CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo co mam teraz z tym zrobic???:( prosze o sprawdzenie

co mam teraz z tym zrobic???:( prosze o sprawdzenie

Logfile of HijackThis v1.98.2
Scan saved at 17:04:38, on 2004–08–19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesWinampwinampa.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSSOUNDMAN.EXE
C:Program FilesBTVtv.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSSystem32javaw.exe
C:WINDOWSSystem32winusb.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesAVPersonalAVWUPSRV.EXE
C:WINDOWSsystem32driversKodakCCS.exe
C:WINDOWSSystem32ScsiAccess.EXE
C:WINDOWSSystem32wuauclt.exe
C:Program Fileswebsearchwebsearch.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and Settings atalia marzec.NATALIA–WVDP6LLUstawienia lokalneTempKatalog tymczasowy 2 dla hijackthis.zipHijackThis.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://69.50.191.52/3100/sp.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://69.50.191.52/3100/
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://69.50.191.52/3100/
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.topfivesearch.com/search.asp
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.topfivesearch.com/search.asp
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://69.50.191.52/3100/sp.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://69.50.191.52/3100/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://69.50.191.52/3100/
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1NATALI~1.NATUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://69.50.191.52/3100/sp.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = localhost
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – URLSearchHook: (no name) – {707E6F76–9FFB–4920–A976–EA101271BC25} – (no file)
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0 CEReaderActiveXAcroIEHelper.ocx
O2 – BHO: zSearch Bar – {5886A6DC–AAF4–45E9–979A–8E5E6DEE30E7} – C:Program FileszSearchzSearch.dll (file missing)
O2 – BHO: (no name) – {5EE2C265–89A5–47B9–A007–60D9898B5C2C} – C:WINDOWSSystem32ocgma.dll
O3 – Toolbar: (no name) – {0494D0D9–F8E0–41ad–92A3–14154ECE70AC} – (no file)
O3 – Toolbar: (no name) – {BDF6CE3D–F5C5–4462–9814–3C8EAC330CA8} – (no file)
O3 – Toolbar: 411 Ferret Toolbar – {12F02779–6D88–4958–8AD3–83C12D86ADC7} – C:Program Files411Ferret oolbar.dll (file missing)
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
O4 – HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe
O4 – HKLM..Run: [Breg] "C:Program FilesCommon FilesJavareg.exe"
O4 – HKLM..Run: [WeatherOnTray] C:Program FilesHotbarin4.5.0.0WeatherOnTray.exe
O4 – HKLM..Run: [BTV] C:Program FilesBTVtv.exe
O4 – HKLM..Run: [AdRoarUpdate] C:WINDOWSARUpdate.exe
O4 – HKLM..Run: [Sys Ren] C:WINDOWSSysRen.exe /S
O4 – HKLM..Run: [zSearch] C:Program FileszSearchstb.exe
O4 – HKLM..Run: [Grokster] C:PROGRA~1GroksterGrokster.exe /SYSTRAY
O4 – HKLM..Run: [websearch] javaw –cp "C:Program FileswebsearchSystemCode" Main lp: "C:Program Fileswebsearch"
O4 – HKLM..Run: [WIN USB 2.0] winusb.exe
O4 – HKLM..Run: [svchost] C:WINDOWSsvchost.exe
O4 – HKLM..RunServices: [WIN USB 2.0] winusb.exe
O4 – HKLM..RunOnce: [TV Media] C:Program FilesTV MediaTvm.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [zSearch] C:Program FileszSearchstb.exe
O4 – HKCU..Run: [WIN USB 2.0] winusb.exe
O4 – HKCU..Run: [Spyware Doctor] "C:Program FilesSpyware Doctorspydoctor.exe" /Q
O4 – HKCU..RunOnce: [TV Media] C:Program FilesTV MediaTvm.exe
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 – Extra context menu item: &411 Ferret Toolbar search – res://C:Program Files411Ferret oolbar.dll/SEARCH.HTML
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – (no file)
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – (no file)
O13 – DefaultPrefix: http://69.50.191.50/?
O13 – WWW Prefix: http://69.50.191.50/?
O16 – DPF: {10003000–1000–0000–1000–000000000000} – ms–its:html:file://C:foo.mht!http://195.225.177.13/1034/online.chm::/on–line.exe
O16 – DPF: {11111111–1111–1111–1111–111111111123} – its:html:file://C:.mht!http://69.50.191.52/3100/b.chm::/b.exe
O16 – DPF: {9656B666–992F–4D74–8588–8CA69E97D90C} – http://www.commonname.com/en/oneclick/uninstbb.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O18 – Filter: text/html – {32C9B681–4C85–47FD–9D44–197AF0A1FB16} – C:WINDOWSSystem32ocgma.dll
O18 – Filter: text/plain – {32C9B681–4C85–47FD–9D44–197AF0A1FB16} – C:WINDOWSSystem32ocgma.dll

Odpowiedzi: 7

EL NINO:
...Niekoniecznie domyslnie. U mnie w cache opery :wink:

:shock:
Bloodhound.Exploit.6 is a heuristic detection for exploits of a Microsoft Internet Explorer vulnerability. This vulnerability was discovered in February 2004 (by Symantec)

To wogóle *** się zrobiła, bo co innego jest napisane niź jest faktycznie.
Pozatym łata to KB 837009 dla OE :shock:, a nie jakiś Cumulative dla IE czy osobna.

EL NINO:
...P.S. Olac go :wink: .
Olac go :wink:

EOD na temat Bloohound.Exploit.6.
McScr@by
Dodano
19.08.2004 23:14:56
McScr@by:
domyślnie jest to C:Documents and Settings UserUstawienia lokalneTemporary Internet Files
Niekoniecznie domyslnie. U mnie w cache opery :wink: .
McScr@by:
Wychodzą na wieszch bug`i NAV`a :P :mrgreen: .
Bugi chyba nie. Widocznie rozpoznaje cos po stringu i dlatego alarmuje.

P.S. Olac go :wink: .
EL NINO
Dodano
19.08.2004 22:58:20
EL NINO:
Mnie sie tam nic nie zaladowalo...


Skoro NINO dał Tobie alert to wskazał lokalizacje a domyślnie jest to C:Documents and Settings UserUstawienia lokalneTemporary Internet Files tak NAV wskazuje, ale to heurustyka więc nie ma się co martwić wystarczy usunąć Temp.
Co do reg`u to update:
Nie tworzy odwołań.
Miałem je tylko w historii bo szukałem tego całego DFO po wpisie w google.

BTW, ciekawa sprawa :lol: :mrgreen: z tym exploitem.
Napisze jeszcze źe podobnie jest na PCHell (Spyware analiz) jak masz dwa okna brownswera i okno na Forum w trybie edycji i chcesz coś napisać to zgłasza alert Trojan Start Page :lol: :mrgreen: . ( Jak moźesz sprawdz u siebie i daj info ).
Tylko ciekawi mnie na jakiej podstawie tak identyfikuje.
W poprzednim przypadku jest to heurustyka ale w tym nie mam pojecia :roll: :?: .
Wychodzą na wieszch bug`i NAV`a :P :mrgreen: .
McScr@by
Dodano
19.08.2004 21:54:13
Mnie sie tam nic nie zaladowalo. Gorzej z tymi ktorzy nie maja zadnego antyvira :wink: . Ciekawe jest jednak to, ze wykrywa go tylko w trybie pisania odpowiedzi a nie reaguje w zwyklym podgladzie tematu. Zobacze co sie bedzie dzialo, gdy zmienie Twoje znaczniki . Przed tym bowiem nim napisales odpowiedz, nic sie nie dzialo.

Update:
Nic to nie dalo. Ale wykasowalem zewszad literke "m" z "mhtml" i spokoj.
EL NINO
Dodano
19.08.2004 21:11:54
Tak EL NINO masz racje, umnie teź to jest.
To wina czułej heurustyki NAV po analizie dziwnego zachowania, mino zainstalowanej łaty Trojan Bloohound.Exploit.6 się ładuje do D@S i Reg`u.
A dokłanie to wina samego wpisu

O16 – O16 – DPF: {11111111–1111–1111–1111–111111111123} – its:html:file://C:.mht!

Usuwanie nie zajmuje duźo czasu :

Internet Temp do smieci i automatem po reg`u.

EL Ty tutaj "rządzisz" wiec podejmi odpowiednią decyzję,
ja na Twoim miejscu dałbym teraz log w klikany załącznik a na załączniku opis źe zawiera część kodu zródłowego.

BTW, to nie pierwszy raz juź z Bloohound.Exploit.6 po analizie bynajmiej u mnie.
McScr@by
Dodano
19.08.2004 20:38:23
Nie wiem McScr@by czy zauwazyles. Moze nie. Odpisywalem rowniez na ten post i przed wyslaniem odswierzylem strone zeby zobaczyc czy juz ktos nie napisal odpowiedzi. Zobaczylem Twoja odpowiedz, ale jednoczesnie wyskoczyl alert antyvira – Bloohound.Exploit.6
Sprawdzalem 3 razy. Pojawia sie po kliknieciu Odpowiedz i calkowitym zaladowaniu strony (czyli w trybie do pisania). W zwyklym podgladzie tematu, alertu nie ma.
EL NINO
Dodano
19.08.2004 20:18:19
Wyłącz przywracanie systemu :

Fix :

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://69.50.191.52/3100/sp.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://69.50.191.52/3100/
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://69.50.191.52/3100/
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.topfivesearch.com/search.asp
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.topfivesearch.com/search.asp
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://69.50.191.52/3100/sp.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://69.50.191.52/3100/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://69.50.191.52/3100/
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1NATALI~1.NATUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://69.50.191.52/3100/sp.php
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = localhost
R3 – URLSearchHook: (no name) – {707E6F76–9FFB–4920–A976–EA101271BC25} – (no file)
O2 – BHO: zSearch Bar – {5886A6DC–AAF4–45E9–979A–8E5E6DEE30E7} – C:Program FileszSearchzSearch.dll (file missing)
O2 – BHO: (no name) – {5EE2C265–89A5–47B9–A007–60D9898B5C2C} – C:WINDOWSSystem32ocgma.dll
O3 – Toolbar: (no name) – {0494D0D9–F8E0–41ad–92A3–14154ECE70AC} – (no file)
O3 – Toolbar: (no name) – {BDF6CE3D–F5C5–4462–9814–3C8EAC330CA8} – (no file)
O3 – Toolbar: 411 Ferret Toolbar – {12F02779–6D88–4958–8AD3–83C12D86ADC7} – C:Program Files411Ferret oolbar.dll (file missing)
O4 – HKLM..Run: [Breg] "C:Program FilesCommon FilesJavareg.exe"
O4 – HKLM..Run: [WeatherOnTray] C:Program FilesHotbarin4.5.0.0WeatherOnTray.exe
O4 – HKLM..Run: [BTV] C:Program FilesBTVtv.exe
O4 – HKLM..Run: [AdRoarUpdate] C:WINDOWSARUpdate.exe
O4 – HKLM..Run: [Sys Ren] C:WINDOWSSysRen.exe /S
O4 – HKLM..Run: [zSearch] C:Program FileszSearchstb.exe
O4 – HKLM..Run: [Grokster] C:PROGRA~1GroksterGrokster.exe /SYSTRAY
O4 – HKLM..Run: [websearch] javaw –cp "C:Program FileswebsearchSystemCode" Main lp: "C:Program Fileswebsearch"
O4 – HKLM..Run: [svchost] C:WINDOWSsvchost.exe
O4 – HKLM..RunOnce: [TV Media] C:Program FilesTV MediaTvm.exe
O4 – HKCU..Run: [zSearch] C:Program FileszSearchstb.exe
O4 – HKCU..RunOnce: [TV Media] C:Program FilesTV MediaTvm.exe
O8 – Extra context menu item: &411 Ferret Toolbar search – res://C:Program Files411Ferret oolbar.dll/SEARCH.HTML
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – (no file)
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – (no file)
O13 – DefaultPrefix: http://69.50.191.50/?
O13 – WWW Prefix: http://69.50.191.50/?
O16 – DPF: {10003000–1000–0000–1000–000000000000} – ms–its:html:file://C:foo.mht!http://195.225.177.13/1034/online.chm::/on–line.exe
O16 – DPF: {11111111–1111–1111–1111–111111111123} – its:html:file://C:.mht!http://69.50.191.52/3100/b.chm::/b.exe
O16 – DPF: {9656B666–992F–4D74–8588–8CA69E97D90C} – http://www.commonname.com/en/oneclick/uninstbb.cab
O18 – Filter: text/html – {32C9B681–4C85–47FD–9D44–197AF0A1FB16} – C:WINDOWSSystem32ocgma.dll
O18 – Filter: text/plain – {32C9B681–4C85–47FD–9D44–197AF0A1FB16} – C:WINDOWSSystem32ocgma.dll


Wyłączyć procesy w Tasku ( jeśli są ) :

btv.exe,
websearch.exe,
breg.exe,
WeatherOnTray.exe,
ARUpdate.exe,
SysRen.exe,
Zstb.exe,
Grokster.exe,
Tvm.exe,
b.exe,

Wyszukać je zaznaczając ukryte i usunąć,

ocgma.dll,
toolbar.dll,

Wyszukać je zaznaczając ukryte i usunąć.

O4 – HKLM..Run: [svchost] C:WINDOWSsvchost.exe, kto wie czy svchost.exe nie został zainfekowany i nie trzeba będzie go naprawiac bo lokalizacja klucza bardzo typowa dla infekcji w svchost.exe
Sama lokalizacja własciwego svchost.exe jest w System32 a nie w Windows więc go teź trzeba usunąć i wyłaczyć w tasku ( jeśli jest ) tylko źeby wiedzieć który to teraz ( ten uruchomiony przez usera ), ale najpierw próbowałbym z lokalizacji w zaleźności jakie info bym dostał.

BTW, takiego syfu dawno nie widziałem, co ty robisz źeby tak zainfekować system :?: .
McScr@by
Dodano
19.08.2004 20:06:05
m_natalia
Dodano:
19.08.2004 19:06:49
Komentarzy:
7
Strona 1 / 1