Niemniej nie zmienia to EL faktu, źe to dość ciekawa sprawa, na której moźna się przejechać po info w Google :wink:
EOD na OT.

Z tym ze tej dupy nie uzylem w okresleniu do siebie :mrgreen: .
Na swoje usprawiedliwienie dodam tylko to, ze korzystalem z googlarkowych podpowiedzi :wink: .

EL NINO:

Czyli w skrocie – "I ***" :P .

Ja taki samokrytyczny w stosunku do siebie bym nie był :wink:
No tym kluczy tylu się juź wyłoźyło, nawet ja za pierwszy razem :P
Wyjątek do zapamiętania :wink:

McScr@by:

Wystąpił wyjątkowy wyjątek :P

Czyli w skrocie – "I ***" :P .

EL NINO:

Zadne Total Copy skoro wystepuje w postaci takiego wpisu – [Resume copy] copyfstq.exe /startup...

Wystąpił wyjątkowy wyjątek :P

fix

C:DOCUME~1SILICO~1USTAWI~1TempexeA.exe
O2 – BHO: (no name) – {742E024D–571A–4F74–B75E–8B09BF94421A} – C:WINDOWSSystem32lchplha.dll
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = about:NavigationFailure
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:NavigationFailure
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:NavigationFailure
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = about:NavigationFailure
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:NavigationFailure
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:NavigationFailure

Wylacz przywracanie
Zakoncz proces exeA.exe
Znajdz i usun
exeA.exe
lchplha.dll
Włącz przywracanie

O tym lchplha.dll nic nie znalazlem wiec to zapewne wygenerowana losowo nazwa

Zaopatrz sie w program do ochrony strony startowej na przyszłosc
Przeskanuj AV oraz anty spyware'ami
Wszystko z aktualna sygnatura

Wiec tak. usunalem wszystkie wpisy ktore nalezalo usunac,a takze Catcher.dll ,knk.dll ,iebar.dll , wczsniej wylaczajac przywracanie....

w msconfig odznaczylem odpalanie copyfstq.exe ....


i .... search for nadal zyje

ot log

Logfile of HijackThis v1.97.7
Scan saved at 19:04:52, on 2004–10–17
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:WINDOWSSystem32inetsrvinetinfo.exe
c:usrMYSQLinmysqld.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesNVIDIA CorporationNvMixerNVMixerTray.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSSystem32LXSUPMON.EXE
C:Program FilesJavaj2re1.4.2_05injusched.exe
G:steamsteam.exe
D:ProgramyShareazaShareaza.exe
D:ProgramyLANczatLANczat.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32 undll32.exe
C:DOCUME~1SILICO~1USTAWI~1TempexeA.exe
D:ProgramySpy_removeHijackThis.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = about:NavigationFailure
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:NavigationFailure
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:NavigationFailure
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = about:NavigationFailure
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:NavigationFailure
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:NavigationFailure
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = w3cache.dolsat.pl:8080
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {742E024D–571A–4F74–B75E–8B09BF94421A} – C:WINDOWSSystem32lchplha.dll
O3 – Toolbar: &Save Flash – {4064EA35–578D–4073–A834–C96D82CBCF40} – C:Program FilesPilot Group LLCSave Flash 2.4.20SaveFlash.dll
O4 – HKLM..Run: [NVMixerTray] "C:Program FilesNVIDIA CorporationNvMixerNVMixerTray.exe"
O4 – HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
O4 – HKLM..Run: [LXSUPMON] C:WINDOWSSystem32LXSUPMON.EXE RUN
O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_05injusched.exe
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKCU..Run: [Gadu–Gadu] "D:ProgramyGadu–GaduPowerGG.exe"
O4 – HKCU..Run: [Steam] "g:steamsteam.exe" –silent
O4 – HKCU..Run: [Shareaza] "D:ProgramyShareazaShareaza.exe" –tray
O4 – HKCU..Run: [Komunikator] D:ProgramyTlen len.exe
O4 – HKCU..Run: [LANczat] D:ProgramyLANczatLANczat.exe
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:ProgramyMICROS~1Office10EXCEL.EXE/3000
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

OK. W takim razie dla pewnosci musialbys jeszcze sprawdzic umiejscowienie tego pliku na dysku i porownac z tym, co widnieje w linkach podanych przeze mnie wyzej jak i przeszukac dysk na obecnosc pozostalych plikow wystepujacych wspolnie z tym wormem. Byc moze rzeczywiscie wszystko jest w porzadku.

Wiedziałem źe znajdziesz to co kiedyś podawałem :P
Ja jednak teraz na 100 % nie jestem pewien czy to jednak TC czy Sandały mimo to źe kiedyś proponowałem to naprawiać.
BTW moźe gRafix napisze czy uźywa tego Total Copy czy nie i wtedy zwróce honor ( mimo tego źe jest to w moim poście :mrgreen: ).

McScr@by:

Ja nie jestem taki pewien

Nie gadaj :mrgreen: –> http://www.centrumxp.pl/forum/viewtopic.php?p=132449#132449

EL NINO:

Wszedzie w necie mozna znalezc podpowiedz coz to jest i jakie jeszcze pliki sa powiazane z tym wormem. Chocby tu...

Ja nie jestem taki pewien i to zazaczyłem źe oprócz tego co podają niektóre serwisy o W32.Sandalu info moźna znaleść i takie :

http://research.pestpatrol.com/Analyses/2004–08–09_124947.asp

EL NINO:

Wszedzie w necie mozna znalezc podpowiedz coz to jest i jakie jeszcze pliki sa powiazane z tym wormem. Chocby tu...

Ja nie jestem taki pewien i to zazaczyłem źe oprócz tego co podają niektóre serwisy o W32.Sandalu info moźna znaleść i takie :

http://research.pestpatrol.com/Analyses/2004–08–09_124947.asp

McScr@by:

Moźe to być i Total Copy i to wydaje się bardziej prawdopodobne poniewaź występuje w kluczu Run...

Zadne Total Copy skoro wystepuje w postaci takiego wpisu – [Resume copy] copyfstq.exe /startup

Wszedzie w necie mozna znalezc podpowiedz coz to jest i jakie jeszcze pliki sa powiazane z tym wormem. Chocby tu:
http://www.seniorennet.be/Pages/Thuis_op_internet/Nieuws/virusnieuws_detail.php?id=711
czy tez:
http://virusalert.nl/?show=virus&id=711

gRafix zmień ReGet na jakiś inny menager, tak jak napisał Bobi_robert poniewaź zawiera on moduły Adware ( na tej zasadzie jest rozpowszechniany ).
Chyba źe to Tobie nie przeszkadza.
Poprostu go odinstaluj i jeśli jego komponenty pozostaną w systemie to je usuń.

Fix :

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank ( oprócz tego co w/w ).


Co do Tempsp.html ( wariant Trojan CWS Blank ) to zaznaczam źe tutaj nie będzie tak chop siup.
Same fix`owanie HJ nic nie da poniewaź powróci jak bumerang.

Na początek spróbuj CWS Shredder`em,
Gdy nie pomoźe to czeka Ciebie źmudna procedura usuwania :

Uźyj tych narzędzi :
SP.html Hijack Fixer (sphjfix.exe )
FINDnFix ( FINDnFix.exe )
Do wyszukania tego co generuje SP.html.
Gdy znajdziesz to usuń ten plik.

BTW, copyfstq.exe :

Description Part of Total Copy – an improved version of the Windows copy function. Allows for resumption file copies or moves in progress when computer was shut down. Not required if your not using the program or don't care about that function :wink:

Moźe to być i Total Copy i to wydaje się bardziej prawdopodobne poniewaź występuje w kluczu Run ale nie występuje jak widać po HJ jako aktywny proces w
%Windir%.
Jeśli nie uźywasz TotalCopy to sprawa jest jasna.
To tyle z mojej strony :P

Dzieki Panowie za rae , faktycznie pominolem restore i kilka plikow .

pozdro.:)

Bobi_robert:

... bo wpis jak byk

Z tym bym sie nie zgodzil, bo kolega czcionke loga zminiaturyzowal :mrgreen: .

EL NINO:

Ja nie McScr@by, ale chyba moge ? :wink:
Spisales sie prawie dobrze. Nie uwzgledniles tylko copyfstq.exe a to worm W32.Sandalu

A dzieki bardzo :wink: :wink:
Ale oczy nie te bo wpis jak byk
Na moje usprawiedliwienie napisze ze w procesach go nie ma i to mnie zmylilo

Ja nie McScr@by, ale chyba moge ? :wink:
Spisales sie prawie dobrze. Nie uwzgledniles tylko copyfstq.exe a to worm W32.Sandalu

Napraw (fix)

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1SILICO~1USTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1SILICO~1USTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1SILICO~1USTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1SILICO~1USTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1SILICO~1USTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1SILICO~1USTAWI~1Tempsp.html
O2 – BHO: (no name) – {16664845–0E00–11D2–8059–000000000000} – C:Program FilesCommon FilesReGet SharedCatcher.dll
O2 – BHO: (no name) – {914F3B2C–9739–4A3E–A0AD–2D730D17105B} – C:WINDOWSSystem32knk.dll
O3 – Toolbar: ReGet Bar – {17939A30–18E2–471E–9D3A–56DD725F1215} – D:ProgramyReGetDxiebar.dll

Wyłącz System Restore
Wyszukaj na HDD zapewne uwzgledniajac ukryte i usun
Catcher.dll
knk.dll
iebar.dll
Wlacz przywracanie
opróznij Temp z Ustawień lokalnych

Ten DAP do wspomagania downloadu jak widac ładuje duzo szpiegów

McScr@by jak sie spisałem ?? :P