Hijack czy trojan ?
Łącze się przez LAN. wszedłem na jakąś z dupy stronkę na HSLAB.PL!!(do której był link z posta centrumxp, gdy szukałem o odchodzaniu systemu) na której zapytał komp czy chce zainstalować obiekt. dałem NIE i wyszedłem z tej stronki. od tamtej pory otwierają mi się okna normalnego IEXPLORE do strony która traktuje o security i o tym źe moźna sie do mojego kompa włamać i źeby zainstalować ich oprogramowanie. skanowalem kompa juź adawarem i trojan removerem i NIC !!!! adawar usuwa jakieś klucze i czasem nawet foldery, ale najwidoczniej nie rozwiązuje to problemu a jedynie efekt działalności tego co się zainstalowało. w procesach nie ma nic nietypowego.
mam takie poprawki:
WindowsXP–KB823980–x86–PLK.exe
WindowsXP–KB824146–x86–PLK.exe
WindowsXP–KB824146–x86–PLK.exe
WindowsXP–KB835732–x86–PLK.EXE
WindowsXP–KB837001–x86–PLK.EXE
WindowsXP–KB839643–x86–PLK.EXE
WindowsXP–KB840374–x86–PLK.EXE
to poniekąd wszystkie sassero/blastero podobne.
a oto linki stron jakie mi się otwierają (wchodzisz na własną odpowiedzialność)
http://65.61.157.153/AdServer/MemTurbo/Adm/ad.htm
http://69.20.62.53/yyy4.html
http://ads1.revenue.net/l?O_R_NUM=5871&O_RANK=1&O_CREATIVE_ID=206065&O_SITE_ID=12323&
http://ads1.revenue.net/r?site_id=12323&pplacement_id=1&r_num=1848
http://ads1.revenue.net/r?site_id=12323&pplacement_id=1&r_num=5871
http://adserver.sharewareonline.com/AdServer/ArmorIE/Common/Coupon/coupon.asp?medianuntarg
http://adserver.sharewareonline.com/AdServer/ArmorIE/Common/landingt1.asp?medianuntarg
http://adv1.eblocs.com/spyblocs/adv/dmedi_002.html
http://webpdp.gator.com/4/message/614/pip/PluginPageJuly04.html?q=cD00NDUmZD0wJmVsPTEmdz1RUU9BaXdyM0JwZ0FBRjByVDBB
na jednej z tych stron nawet była jakaś panna narysowana i gadała o tym źe mam dziury w systemie i ze moźna przechwicić kompa oraz źe trzeba ich soft zainstalować źeby nie mieć dziur.
czy spotkał się z tym ktoś z Was ?? czy to trojan czy jakiś plugin do IE ?? w dodaj/usuń nie ma nic nowego, zatem jeśli plugin to pewnie reinstal windowsa :/
pozdrawiam i proszę o szybką pomoc, gdyź okienka wywalają często.
Silent
mam takie poprawki:
WindowsXP–KB823980–x86–PLK.exe
WindowsXP–KB824146–x86–PLK.exe
WindowsXP–KB824146–x86–PLK.exe
WindowsXP–KB835732–x86–PLK.EXE
WindowsXP–KB837001–x86–PLK.EXE
WindowsXP–KB839643–x86–PLK.EXE
WindowsXP–KB840374–x86–PLK.EXE
to poniekąd wszystkie sassero/blastero podobne.
a oto linki stron jakie mi się otwierają (wchodzisz na własną odpowiedzialność)
http://65.61.157.153/AdServer/MemTurbo/Adm/ad.htm
http://69.20.62.53/yyy4.html
http://ads1.revenue.net/l?O_R_NUM=5871&O_RANK=1&O_CREATIVE_ID=206065&O_SITE_ID=12323&
http://ads1.revenue.net/r?site_id=12323&pplacement_id=1&r_num=1848
http://ads1.revenue.net/r?site_id=12323&pplacement_id=1&r_num=5871
http://adserver.sharewareonline.com/AdServer/ArmorIE/Common/Coupon/coupon.asp?medianuntarg
http://adserver.sharewareonline.com/AdServer/ArmorIE/Common/landingt1.asp?medianuntarg
http://adv1.eblocs.com/spyblocs/adv/dmedi_002.html
http://webpdp.gator.com/4/message/614/pip/PluginPageJuly04.html?q=cD00NDUmZD0wJmVsPTEmdz1RUU9BaXdyM0JwZ0FBRjByVDBB
na jednej z tych stron nawet była jakaś panna narysowana i gadała o tym źe mam dziury w systemie i ze moźna przechwicić kompa oraz źe trzeba ich soft zainstalować źeby nie mieć dziur.
czy spotkał się z tym ktoś z Was ?? czy to trojan czy jakiś plugin do IE ?? w dodaj/usuń nie ma nic nowego, zatem jeśli plugin to pewnie reinstal windowsa :/
pozdrawiam i proszę o szybką pomoc, gdyź okienka wywalają często.
Silent
Odpowiedzi: 20
Fix :
Wyszukaj zaznaczając ukryte i usuń :
jmma.dll
sp.html
BTW log jest nie kompletny brak kluczy Run.
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1domUSTAWI~1Tempsp.html
O2 – BHO: (no name) – {BBEF2C98–B150–47B5–B0D0–064E4A2CB4D8} – C:WINDOWSSystem32jmma.dll
O18 – Filter: text/html – {2120E5D9–3C91–42C5–9974–D11D1850C6DC} – C:WINDOWSSystem32jmma.dll
O18 – Filter: text/plain – {2120E5D9–3C91–42C5–9974–D11D1850C6DC} – C:WINDOWSSystem32jmma.dll
Wyszukaj zaznaczając ukryte i usuń :
jmma.dll
sp.html
BTW log jest nie kompletny brak kluczy Run.
Logfile of HijackThis v1.98.2
Scan saved at 18:32:05, on 2004–08–24
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSMicrosoft.NETFrameworkv2.0.40607aspnet_admin.exe
C:Program FilesKerioPersonal Firewall 4kpf4ss.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Program FilesKerioPersonal Firewall 4kpf4gui.exe
C:WINDOWSExplorer.EXE
C:Program FilesKerioPersonal Firewall 4kpf4gui.exe
C:WINDOWSSystem32wuauclt.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
C:XPhijackthisHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {BBEF2C98–B150–47B5–B0D0–064E4A2CB4D8} – C:WINDOWSSystem32jmma.dll
O17 – HKLMSystemCCSServicesTcpip..{926260F6–F4AE–4F68–9F26–0BB9F197E093}: NameServer = 194.204.159.1
O18 – Filter: text/html – {2120E5D9–3C91–42C5–9974–D11D1850C6DC} – C:WINDOWSSystem32jmma.dll
O18 – Filter: text/plain – {2120E5D9–3C91–42C5–9974–D11D1850C6DC} – C:WINDOWSSystem32jmma.dll
uzywam winapatrola, spyware doctor,adaware 6, cwsredder.,i inne kasuje je ale jak wlacze IE to one znowu wskakuja, mam rez najnowsze upgrade micrositu!juz nie wiem co mam robic, to pewnie jakis robak najbardziej wnerwiaja mnie *.dll bo po skasowaniu jednego wchodzi mi drui ktory jest odpowiedizlany za te motke! hijacthis nie kasuje wszytskiego wiadomo ip DNSa. jak mam sie tego pozbyc bo tak naprawde wszytsko dzial polowicznie!
Scan saved at 18:32:05, on 2004–08–24
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSMicrosoft.NETFrameworkv2.0.40607aspnet_admin.exe
C:Program FilesKerioPersonal Firewall 4kpf4ss.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Program FilesKerioPersonal Firewall 4kpf4gui.exe
C:WINDOWSExplorer.EXE
C:Program FilesKerioPersonal Firewall 4kpf4gui.exe
C:WINDOWSSystem32wuauclt.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
C:XPhijackthisHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1domUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {BBEF2C98–B150–47B5–B0D0–064E4A2CB4D8} – C:WINDOWSSystem32jmma.dll
O17 – HKLMSystemCCSServicesTcpip..{926260F6–F4AE–4F68–9F26–0BB9F197E093}: NameServer = 194.204.159.1
O18 – Filter: text/html – {2120E5D9–3C91–42C5–9974–D11D1850C6DC} – C:WINDOWSSystem32jmma.dll
O18 – Filter: text/plain – {2120E5D9–3C91–42C5–9974–D11D1850C6DC} – C:WINDOWSSystem32jmma.dll
uzywam winapatrola, spyware doctor,adaware 6, cwsredder.,i inne kasuje je ale jak wlacze IE to one znowu wskakuja, mam rez najnowsze upgrade micrositu!juz nie wiem co mam robic, to pewnie jakis robak najbardziej wnerwiaja mnie *.dll bo po skasowaniu jednego wchodzi mi drui ktory jest odpowiedizlany za te motke! hijacthis nie kasuje wszytskiego wiadomo ip DNSa. jak mam sie tego pozbyc bo tak naprawde wszytsko dzial polowicznie!
Odpalasz CWShredder, ale pamiętaj źeby wcześniej wyłączyć wszystkie nie windowsowe programy z traya i zamknij wszystkie okna. przeskanuj kompa tym programem niech wywali wszystko. teraz ad–aware razem ze skanowaniem zaraz po uruchomieniu (on sam o to pyta jeśli procedura tego wymaga) moźesz teź ewentualnie jeśli parokrotne powtórzenie tej operacji nie pomoźe, uźyć HIJACKTHIS i zapisać sobie log z niego jako plik tekstowy. następnie stworzyć nowy topic i wkleić ten log. znawcy tematu doradzą co wywalić.
Kompy rox, Bill sucks
Kompy rox, Bill sucks
stary mam dokladnie taki sam problem jak ty.
odpisz doklanie jakzes sie tego pozbyl!
potrzebuje pomocy bo rozwale teego compa....:)
teraz naprawde kumam linuxowcow!
odpisz doklanie jakzes sie tego pozbyl!
potrzebuje pomocy bo rozwale teego compa....:)
teraz naprawde kumam linuxowcow!
po wielogodzinnej batalii udało się. Dziękuję Wam serdecznie za pomoc. jak zawsze centrumxp okazało się wspaniałym serwisem z jeszcze lepszymi ludźmi. pozdrawiam i kładę się spać spokojny oraz bogatszy o wiedze na temat hijackopodobnych programów.
polecam wszystkim z podobnym problemem tą stronę:
http://www.pchell.com/support/
Dobrej nocy :)
polecam wszystkim z podobnym problemem tą stronę:
http://www.pchell.com/support/
Dobrej nocy :)
przyjźałem się procesom jakie widzi procwatch w adaware.
comctl32.dll C:WINDOWSWinSxSX86_Microsoft.Windows.Common–Controls_6595b64144ccf1df_6.0.10.0_x–ww_f7fb5805comctl32.dll $0001 $FF $FF $E400
ten odpowiada za javę a w porównaniu do innych procesów wyświetlanych przez procwatch wygląda inaczej, jakby miał parametr.
comctl32.dll C:WINDOWSWinSxSX86_Microsoft.Windows.Common–Controls_6595b64144ccf1df_6.0.10.0_x–ww_f7fb5805comctl32.dll $0001 $FF $FF $E400
ten odpowiada za javę a w porównaniu do innych procesów wyświetlanych przez procwatch wygląda inaczej, jakby miał parametr.
cwshredder wykrył "bootconf" i go usunął. naprawił teź HOSTS file. przeskanowałem adawarem, hijackthisem usunąłem syfy, przeskanowałem cwshredderem i nic nie pokazuje. podobnie jak adaware i hijackthis A TE PIER.....NE OKNA SIE WCIĄŻ POKAZUJĄ !!!!!!!!!!!!!!!! Poprostu zaraz się zdenerwuję i pójdzie format. grrrrr ehh ta winda.
Jesli masz chwile czasu, sprawdz sobie te wszystkie biblioteki – skad sa i co robia :wink: .
Co do tego http://www.look2me.com/cgi–bin/PopupV2 – sciagnij sobie CWShredder–a i powinienes sie tego pozbyc. Reczny sposob usuwania znajdziesz na http://www.pchell.com/support/look2me.shtml
P.S. Sprawdz w rejestrze ciag pokazujacy sie w linku – {79D751BF–02B4–4E20–AA00–0C1058212DE7}.
Co do tego http://www.look2me.com/cgi–bin/PopupV2 – sciagnij sobie CWShredder–a i powinienes sie tego pozbyc. Reczny sposob usuwania znajdziesz na http://www.pchell.com/support/look2me.shtml
P.S. Sprawdz w rejestrze ciag pokazujacy sie w linku – {79D751BF–02B4–4E20–AA00–0C1058212DE7}.
aha jeszcze co. w adaware jest procwatch. oto log z niego
Ad–aware 6 moduł przechwytywania 2004–07–26 04:22:07
––––––––––––––––––––––––––––––––––––––––––––––––
Path ModuleID Used # SysUse # Base
Ad–aware.exe C:Program FilesLavasoftAd–aware 6Ad–aware.exe $0001 $FF $FF $2390
ntdll.dll C:WINDOWSSystem32 tdll.dll $0001 $FF $FF $A900
kernel32.dll C:WINDOWSsystem32kernel32.dll $0001 $FF $FF $ED00
user32.dll C:WINDOWSsystem32user32.dll $0001 $FF $FF $8C00
GDI32.dll C:WINDOWSsystem32GDI32.dll $0001 $FF $FF $4100
ADVAPI32.dll C:WINDOWSsystem32ADVAPI32.dll $0001 $FF $FF $9E00
RPCRT4.dll C:WINDOWSsystem32RPCRT4.dll $0001 $FF $FF $8700
oleaut32.dll C:WINDOWSsystem32oleaut32.dll $0001 $FF $FF $8B00
MSVCRT.DLL C:WINDOWSsystem32MSVCRT.DLL $0001 $FF $FF $5300
OLE32.DLL C:WINDOWSsystem32OLE32.DLL $0001 $FF $FF $1240
mpr.dll C:WINDOWSsystem32mpr.dll $0001 $FF $FF $1100
version.dll C:WINDOWSsystem32version.dll $0001 $FF $FF $7000
comctl32.dll C:WINDOWSWinSxSX86_Microsoft.Windows.Common–Controls_6595b64144ccf1df_6.0.10.0_x–ww_f7fb5805comctl32.dll $0001 $FF $FF $E400
SHLWAPI.dll C:WINDOWSsystem32SHLWAPI.dll $0001 $FF $FF $6400
winspool.drv C:WINDOWSSystem32winspool.drv $0001 $FF $FF $2300
shell32.dll C:WINDOWSsystem32shell32.dll $0001 $FF $FF $7FE0
comdlg32.dll C:WINDOWSsystem32comdlg32.dll $0001 $FF $FF $4500
winmm.dll C:WINDOWSSystem32winmm.dll $0001 $FF $FF $2D00
ws2_32.dll C:WINDOWSSystem32ws2_32.dll $0001 $FF $FF $1500
WS2HELP.dll C:WINDOWSSystem32WS2HELP.dll $0001 $FF $FF $8000
AAWHELPER.DLL C:Program FilesLavasoftAd–aware 6AAWHELPER.DLL $0001 $FF $FF $1800
IMM32.DLL C:WINDOWSSystem32IMM32.DLL $0001 $05 $05 $1C00
LPK.DLL C:WINDOWSSystem32LPK.DLL $0001 $01 $01 $8000
USP10.dll C:WINDOWSSystem32USP10.dll $0001 $01 $01 $5A00
msctfime.ime C:WINDOWSSystem32msctfime.ime $0001 $02 $02 $2B00
olepro32.dll C:WINDOWSSystem32olepro32.dll $0001 $01 $01 $1A00
uxtheme.dll C:WINDOWSSystem32uxtheme.dll $0001 $02 $02 $3400
RICHED32.DLL C:WINDOWSSystem32RICHED32.DLL $0001 $01 $01 $5000
RICHED20.dll C:WINDOWSSystem32RICHED20.dll $0001 $01 $01 $6A00
Msimtf.dll C:WINDOWSSystem32Msimtf.dll $0001 $01 $01 $2600
MSCTF.dll C:WINDOWSSystem32MSCTF.dll $0001 $01 $01 $4400
SETUPAPI.dll C:WINDOWSSystem32SETUPAPI.dll $0001 $01 $01 $EA00
CLBCATQ.DLL C:WINDOWSSystem32CLBCATQ.DLL $0001 $02 $02 $8100
COMRes.dll C:WINDOWSSystem32COMRes.dll $0001 $02 $02 $CD00
Ad–aware 6 moduł przechwytywania 2004–07–26 04:22:07
––––––––––––––––––––––––––––––––––––––––––––––––
Path ModuleID Used # SysUse # Base
Ad–aware.exe C:Program FilesLavasoftAd–aware 6Ad–aware.exe $0001 $FF $FF $2390
ntdll.dll C:WINDOWSSystem32 tdll.dll $0001 $FF $FF $A900
kernel32.dll C:WINDOWSsystem32kernel32.dll $0001 $FF $FF $ED00
user32.dll C:WINDOWSsystem32user32.dll $0001 $FF $FF $8C00
GDI32.dll C:WINDOWSsystem32GDI32.dll $0001 $FF $FF $4100
ADVAPI32.dll C:WINDOWSsystem32ADVAPI32.dll $0001 $FF $FF $9E00
RPCRT4.dll C:WINDOWSsystem32RPCRT4.dll $0001 $FF $FF $8700
oleaut32.dll C:WINDOWSsystem32oleaut32.dll $0001 $FF $FF $8B00
MSVCRT.DLL C:WINDOWSsystem32MSVCRT.DLL $0001 $FF $FF $5300
OLE32.DLL C:WINDOWSsystem32OLE32.DLL $0001 $FF $FF $1240
mpr.dll C:WINDOWSsystem32mpr.dll $0001 $FF $FF $1100
version.dll C:WINDOWSsystem32version.dll $0001 $FF $FF $7000
comctl32.dll C:WINDOWSWinSxSX86_Microsoft.Windows.Common–Controls_6595b64144ccf1df_6.0.10.0_x–ww_f7fb5805comctl32.dll $0001 $FF $FF $E400
SHLWAPI.dll C:WINDOWSsystem32SHLWAPI.dll $0001 $FF $FF $6400
winspool.drv C:WINDOWSSystem32winspool.drv $0001 $FF $FF $2300
shell32.dll C:WINDOWSsystem32shell32.dll $0001 $FF $FF $7FE0
comdlg32.dll C:WINDOWSsystem32comdlg32.dll $0001 $FF $FF $4500
winmm.dll C:WINDOWSSystem32winmm.dll $0001 $FF $FF $2D00
ws2_32.dll C:WINDOWSSystem32ws2_32.dll $0001 $FF $FF $1500
WS2HELP.dll C:WINDOWSSystem32WS2HELP.dll $0001 $FF $FF $8000
AAWHELPER.DLL C:Program FilesLavasoftAd–aware 6AAWHELPER.DLL $0001 $FF $FF $1800
IMM32.DLL C:WINDOWSSystem32IMM32.DLL $0001 $05 $05 $1C00
LPK.DLL C:WINDOWSSystem32LPK.DLL $0001 $01 $01 $8000
USP10.dll C:WINDOWSSystem32USP10.dll $0001 $01 $01 $5A00
msctfime.ime C:WINDOWSSystem32msctfime.ime $0001 $02 $02 $2B00
olepro32.dll C:WINDOWSSystem32olepro32.dll $0001 $01 $01 $1A00
uxtheme.dll C:WINDOWSSystem32uxtheme.dll $0001 $02 $02 $3400
RICHED32.DLL C:WINDOWSSystem32RICHED32.DLL $0001 $01 $01 $5000
RICHED20.dll C:WINDOWSSystem32RICHED20.dll $0001 $01 $01 $6A00
Msimtf.dll C:WINDOWSSystem32Msimtf.dll $0001 $01 $01 $2600
MSCTF.dll C:WINDOWSSystem32MSCTF.dll $0001 $01 $01 $4400
SETUPAPI.dll C:WINDOWSSystem32SETUPAPI.dll $0001 $01 $01 $EA00
CLBCATQ.DLL C:WINDOWSSystem32CLBCATQ.DLL $0001 $02 $02 $8100
COMRes.dll C:WINDOWSSystem32COMRes.dll $0001 $02 $02 $CD00
uruchomiłem w AD–AWARE funkcję AD WATCH. oto LOG.
do ściągania plików z netu uźywam Regeta, miałem go wyłączonego gdy wyskoczyło to:
Ad–Watch zdarzenia–log, wyeksportowany: 2004–07–26
Ilość zdarzeń:3
===============================================
2004–07–26 03:55:06 – Popup blocked (http://webpdp.gator.com/4/message/612/pip/PluginPageJuly04.html?q=cD00NDUmZD0wJmVsPTEmdz1RUVJrY – Microsoft Internet Explorer)
Internet Explorer event
Parentprocess:vcdplay.exe
"http://webpdp.gator.com/4/message/612/pip/PluginPageJuly04.html?q=cD00NDUmZD0wJmVsPTEmdz1RUVJrY – Microsoft Internet Explorer"
Handle:2227699908
Classname:IEFrame
gdy go włączyłem:
===============================================
2004–07–26 04:05:14 – Popup blocked (http://www.azoogleads.com/az/ch.php?f=781&i=1918&sub=popup&pop=0&aux=&bypass= – Microsoft Internet Explorer)
Internet Explorer event
Parentprocess:regetdx.exe
"http://www.azoogleads.com/az/ch.php?f=781&i=1918&sub=popup&pop=0&aux=&bypass= – Microsoft Internet Explorer"
Handle:2256798278
Classname:IEFrame
2004–07–26 04:05:14: Popup blocked: "http://www.azoogleads.com/az/ch.php?f=781&i=1918&sub=popup&pop=0&aux=&bypass= – Microsoft Internet Explorer"
gdy go spowrotem wyłączyłem wrócił do "koźystania" z procesu vcdplay który jest w rzeczywistości jedynie virtualcd :(
skanowanie adawarem ciągle znajduje 5 plików i ciągle je usuwam. trojan remover NIC, hijackthis teź nic nie widzi. ew. log z hijackthisa:
Logfile of HijackThis v1.98.0
Scan saved at 04:15:20, on 2004–07–26
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesVirtual CD v4Systemvcdsecs.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
C:Program FilesLavasoftAd–aware 6Ad–watch.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and Settingssilent2PulpitNowy folder (2)HijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [VCDPlayer] C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
moźe wyłączyć nvcpldaemon ?? w końcu to "jakiś" rundll aczkolwiek wiem iź od grafy.
do ściągania plików z netu uźywam Regeta, miałem go wyłączonego gdy wyskoczyło to:
Ad–Watch zdarzenia–log, wyeksportowany: 2004–07–26
Ilość zdarzeń:3
===============================================
2004–07–26 03:55:06 – Popup blocked (http://webpdp.gator.com/4/message/612/pip/PluginPageJuly04.html?q=cD00NDUmZD0wJmVsPTEmdz1RUVJrY – Microsoft Internet Explorer)
Internet Explorer event
Parentprocess:vcdplay.exe
"http://webpdp.gator.com/4/message/612/pip/PluginPageJuly04.html?q=cD00NDUmZD0wJmVsPTEmdz1RUVJrY – Microsoft Internet Explorer"
Handle:2227699908
Classname:IEFrame
gdy go włączyłem:
===============================================
2004–07–26 04:05:14 – Popup blocked (http://www.azoogleads.com/az/ch.php?f=781&i=1918&sub=popup&pop=0&aux=&bypass= – Microsoft Internet Explorer)
Internet Explorer event
Parentprocess:regetdx.exe
"http://www.azoogleads.com/az/ch.php?f=781&i=1918&sub=popup&pop=0&aux=&bypass= – Microsoft Internet Explorer"
Handle:2256798278
Classname:IEFrame
2004–07–26 04:05:14: Popup blocked: "http://www.azoogleads.com/az/ch.php?f=781&i=1918&sub=popup&pop=0&aux=&bypass= – Microsoft Internet Explorer"
gdy go spowrotem wyłączyłem wrócił do "koźystania" z procesu vcdplay który jest w rzeczywistości jedynie virtualcd :(
skanowanie adawarem ciągle znajduje 5 plików i ciągle je usuwam. trojan remover NIC, hijackthis teź nic nie widzi. ew. log z hijackthisa:
Logfile of HijackThis v1.98.0
Scan saved at 04:15:20, on 2004–07–26
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesVirtual CD v4Systemvcdsecs.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
C:Program FilesLavasoftAd–aware 6Ad–watch.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and Settingssilent2PulpitNowy folder (2)HijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [VCDPlayer] C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
moźe wyłączyć nvcpldaemon ?? w końcu to "jakiś" rundll aczkolwiek wiem iź od grafy.
adaware, hijackthis, trojan remover, skaner online, I NADAL WYSKAKUJĄ TE JE.....NE OKIENKA!!!! najfajniejsze źe na wszystkich kontach łącznie z administratorem.
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesVirtual CD v4Systemvcdsecs.exe
C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
C:Program FilesRivaTunerRivaTuner.exe
C:Program FilesETWC v1.1etwc.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesWinampwinamp.exe
C:Program FilesTlen.pl len.exe
C:WINDOWSexplorer.exe
C:Documents and SettingsSilentPulpitNowy folder (2)HijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.pl/
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [VCDPlayer] C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [WinPatrol] "C:PROGRA~1BILLPS~1WINPAT~1WinPatrol.exe"
O4 – Startup: Skrót do SetiStash.lnk = C:ProgramySETI@homeSetiStashSetiStash.exe
O8 – Extra context menu item: &Pobierz przez ReGet Deluxe – C:Program FilesCommon FilesReGet SharedCC_Link.htm
O8 – Extra context menu item: Pobierz &wszystko przez ReGet Deluxe – C:Program FilesCommon FilesReGet SharedCC_All.htm
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesVirtual CD v4Systemvcdsecs.exe
C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
C:Program FilesRivaTunerRivaTuner.exe
C:Program FilesETWC v1.1etwc.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesWinampwinamp.exe
C:Program FilesTlen.pl len.exe
C:WINDOWSexplorer.exe
C:Documents and SettingsSilentPulpitNowy folder (2)HijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.pl/
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [VCDPlayer] C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [WinPatrol] "C:PROGRA~1BILLPS~1WINPAT~1WinPatrol.exe"
O4 – Startup: Skrót do SetiStash.lnk = C:ProgramySETI@homeSetiStashSetiStash.exe
O8 – Extra context menu item: &Pobierz przez ReGet Deluxe – C:Program FilesCommon FilesReGet SharedCC_Link.htm
O8 – Extra context menu item: Pobierz &wszystko przez ReGet Deluxe – C:Program FilesCommon FilesReGet SharedCC_All.htm
hijackthis poszedł w ruch, wyczyściłem, confusearch.dll nie ma na dysku a nadal wyskakuje:
http://www.look2me.com/cgi–bin/PopupV2?ID={79D751BF–02B4–4E20–AA00–0C1058212DE7}&AD=Revenue
:( shit
http://www.look2me.com/cgi–bin/PopupV2?ID={79D751BF–02B4–4E20–AA00–0C1058212DE7}&AD=Revenue
:( shit
heh juz pisałem posta źe wszystko OK, a tu wyskoczył mi popup z nikąd. wróciły klucze itp. cóź. pora odpalić hijackthis. moźe coś źle zrobiłem.
Fix :
Wyszukać i usunąc :
ConfuSearch.dll .
R3 – URLSearchHook: CnfSearch Class – {D7CD08F0–D691–11D8–9669–0800200C9A66} – C:WINDOWSSystem32ConfuSearch.dll
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O16 – DPF: {1D6711C8–7154–40BB–8380–3DEA45B69CBF} (Web P2P Installer)
O16 – DPF: {7B297BFD–85E4–4092–B2AF–16A91B2EA103} (WScanCtl Class) – http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
Wyszukać i usunąc :
ConfuSearch.dll .
Dla mnie podejrzane są wpisy R3 01 01 01 016 016.
Ale poczekaj na kogoś kto się na tym dobrze zna.
Aha, jeszcze jedno Twój log jest niekompletny, brakuje wpisów procesów. Tylko procesy + to co podałeś mogą powiedzieć co się u Ciebie dzieje.
Ale poczekaj na kogoś kto się na tym dobrze zna.
Aha, jeszcze jedno Twój log jest niekompletny, brakuje wpisów procesów. Tylko procesy + to co podałeś mogą powiedzieć co się u Ciebie dzieje.
oto log z hijackthis–a
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – URLSearchHook: CnfSearch Class – {D7CD08F0–D691–11D8–9669–0800200C9A66} – C:WINDOWSSystem32ConfuSearch.dll
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [VCDPlayer] C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [WinPatrol] "C:PROGRA~1BILLPS~1WINPAT~1WinPatrol.exe"
O4 – Startup: Skrót do SetiStash.lnk = C:ProgramySETI@homeSetiStashSetiStash.exe
O8 – Extra context menu item: &Pobierz przez ReGet Deluxe – C:Program FilesCommon FilesReGet SharedCC_Link.htm
O8 – Extra context menu item: Pobierz &wszystko przez ReGet Deluxe – C:Program FilesCommon FilesReGet SharedCC_All.htm
O16 – DPF: {1D6711C8–7154–40BB–8380–3DEA45B69CBF} (Web P2P Installer) –
O16 – DPF: {7B297BFD–85E4–4092–B2AF–16A91B2EA103} (WScanCtl Class) – http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – URLSearchHook: CnfSearch Class – {D7CD08F0–D691–11D8–9669–0800200C9A66} – C:WINDOWSSystem32ConfuSearch.dll
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [VCDPlayer] C:PROGRA~1VIRTUA~1SystemVCDPlay.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [WinPatrol] "C:PROGRA~1BILLPS~1WINPAT~1WinPatrol.exe"
O4 – Startup: Skrót do SetiStash.lnk = C:ProgramySETI@homeSetiStashSetiStash.exe
O8 – Extra context menu item: &Pobierz przez ReGet Deluxe – C:Program FilesCommon FilesReGet SharedCC_Link.htm
O8 – Extra context menu item: Pobierz &wszystko przez ReGet Deluxe – C:Program FilesCommon FilesReGet SharedCC_All.htm
O16 – DPF: {1D6711C8–7154–40BB–8380–3DEA45B69CBF} (Web P2P Installer) –
O16 – DPF: {7B297BFD–85E4–4092–B2AF–16A91B2EA103} (WScanCtl Class) – http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
silent, watpie aby to "zarazenie" mialo miejsce na hslab. Najprawdopodobniej namieszal Ci troche albo jakis srypt albo ActivX.
Uzyj HiJackThis–a, przeskanuj, zaznacz co niepotrzebne i usun FIXem. Jesli nie jestes pewien czegos, wklej tu loga z tego programu.
O innych przydatnych programach nie wspominam, bo nie zawsze sa skuteczne.
Uzyj HiJackThis–a, przeskanuj, zaznacz co niepotrzebne i usun FIXem. Jesli nie jestes pewien czegos, wklej tu loga z tego programu.
O innych przydatnych programach nie wspominam, bo nie zawsze sa skuteczne.
witam!
jeśli myślisz źe to moźe być plugin do IE to moźesz sobie wgrać program WinPatrol i zobaczyc czy jest "coś" w zakładce – IE Helpers, a jak coś znajdziesz to zaznaczasz i Remove, i juź tego niema ;)
ps. WinPatrol – http://www.winpatrol.com/
jeśli myślisz źe to moźe być plugin do IE to moźesz sobie wgrać program WinPatrol i zobaczyc czy jest "coś" w zakładce – IE Helpers, a jak coś znajdziesz to zaznaczasz i Remove, i juź tego niema ;)
ps. WinPatrol – http://www.winpatrol.com/
Witaj silent najprawdopodobniej to nowy bug do którego nie ma patcha w windows update najlepiej wyłączyć obsługę activx dla całego systemu poszukaj w katalogu plugins IE tam moźe być jakiś dll odpowiedzialny za to, poza tym w proces moźna ukryć i winda juź go nie widzi jak by go nie było. To jest moja opinia o tym jaki to jest powód, a zalecam rezygnacje z produktów M$ i linuks lub co najmniej zastąpienie IE inną przeglądarka np. opera firefox etc. IE nie jest wstanie zagwarantować naleźytego bezpieczeństwa ze względu iź jest zintegrowany z systemem a to oznacza duźe kłopoty, :wink: a "KOCHANY" M$ tego nie chce zrozumieć :twisted:
Strona 1 / 1