CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo need help

need help

Jestem juz u kresu wytrzymałosci ten shit jest tak denerwujący –––> oczywiscie chodzi o stronę startową
Próbowałem :Adware spybota i schreddera przesyłam wam loga z hijack'a ........ POMÓŻCIE MI

Logfile of HijackThis v1.97.7
Scan saved at 19:04:21, on 2004–05–25
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesJavaj2re1.4.2_04injusched.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesGadu–Gadugg.exe
C:docume~1micha~1daneap~1 skmon.exe
C:Program FilesVIARAID aid_tool.exe
C:Program FilesSpywareGuardsgmain.exe
C:Program FilesSpywareGuardsgbhp.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsMichałPulpitHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://cashsearch.biz/redir1.php
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://cashsearch.biz/redir1.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://cashsearch.biz/redir1.php
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://cashsearch.biz/redir1.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://google.pl
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://google.pl
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://cashsearch.biz/redir1.php
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://cashsearch.biz/redir1.php
O2 – BHO: SpywareGuard Download Protection – {4A368E80–174F–4872–96B5–0B27DDD11DB2} – C:Program FilesSpywareGuarddlprotect.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:Program FilesSpybot – Search & DestroySDHelper.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
O4 – HKLM..Run: [Microsoft Internet Explorer] C:WINDOWSSystem32IEXPLORE.EXE
O4 – HKLM..Run: [CloneCDTray] "C:Program FilesCloneCDCloneCDTray.exe" /s
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_04injusched.exe
O4 – HKLM..Run: [drayfl2l02] C:Program FilesSymantec8clsua677e.exe
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [System Update4] c:docume~1micha~1daneap~1 skmon.exe
O4 – Startup: SpywareGuard.lnk = C:Program FilesSpywareGuardsgmain.exe
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 – Global Startup: VIA RAID TOOL.lnk = C:Program FilesVIARAID aid_tool.exe
O8 – Extra context menu item: Download All by FlashGet – C:PROGRA~1FlashGetjc_all.htm
O8 – Extra context menu item: Download using FlashGet – C:PROGRA~1FlashGetjc_link.htm
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: FlashGet (HKLM)
O9 – Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 – DPF: {02BF25D5–8C17–4B23–BC80–D3488ABDDC6B} (QuickTime Object) – http://www.apple.com/qtactivex/qtplugin.cab
O16 – DPF: {33564D57–0000–0010–8000–00AA00389B71} – http://download.microsoft.com/download/F/6/E/F6E491A6–77E1–4E20–9F5F–94901338C922/wmv9VCM.CAB
O16 – DPF: {94F5DCB7–816C–4B94–A2C1–856C6E323C5B} – http://akamai.downloadv3.com/binaries/LiveService/LiveService_4_EN_XP.cab
O16 – DPF: {9EB320CE–BE1D–4304–A081–4B4665414BEF} (MediaTicketsInstaller Control) – http://www.mt–download.com/MediaTicketsInstaller.cab
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38110.3904398148
O16 – DPF: {D1E7CBDA–E60E–4970–A01C–37301EF7BF98} (Measurement Service Client v.3.4) – http://ccon.futuremark.com/global/msc34.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O16 – DPF: {EEECA057–AD0F–44A7–8BE5–8634CEDBDBD1} – http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab

Odpowiedzi: 20

Do tego co Liberator napisał dodałbym podobny program , a mianowicie startuplist, który jak i inne przydatne , wymieniane tutaj programy mozna znaleźć na http://www.spywareinfo.com/~merijn/downloads.html
Seeker
Dodano
31.05.2004 00:01:26
:arrow: Moźesz bezproblemowo załoźyć serwer FTP na swoim kompie;
:arrow: Grając w róźne gry w trybie on–line nie będziesz miał problemów z załoźeniem własnego serwera;
:arrow: Większa 'wydajność' w programach P2P. W wypadku niektórych dopiero publiczny IP daje moźliwość 'prawdziwego' korzystania z nich – np. DC++
:arrow: Sam decydujesz (w swoim firewallu), które porty mają zostać otwarte, a które zamknięte (tak jesteś skazany w większości przypadków na usatwienia narzucone przez admina).

To z tych waźniejszych
Pawek
Dodano
30.05.2004 23:21:13
Panowie wybaczcie mi ale jak juz załozyłem ten temat to jeszcze sie spytam o takie ustrojstwo(a 2 nie wiem gdzie sie o to spytać) :
JAKIE SA KORZYSCI Z POSIADANIA ZEWNETRZNEGO IP

P.S Prosze nie besztajcie mnie z błotem za te pytanie
Anonymous
Dodano
30.05.2004 22:38:33
Mrówek:
Polecam stosować obydwa programy.
Poza tym dobry AV i Firewall... I na tym moźna skończyć.
Moze zamiast walic jeden za drugim bezsensowne posty gdzie popadnie, zaczalbys czytac ? Bo ja widze w pierwszym poscie takie zdanie:
Anonymous:
Próbowałem :Adware spybota i schreddera
Tak wiec ... wyluzuj.
EL NINO
Dodano
30.05.2004 16:32:22
Anonymous:
Liberator napisał : ''Ad–aware było dobre kiedyś, ale zaprzestali aktualizacji więc bym go zostawił. Bardziej polecam Spybot'a, Spyware remover'a.." . Ad–aware jest co najmniej 2 razy tygodniowo aktualizacje(jest i częściej), ostatnia aktualizacja Spybota jest sprzed ponad miesiąca, wiec jak to jest?
Polecam stosować obydwa programy. Poza tym dobry AV i Firewall... I na tym moźna skończyć.
Mrówek
Dodano
30.05.2004 16:09:24
Liberator napisał : ''Ad–aware było dobre kiedyś, ale zaprzestali aktualizacji więc bym go zostawił. Bardziej polecam Spybot'a, Spyware remover'a.." .
Ad–aware jest co najmniej 2 razy tygodniowo aktualizacje(jest i częściej), ostatnia aktualizacja Spybota jest sprzed ponad miesiąca, wiec jak to jest?
Anonymous
Dodano
30.05.2004 16:05:54
Liberator napisał : ''Ad–aware było dobre kiedyś, ale zaprzestali aktualizacji więc bym go zostawił. Bardziej polecam Spybot'a, Spyware remover'a.." .
Ad–aware jest co najmniej 2 razy tygodniowo aktualizacje(jest i częściej), ostatnia aktualizacja Spybota jest sprzed ponad miesiąca, wiec jak to jest?
Anonymous
Dodano
30.05.2004 16:05:54
no w sumie nie jestem na tyle nierozwazy zeby klikac tak w byle szit ktory mi wyskoczy ... ale oni sa coraz bardziej upierdliwi np. jak pojawia sie okienko z tak i nie + jakis tekst to znaczek "X" jest w ok 70% zakryty przez znaczek ! ktorego klikniecie pewnie powoduje rozpoczecie jakich syfiastych procesow :?

ale dzieki jeszcze raz :wink:
Anonymous
Dodano
30.05.2004 13:03:36
P.S.

No właśnie. Jak pisze El Nino uwaźaj na co klikasz. Z reguły wszystkie wyskakujące okna zamykaj Esc, jeśli się nie da to X w rogu okna a dopiero jeśli to zawiedzie to wtedy klikaj "Nie". Jeśli jesteś stu–procentowo pewny, źe trzeba kliknąć "Tak" i uwaźnie przeczytałeś treść okna to spoko. I jeszcze jedna przestroga. Sam się kiedyś teź zabezpieczałem po zęby (anty–adwary, anty–keyloggery, dwa firewall'e, antywirus, anty–trojan, filtr portów)lol. Niestety daje to odwrotny skutek i przyciąga uwagę złośliwych, którzy uderzają z jeszcze większą siłą licząc na kopalnię złota poza tymi zabezpieczeniami.
Czasami wystarczą zabezpieczenia zawarte w Internet Explorer. Wystarczy je dobrze przestudiować.
Ale się nagadałem....... ;)
Anonymous
Dodano
28.05.2004 00:18:16
Ad–aware było dobre kiedyś, ale zaprzestali aktualizacji więc bym go zostawił. Bardziej polecam Spybot'a, Spyware remover'a, antywirus teź aczkolwiek antywirus nie wykryje takich rzeczy bo nie są to 100% wirusy. Konieczny jest natomiast firewall. Z software'owych najbardziej polecam Outpost albo Kerio. Nie poddają się źadnym benchmarkom. Zonealarm jest dobry ale do tradycyjnego surfowania ale na strony z crackami trzeba byś bardziej uzbrojonym.
Masz tutaj teź łącze do ściągnięcia skryptu, który wykrywa wszystkie programy i procesy uruchamiane z Windows. Ale ich nie usuwa dlatego trzeba wiedzieć co wolno a co nie:

http://www.aaronoff.com/silent_runners/

Powodzenia na przyszłość.
Anonymous
Dodano
28.05.2004 00:03:02
Anonymous:
... czy wystarczy Zone Alarm, ad–ware 6 i co jakis czas schredder ??????????
Nie.
Jesli korzystasz z IE, to przydalby sie jakis stoper pop–upow, antyvir i ostroznosc przy klikaniu w linki i przyciski w necie.

P.S. Widze ze to kara byla za tego cracka :P :lol: .
EL NINO
Dodano
27.05.2004 22:51:18
Allleluja :D ... ten cholerny syf został zniszczony na amen :P .... mam taką nadzieję ....
tak wiec wypadało by podziekowac grzecznie :
El NINO
LIBERATOR
Panowie dzieki wam wielkie składam

tym syfem zaraziłem sie chyba jak szukałem cracka do alcohola 120

apropos czy wystarczy Zone Alarm, ad–ware 6 i co jakis czas schredder ??????????
Anonymous
Dodano
27.05.2004 19:55:02
a jakie zabezpieczenia proponujesz administratorze?
Anonymous
Dodano
27.05.2004 04:46:49
Coraz więcej syfów tworzą i coraz bardziej przemyślnych. Pliki nazywają podobnie albo tak jak systemowe tylko umieszczają je w innych folderach. Mogę się przemądrzać bo sam jestem adminem ;–) i miałem do czynienia z tą bestią w jednej firmie. Dodam więc, źe istnieje prawdopodobieństwo występowania procesów pod tytułem:
msstask.exe i mstaskss.exe. Obydwa zabić.


P.S.
Mamy tu do czynienia z wirusami/trojanami przenoszonymi drogą płciową (strony XXX). Więc lepiej się poświęcić pracy na komputerze albo się dobrze zabezpieczyć przed "zbliźeniem" :D
Anonymous
Dodano
27.05.2004 02:41:11
Swieta racja z tym iexplore. Mea culpa z tym wpisem, ale ... juz mi sie pierdzieli od tych wpisow z logow przez ostatnie kilka dni.
To W32/Lovgate a moze tworzyc swoje kopie takze w innych plikach:
C:WindowsSystemRAVMOND.exe
C:WindowsSystemWinDriver.exe
C:WindowsSystemWinGate.exe
C:WindowsSystemWinHelp.exe
C:WindowsSystemwinrpc.exe
C:Windowssystem32NetServices.exe
C:Windowssystem32IEXPLORE.EXE
C:Windowssystem32 eg678.dll
C:Windowssystem32Task688.dll
C:Windowsily668.dll
C:Windowskernel66.dll
C:Windows111.dll

P.S. Zawsze mozesz sie wtracic ze swiezym spojrzeniem :wink: .
EL NINO
Dodano
27.05.2004 02:20:17
Jeśli mogę wtrącić bo widzę, źe sobie rady nie dajecie. Na pewno moźesz usunąć zarówno wpis z rejestru jak i plik C:WINDOWSSystem32IEXPLORE.EXE. To nie jest Iexplore MIcrosoft'u. Nie ma prawa być w folderze system32. Poza tym po jakiego miałby się uruchamiać przy starcie?? Więc pan administrator się myli. Wpis z run nie jest poprawny.
Po drugie sprawdź klucz:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
i poszukaj w prawym oknie wartości "System". Usuń ją.
A co do reszty to się zgadzam. Plik system32.dll na odstrzał.
Anonymous
Dodano
27.05.2004 02:01:05
Zarowno Run jak i msconfig wygladaja poprawnie. Procesy podgladasz w Task managerze (Ctrl+Alt+Del).

Poszukaj na dysku ukrytego pliku system32.dll i wykasuj. Bedzie chyba w:
c:windowssystem32system32.dll
c:windowssystemsystem32.dll
System ukryte pliki pokazuje tak:
http://www.xtra.co.nz/help/0,,4155–1916458,00.html

Po wykasowaniu przeskanuj jeszcze raz HiJackiem i wykasuj to co zaznaczylem na poczatku.
EL NINO
Dodano
27.05.2004 01:16:14
o sora ze brak ogarniecia te procesy z msconfiga
to te co wyzej + coś offica osa9.exe –b –l
VIA RAID TOOL
spywareguard
i cos dziwnego
RunDll32 cmicnfg (a polecenie to ––>)rundll32 cmicnfg.cpl,CMICtrlWnd (lokacja ––>)softwareMicro$oftWindowsCurrentVersionRun
Anonymous
Dodano
27.05.2004 00:25:39
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
"C:Program FilesCloneCDCloneCDTray.exe" /s
C:WINDOWSSystem32IEXPLORE.EXE
C:WINDOWSsystem32NeroCheck.exe
C:Program FilesJavaj2re1.4.2_04injusched.exe
w run mam jeszcze gałąź czy klucz (nie wiem jak sie to profesjonalnie nazywa)optional components a w nim IMAIL , MAPI, MSFS
... sora jesli sie zdenerwujesz ale gdzie mam te procesy znalesc
Anonymous
Dodano
27.05.2004 00:10:27
jesli mks online to pewnie znowu falszywy alarm, mnie sie juz tak zdarzylo , niby jest trojan a po wyslaniu pliku do zbadania okazalo sie, ze to falszywy alarm
,przeskanuj online tu (przynajmniej nie ma takich wpadek i jest bardzo dobry) http://us.mcafee.com/root/mfs/default.asp
(polecam link dodac do ulubionych i sprawdzac system raz na tydzien)
Anonymous
Dodano
26.05.2004 23:39:29
Anonymous
Dodano:
25.05.2004 21:11:08
Komentarzy:
20
Strona 1 / 2