Dziwny spyware :|


(Deus) #1

Problem zaczalsie od odwiedzneia strony (nie klikac!) www .beksinski.com. Zamiast strony malarza pokazala sie jakas dziwna strona.... Od tego momentu na pasku start po prawej mam czerwonego "ixa" Strona startowa sie zmienia na "http://www.newgenlook.info/ad/ad0058/" A na pulpicie co chwile wyskakuja porno ikonki:

Co jakis czas wyskakuje to:

Spybot, adaware, cwsshredder nic nie widza (doslownie NIC!) To samo jest ze skanerem MKS'a online. Tez nic nie widzi :frowning: Log hijacka:

Logfile of HijackThis v1.99.1

Scan saved at 09:24:01, on 2005-05-04

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Tablet.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

E:\telefon\Alcatel One Touch 535-735\DesktopTool\DesktopTool.exe

C:\WINDOWS\System32\ctfmon.exe

H:\PROGRAMY\Gadu-Gadu\gg.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\Wtablet\TabUserW.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\notepad.exe

C:\Downloads\hijackthis1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0058/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\adobe\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM..\Run: [Desktop Tool] "E:\telefon\Alcatel One Touch 535-735\DesktopTool\DesktopTool.exe"

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU..\Run: [Gadu-Gadu] "H:\PROGRAMY\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - H:\PROGRAMY\flashget\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - H:\PROGRAMY\flashget\jc_all.htm

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRAMY\flashget\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRAMY\flashget\flashget.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{B7D3A25A-6A98-484B-9770-19FD5472D788}: NameServer = 194.204.152.34,194.204.159.1

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Takie same objawy sa w trybie awaryjnym! Wiece co to moze byc ? Wiecie jak sobie z tym poradzic?

w "dodaj/usun programy" nie ma nic. W "msconfig" tez nie ma nic podejrzanego. Menedzer zadan windowsa tez nic nie pokazuje :expressionless:


(fiesta) #2

Na bank to do zafixowania.

Reszta wydaje się czytsa.

Może specjaliści od logów doszukają się czegoś więcej :slight_smile:


(Deus) #3

juz nie moge zedytowac tamtego posta... :confused: Dopisze jeszcze ze na innych profilach uzytkownikow nic sie nie dzieje


(Magik) #4

Edytowałem delikatnie tego ferelnego linka, żeby nikt go niechcący nie kliknął.

Co do loga, to ja też tutaj nic nie widzę, oprócz oczywiście tego, co podał ci już fiesta.

Mam jeszcze pytanie, czy jak najedziesz myszką na tego iksa, to wyświetla ci się może jakaś nazwa ?


(Deus) #5

wlasnie nie :confused:

Wydaje mi sie ze to siedzi w katalogu uzytkownika. Inaczej przeciez uruchamialoby sie na innych profilach... chyba :confused:


(fiesta) #6

A skasowałeś już:

Jeżeli tak to czy problem występuje nadal ??


(Deus) #7

PO skasowaniu pojawia sie na nowo.

Poradzilem sobie z tym! :smiley: Sposob naprawy:

Zakladamy nowego uzytkownika windows o dowolnej nazwie (u mnie bylo to konto "proba") na tych samych prawach co nasze zainfekowane konto.

Logujemy sie na to konto.

Robimy jeszcze jedno konto

Logujemy sie na nie (z poprzednich trzeba sie koniecznie wylogowac!)

Podmieniamy folder starego uzytkownika z folderem pierwszego zalozonego konta "proba".

Wchodzimy na konto "proba" i Kasujemy pozostale konta.

Przy pomocy hijackthis zmieniamy strone startowa.

Jedyna niedogodnosc jaka zauwazylem to utrata wszystkich hasel itp, oraz ksiazki adresowej w outlooku. Ja przed ta akcja zrobilem sobie kopie partycji c: na DVD-RW, wiec ksiazke sobie przywroce. Hasla trzeba jeszcze raz wpisywac, ale to juz chyba nie problem :slight_smile:

Dzieki za zainteresowanie i pomoc :slight_smile:


(fiesta) #8

Śmiem wątpić czy takie zalatwienie sprawy rozwiąjuje ją definitywnie. Zapewne syf w komputerze siedzi nadal.


(Deus) #9

Hmm, byc moze siedzi, ale narazie nie zauwazylem nic niepokojacego... Reinstalka windy i format i tak mnie niedlugo czeka wiec sie chyba nie ma czym przejmowac :stuck_out_tongue:

Jak naraze wszystko dziala dobrze.


(Rlegutko) #10

Przydałby się jeszcze jakiś firewall i antywirus (np. Sygate Personal Firewall i avast - dobre i za free) :slight_smile: