CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo problem ze niechcianymi stronkami

problem ze niechcianymi stronkami

Witam. Temat rzeka... Uruchamiają mi sie co chwile jakies reklamy, strony i innego typu badziewia... Po przejechaniu Spy Sweeperem, NAVem, Adaware, AntyVirem oraz AntySpywarem teoretycznie pozbylem sie trojanów i wirusków (łącznie ponad 400 obiektów) ale niechciane stronki nadal mnie męczą...

Załączam log z HiJacka... moze ktos pomoze???

Logfile of HijackThis v1.99.0
Scan saved at 02:07:58, on 2005–02–11
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSMixer.exe
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesDU MeterDUMeter.exe
C:Program FilesD–Toolsdaemon.exe
C:Program FilesHewlett–PackardHP Software UpdateHPWuSchd.exe
C:Program FilesHewlett–PackardDigital Imaginginhpotdd01.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesWebrootSpy SweeperSpySweeper.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:PROGRA~1SymantecNORTON~1GHOSTS~2.EXE
C:Program FilesNorton AntiVirus avapsvc.exe
C:Program FilesCommon FilesSymantec SharedSecurity CenterSymWSC.exe
C:Program Files otalcmd otalcmd.exe
C:WINDOWSsystem32wuauclt.exe
C:DOCUME~1MarcinUSTAWI~1Temp\_tcHijackThis.exe
C:WINDOWSsystem32 undll32.exe

O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:program filesgooglegoogletoolbar2.dll
O4 – HKLM..Run: [C–Media Mixer] Mixer.exe /startup
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
O4 – HKLM..Run: [DU Meter] C:Program FilesDU MeterDUMeter.exe
O4 – HKLM..Run: [DAEMON Tools–1033] "C:Program FilesD–Toolsdaemon.exe" –lang 1033
O4 – HKLM..Run: [HP Software Update] C:Program FilesHewlett–PackardHP Software UpdateHPWuSchd.exe
O4 – HKLM..Run: [HPDJ Taskbar Utility] C:WINDOWSsystem32spooldriversw32x863hpztsb08.exe
O4 – HKLM..Run: [DeviceDiscovery] C:Program FilesHewlett–PackardDigital Imaginginhpotdd01.exe
O4 – HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [eMuleAutoStart] C:Program FileseMuleemule.exe –AutoStart
O4 – HKCU..Run: [SpySweeper] "C:Program FilesWebrootSpy SweeperSpySweeper.exe" /0
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 – Extra context menu item: Translate into English – res://c:program filesgoogleGoogleToolbar2.dll/cmtrans.html
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O23 – Service: AntiVir Service – H+BEDV Datentechnik GmbH – C:Program FilesAVPersonalAVGUARD.EXE
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – C:WINDOWSsystem32Ati2evxx.exe
O23 – Service: ATI Smart – Unknown – C:WINDOWSsystem32ati2sgag.exe
O23 – Service: AntiVir Update – H+BEDV Datentechnik GmbH, Germany – C:Program FilesAVPersonalAVWUPSRV.EXE
O23 – Service: Symantec Event Manager – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
O23 – Service: Symantec Password Validation – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccPwdSvc.exe
O23 – Service: Symantec Settings Manager – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
O23 – Service: GhostStartService – Symantec Corporation – C:PROGRA~1SymantecNORTON~1GHOSTS~2.EXE
O23 – Service: Usługa Auto Protect programu Norton AntiVirus – Symantec Corporation – C:Program FilesNorton AntiVirus avapsvc.exe
O23 – Service: Sandra Data Service – SiSoftware – C:Program FilesSiSoftwareSiSoftware Sandra Lite 2005RpcDataSrv.exe
O23 – Service: Sandra Service – SiSoftware – C:Program FilesSiSoftwareSiSoftware Sandra Lite 2005RpcSandraSrv.exe
O23 – Service: SAVScan – Symantec Corporation – C:Program FilesNorton AntiVirusSAVScan.exe
O23 – Service: ScriptBlocking Service – Symantec Corporation – C:PROGRA~1COMMON~1SYMANT~1SCRIPT~1SBServ.exe
O23 – Service: Symantec Network Drivers Service – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedSNDSrvc.exe
O23 – Service: SymWMI Service – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedSecurity CenterSymWSC.exe



Czy lsass – to sasser???

Z góry dzięki...

PS. A zaczęło sie od wejscia na stronke z źyczeniami... eeeh

Odpowiedzi: 11

No niestety Flashget jest rozprowadzany na licencji adware. Dopiero po zarejestrowaniu sie ich pozbedziesz
Bobi
Dodano
12.02.2005 09:36:10
Dzięki wielkie, pomogło... tamte się juz nie uruchamiają...

a tak przy okazji... jak wylączyc pop–up`y wyskakujące podczas uruchomionego FlashGeta?
marcinek79
Dodano
12.02.2005 02:21:26
Załatw w Pocket Killbox pliki:
ennul1591.dll
d40m0ed1eh0.dll

Skasuj wartosi w rejestrze:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{9C396510–1647–441A–8412–0DB07759F839}"=""

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyURL]
"Asynchronous"=dword:00000000
"DllName"="C:\WINDOWS\system32\d40m0ed1eh0.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"


Jesli nie pomoze to zrob jeszcze screena tego pop–up'a albo skopiuj jego tresc jesli mozesz
Bobi
Dodano
11.02.2005 17:29:33
Rebe:
Żadna przeglądarka nie jest bezpieczna jeźeli uźytkownik zachowuje się lekkomyslnie lub nie posiada wystarczających umiejętności.


U mnie bylo tak... chcialem sciągnąć jakies wierszyki na walentynki... Google.pl – wpisałem "walentynki" i wszedłem na pierwsza stronę jaka wyskoczyła... Skutek taki ze komp siadl, zienił sie pulpit itp... poradziłem sobie ze wszystkim prócz tych stron... To chyba nie jest lekkomyslne:)

Oto co mi wyskoczyło z FindIt:

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

––––––– System Files in System32 Directory –––––––

Wolumin w stacji C to SYSTEM
Numer seryjny woluminu: 041D–F177

Katalog: C:WINDOWSSystem32

2005–02–11 02:07 229757 ennul1591.dll
2005–02–11 01:50 229757 d40m0ed1eh0.dll
2005–01–20 13:20 dllcache
2004–12–20 21:10 952 KGyGaAvL.sys
2004–12–20 15:56 8 EC2FB72C38.sys
2004–12–20 15:53 56 F215DF3F9B.sys
2004–12–20 13:18 Microsoft
5 plik(w) 460530 bajtw
2 katalog(w) 2681794560 bajtw wolnych

––––––– Hidden Files in System32 Directory –––––––

Wolumin w stacji C to SYSTEM
Numer seryjny woluminu: 041D–F177

Katalog: C:WINDOWSSystem32

2005–01–20 13:20 dllcache
2004–12–20 21:10 952 KGyGaAvL.sys
2004–12–20 15:56 8 EC2FB72C38.sys
2004–12–20 15:53 56 F215DF3F9B.sys
2004–12–20 13:11 488 WindowsLogon.manifest
2004–12–20 13:11 488 logonui.exe.manifest
2004–12–20 13:11 749 cdplayer.exe.manifest
2004–12–20 13:11 749 nwc.cpl.manifest
2004–12–20 13:11 749 sapi.cpl.manifest
2004–12–20 13:11 749 wuaucpl.cpl.manifest
2004–12–20 13:11 749 ncpa.cpl.manifest
10 plik(w) 5737 bajtw
1 katalog(w) 2681786368 bajtw wolnych

–––––––––– Files Named "Guard" –––––––––––––

Wolumin w stacji C to SYSTEM
Numer seryjny woluminu: 041D–F177

Katalog: C:WINDOWSSystem32

2005–02–11 11:41 229757 guard.tmp
1 plik(w) 229757 bajtw
0 katalog(w) 2681786368 bajtw wolnych

––––––––– Temp Files in System32 Directory ––––––––

Wolumin w stacji C to SYSTEM
Numer seryjny woluminu: 041D–F177

Katalog: C:WINDOWSSystem32

2005–02–11 11:41 229757 guard.tmp
1 plik(w) 229757 bajtw
0 katalog(w) 2681786368 bajtw wolnych

–––––––––––––––– User Agent ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsUser AgentPost Platform]
"{9C396510–1647–441A–8412–0DB07759F839}"=""


–––––––––––– Keys Under Notify ––––––––––––

REGEDIT4

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifycscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySchedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifySensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyURL]
"Asynchronous"=dword:00000000
"DllName"="C:\WINDOWS\system32\d40m0ed1eh0.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifywlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


–––––––––––––––– Xfind Locked Files –––––––––––––––––


–––––––––––––– XFind Qoologic Results ––––––––––––––


–––––––––––––– XFind Aspack Results –––––––––––––––


–––––––––––––– Locate.com Results –––––––––––––––



Pozdrawiam...
marcinek79
Dodano
11.02.2005 16:44:54
Rebe:

Żadna przeglądarka nie jest bezpieczna jeźeli uźytkownik zachowuje się lekkomyslnie lub nie posiada wystarczających umiejętności.

Właśnie taką wymowe ma moje ostatnie zdanie chodź brzmi inaczej ;) .
post skierowany jest do osób pragnących uniknąć przypadków jw.
lucy
Dodano
11.02.2005 14:12:07
lucy – dziękujemy za odpowiedź.Szkoda tylko, źe dotyczy ona pytania, które nie padło.
Moźe nastepnym razem zechcesz sprawdzić komuś log, a nie wygląszać komunały.
Żadna przeglądarka nie jest bezpieczna jeźeli uźytkownik zachowuje się lekkomyslnie lub nie posiada wystarczających umiejętności.
Rebe
Dodano
11.02.2005 14:03:02
na przyszłość zmień przeglądarke na bezpieczniejszą a nigdy nie będziesz miał podobnych problemów , chodźby Opera ..''Opera podczas przegladania internetu sciaga przegladane strony na dysk, do swojego cachu. Jest to jak najbardziej normalne. Ale nie znaczy to , ze Opera 'uruchamia' te pliki. Nie istnieje zadna metoda odsiewania
na biezaco podczas przegladania wszystkich mozliwych form zlosliwego kodu,
wiec jesli w kodzie strony jest np. cos brzydkiego w javascriptcie, to kazda
przegladarka to lyknie i zapisze w swoim cachu. Pytanie co z tym dalej zrobi.
Opera nigdy nie uruchamia zadnych plikow wykonywalnych sciaganych z www.
Dlatego wykrywane przez antywirusy 'zagrozenia' w cachu Opery to falszywe
alarmy. Nalezy rozrozniac zapisanie pliku na dysk i jego uruchomienie.'' . A cache moźna opróźniać automatycznie przy zamykaniu programu , taką opcje posiada Opera.
Uźywając tej przeglądarki po prostu nie zarazisz systemu .., chyba źe zainstalujesz dobrowolnie np. jakiegoś cracka z trojanami ale na to juź nie ma recepty , wola usera .. ;)
lucy
Dodano
11.02.2005 13:52:13
Podeślij jeszcze log z FintIt
Bobi
Dodano
11.02.2005 13:05:57
marcinek79:
w momencie kiedy czytałem odpowiedz wyskoczyło to:

http://www.spotresults.com/cgi–bin/search.cgi?keywords=178203

http://adv1.eblocs.com/spyblocs/adv/sinaloa_001.html

http://www.loadingwebsite.com/normal/yyy23.html

pozdrawiam...


czy ja napisalem w temacie z czcionkami??? mialo byc stronkami...az niemozliwa pomyłka...

Sam mogłes zmienic, ale .... jak juź byłem przy temacie ...... :)

Rebe
marcinek79
Dodano
11.02.2005 13:00:13
w momencie kiedy czytałem odpowiedz wyskoczyło to:

http://www.spotresults.com/cgi–bin/search.cgi?keywords=178203

http://adv1.eblocs.com/spyblocs/adv/sinaloa_001.html

http://www.loadingwebsite.com/normal/yyy23.html

pozdrawiam...
marcinek79
Dodano
11.02.2005 12:54:46
marcinek79:
Czy lsass – to sasser???

Nie

W logu jest tylko Google Toolbar, ale nie wiem czy sam instalowałes czy nie, nic poza tym
Podaj moze adresy tych wyskakujacych stronek ewentualnie jesli to pop–up'y to moze tresc, tematyke
Bobi
Dodano
11.02.2005 10:38:20
marcinek79
Dodano:
11.02.2005 03:15:21
Komentarzy:
11
Strona 1 / 1