastepnie wlaczam mks.a by znalaz lakiegos virusa .. nic... po pojawieniu sie tego dialera.. powstaja mi wpisy o "zaufanych witrynach" ktore da sie zlikwidowac Hijackiem poza jednym ktory trzeba z poziomu rejestru wpierniczyc... nastepnie znowu uruchamiam Mks i ten znajduje mi kolejne 10 wirusow (trojany i inne)... Ten proces powtarza sie kilkakrotnie....za kazdym razem po skoncoznej opercaji jestem niemalze pewien ze usunauem z kompa caly syf co potwierdza skanowanie MKS'em (ON LINE) i skanowanie hijackjiem... wszystkie wskazuja ze jest czysto.... do czasu Kiedy znowu niz tad ni z owad uruchomi sie ten sam dialer i wszystko zaczyna sie na nowo!!! Problem z zas ZAUFANYMI witrynami pozostaje.... mam SP02 i w IE jest opcja blokady okienek wyskakujacych... no to ONa niedziala !!! nawet jak ja wlacze zeby dzialala to nie dziala... To tez sprawka tego syfu.... czy Ktos mial podobne przygody i wie jak przez to przebrnac??
Pousuwaj je poprzez ustawienia IE i witryny zaifane tam bedace
Mozesz sie ich tez pozbyc przy pomocy Hijack This
Mozesz sie ich tez pozbyc przy pomocy Hijack This