Dziwny odsyłacz do hxxp://onyx.icpnet.pl/wpad.dat (log z CF)


(Chemiczny Kali) #1

Witam!

Dziś gdy uruchomiłem komputer co chwila wyskakuje komunikat że program (co chwila inny) zawiera odsyłacz do strony

wykorzystywanej do kradzieży haseł http://img241.imageshack.us/i/20090614133133.jpg/ (przykład aplikacji)

log z CF http://wklej.org/id/105889/ :frowning:


(troiP) #2

mam ten sam problem, skanowałem CF i nic, malware bytes też nic a kaspersky cały czas buczy


(Chemiczny Kali) #3

to jest sprawa pootwieranych portów trzeba je pozamykać...


(96jasio96) #4

Przeskanuj te pliki na viruscan.jotti.org i daj link do raportu

:arrow: Daj log z HijackThis

:arrow: Daj log z pełnego skanowania Malwarebytes Anti-Malware


(Chemiczny Kali) #5

Vue7.reg nothing found

tap08168.sys nothing found

tego trzeciego nie mam...

mbam:

Malwarebytes' Anti-Malware 1.37

Wersja bazy definicji: 2276

Windows 5.1.2600 Dodatek Service Pack 3


2009-06-14 20:33:21

mbam-log-2009-06-14 (20-33-21).txt


Typ skanowania: Pełne skanowanie (C:\|)

Przeskanowane obiekty: 177295

Upłynęło: 29 minute(s), 38 second(s)


Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0


Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)


Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)


Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)


Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)


Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)


Zainfekowane foldery:

(Nie wykryto groźnych plików)


Zainfekowane pliki:

(Nie wykryto groźnych plików)

(96jasio96) #6

:arrow: Usuń folder C:\Qoobox

:arrow: Wyłącz i włącz przywracanie systemu

:arrow: Usuń zbędniki z autostartu

:arrow: Usuń śmieci i wyczyść rejestr CCleaner'em

:arrow: Wykonaj pełne skanowanie Dr.Web CureIt!


(Tomaj) #7

Witam

No więc koledzy i koleżanki hakerzy :wink:...czy wszyscy co się wypowiadali w tym wątku nie używają przypadkiem sieci icpnet.pl ? Podejrzewam, że tak. Adres http://onyx.icpnet.pl/wpad.dat to nic innego jak link do pliku skryptu od serwera proxy http. Używacie go nieświadomie jeśli macie zaznaczone w przeglądarce (IE bądź cokolwiek innego, ale należy pamiętać, że jak IE to i system z tego korzysta) "Automatycznie wykryj ustawienia" w zakładce Połączenia->Ustawienia sieci LAN :wink:

A czemu Kaspersky sie wydarł...bo 14 czerwca tj. dziś ktoś w firmie Kaspersky ustalił, że strona próbuje wyciągać dane podczas oglądania stron...Jasne, że wyciąga...w końcu to proxy :wink:

Pozdrawiam

Ps. Wyłączcie Automatycznie wykryj ustawienia...i problem z bani :slight_smile:


(Chemiczny Kali) #8

ja myślę że nowe bety AQQ po stabilce 2.0.5.50 pootwierały niepotrzebne porty... jakoś dziś przed aktualką AQQ tego nie miałem

jeśli top od IE zależy to dlaczego Firefox wywala ten komunikat?

Dr.Web nic nie wykrył...


(Tomaj) #9

A w firefoxie masz zaznaczone to co ja pisałem ??

AQQ...to ten komunikator tak ? Może korzysta z ustawien systemu a te są takie same co w IE

Zeby nie było....ja AQQ nie używam


(Leon$) #10

proponuję nie wchodzić pod ten adres to nie żadne ustawienia proxy czy inne tam ustawienia

ten adres to syf

02857ddf8b6e9c86m.jpg

kto ma słabe zabezpieczenia może się nie mile rozczarować

:slight_smile:

w FF i IE to samo


(Tomaj) #11

http://support.microsoft.com/kb/309814/pl

Więcej mi się Wam tłumaczyć nie chce...wpad.dat to plik konfiguracji skryptu do ustawiania proxy.

To ja powiem tak...niech ktoś kto ma coś innego niż Kaspersky sie wypowie...

PS. Leon...ja mam ten sam komunikat jak chce wejść na tą stronę...ot sklasyfikowana w Kaspersky Lab i tyle :wink:

Choć zgadza się...to serwer proxy...mogą logować nasz ruch jeśli go używamy...to fakt...ale mówię...to nie jest żaden wirus


(Chemiczny Kali) #12

nie wchodzę te odsyłacze się same odsyłają...


(Leon$) #13

ale wchodzisz do tego wątku

po pierwsze nic cię nie odsyła tylko jest to komunikat Kasperskiego że ta strona zawiera odsyłacz i została zablokowana

po drugie wystarczy wejść do tego wątku i za każdym razem jest komunikat

tomaj

skoro uważasz że to bezpieczny adres to wejdź pod niego i się przekonaj a nas nie musisz do tego namawiać

czy to wirus tego nikt nie powiedział

podane jest że to złodziej kodów i innych danych

jedno i drugie jest szkodliwe i niepożądane

:slight_smile:


(Chemiczny Kali) #14

no wiem ale ja na to nie wchodzę więc skąd te odsyłacze w tylu aplikacjach?


(Leon$) #15

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer Kasperskim

:slight_smile:


(Tomaj) #16

A zrobiłeś, to co pisałem w pierwszym poście ? Wyłączyłeś automatyczne wykrywanie ustawień proxy ?

Te nie są żadne odsyłacze ...to link do proxy....a każda apliakcja jak idzie do netu i korzysta z ustawień systemowych to korzysta z automatu wykrywania proxy.

A tak swoją ...hehe trochę zabawnie Leon podchodzisz do tematu..."Ten adres to syf"....do 14 czerwcza (jeśli Ci się wyświetlił ten komunikat) używałeś stale tego linka :wink:

Strona zawiera odsyłacz...każda strona wg tej teorii zawiera odsyłacz...teoria...sorry....niewłaściwa :shock:

Panowie (i Panie, jeśli o czymś nie wiem :wink: ) nie ma się czym ekscytować...skanowanie Kasperskim....oczywiście można...ale nic nie znajdzie..


(Chemiczny Kali) #17

tomaj_2 tak, zrobiłem jak poleciłeś...


(Leon$) #18

IE w opcjach internetowych wyłączyłem

FF w opcjach mam cały czas zaznaczone bez serwera proxy

w obu przeglądarkach po wejściu do tego tematu otrzymuję komunikat pokazany w pierwszym poście

nic dodać nic ująć

:slight_smile:


(Tomaj) #19

No to trochę ciekawiej jest;)

U mnie zgodnie z moją teorią komunikaty i raporty Kasperskiego się skończyły.

Ale spytam inaczej....a jak wchodzisz na inne strony to co jest ?

Bo mam też inną teorię...

Wyczyść cache obu przeglądarek (wiem trochę głupie..ale mi czasami nie odświeżał stron tylko czytał z cache-u)

I pytanie takie...co jak wchodzisz na inne strony, takie które nie mają w nazwie kombinacji onyx.icpnet.pl


(Leon$) #20

wszystkie strony mające w adresie człon

są blokowane i Kasperski daje stosowny komunikat

http://www.google.pl/search?client=firefox-a&rls=org.mozilla%3Apl%3Aofficial&channel=s&hl=pl&q=.icpnet.pl&lr=&btnG=Szukaj+w+Google

wystarczy nawet wpisać ten człon do Google i również jest to samo

co do problemu to mnie to nie dotyczy bo to nie mój temat próbuję go jedynie wyjaśnić

:slight_smile: