Malware


(Zbych ) #1

Nie moge tego dziadostwa usunąć, SpyHunter.System Mechanic, Spyboot nie wykrywają tylko Ad-aware wyłapuje ale co usune to pojawia sie na nowo, zmienia mi strone startową ale tylko w momęcie usuwania tego z Ad-aware, usuwałem już nawet wpis z rejestru ręcznie a to dalej sie tam zapisuje, poradzcie czym to na zawsze usunąć.

zrzut z Ad-aware:

Dostawca:Possible Browser Hijack attempt

Kategoria:Malware

Typ obiektu:RegData

Rozmiar:-

Lokalizacja:Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank")

Ostatnia aktywność:2004-05-24

Poziom ryzyka:Średnio

Komentarz:Możliwa próba przejęcia przeglądarki

Opis:Possible attempt to control\redirect the browser. This object referrs to a "blacklisted" site.


(system) #2

Spróbuj oto Tym :slight_smile:

CWShredder 1.57.0 =>> http://www.dobreprogramy.pl/index.php?dz=2&t=55&id=657


(Zbych ) #3

Też próbowałem i nie wykrywa


(system) #4

Skaner on-line MKS?


(Zbych ) #5

Pełna wersja MKS-a z bazą 24-05 nie wykrywa , sam już troche zgłupiałem co to jest , jeszcze mi sie nie zdażyło abym czegoś podobnego nie mógł usunąć , sprubuje jeszcze MKS-em pod DOS-em może cos znajdzie.


(Das) #6

sciagnij HijackThis

i secanuj logi.

P.S nie wiem czy korzystałes juz z tego...ale na wszelki wypadek napisze jak sprawdzić logi.

Po zainstalowaniu

-


(Zbych ) #7

HijackThis przeskanowałem ale nie wiem co dalej

Logfile of HijackThis v1.97.7

Scan saved at 01:30:55, on 2004-05-25

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Mixer.exe

D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

D:\Program Files\MKS\Bin\mks_menu.exe

D:\Program Files\MKS\Bin\mks_mail.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\MKS\Bin\NetMonSv.exe

D:\Program Files\MKS\Bin\mksmonsv.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\Program Files\MKS\Bin\mks_scan.exe

D:\Program Files\MYIE2\MyIE.exe

D:\Program Files\FlashGet\flashget.exe

D:\Documents and Settings\vvv\Moje dokumenty\Instalki\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 64.237.45.18 http://www.burstnet.com

O1 - Hosts: 64.237.45.18 oz.valueclick.com

O1 - Hosts: 64.237.45.18 a.tribalfusion.com

O1 - Hosts: 64.237.45.18 servedby.advertising.com

O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com

O1 - Hosts: 5377608764 greg-search.com

O1 - Hosts: 5377608764 http://www.greg-search.com

O1 - Hosts: 5377608764 drxcounter.biz

O1 - Hosts: 5377608764 muxa.cc

O1 - Hosts: 5377608764 http://www.muxa.cc

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM..\Run: [WheelMouse] D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM..\Run: [MKS_MENU] D:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM..\Run: [MailScanner] D:\Program Files\MKS\Bin\mks_mail.exe

O4 - HKLM..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

O17 - HKLM\System\CCS\Services\Tcpip..{279A5C90-AB54-42F2-A279-3ACAAE5868C6}: NameServer = 195.114.161.2,194.204.159.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 195.114.161.2

O17 - HKLM\System\CS1\Services\Tcpip..{279A5C90-AB54-42F2-A279-3ACAAE5868C6}: NameServer = 195.114.161.2,194.204.159.1

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 195.114.161.2

O17 - HKLM\System\CS2\Services\Tcpip..{279A5C90-AB54-42F2-A279-3ACAAE5868C6}: NameServer = 195.114.161.2,194.204.159.1

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 195.114.161.2

O17 - HKLM\System\CS3\Services\Tcpip..{279A5C90-AB54-42F2-A279-3ACAAE5868C6}: NameServer = 195.114.161.2,194.204.159.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 195.114.161.2


(Das) #8

Czy dodawałes te strony [do ulubionych,badz jako strony startowe,czy znane Ci są te strony]

O1 - Hosts: 64.237.45.18 http://www.burstnet.com

O1 - Hosts: 64.237.45.18 oz.valueclick.com

O1 - Hosts: 64.237.45.18 a.tribalfusion.com

O1 - Hosts: 64.237.45.18 servedby.advertising.com

O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com

O1 - Hosts: 5377608764 greg-search.com

O1 - Hosts: 5377608764 http://www.greg-search.com

O1 - Hosts: 5377608764 drxcounter.biz

O1 - Hosts: 5377608764 muxa.cc

O1 - Hosts: 5377608764 http://www.muxa.cc


(Adarek) #9

usuń to co napisał dAs plus

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab


(Zbych ) #10

Nie dodawałem tych stron ani do ulubionych ani jako startowei nawet nie ma ich w "ulubione"

Post 2

Usunąłem te wpisy z tymi stronami i Malware dalej zmienia strone startową na mns.com


Update

Posty połączone.

Używaj opcji :arrow: Zmień , nie pisz posta jeden pod drugim.

Golden Finger

Sory zapomniałem sie troche


(Adarek) #11

Przeoczyłem to : D:\WINDOWS\system32\winlogon.exe .

jest to bodobne do działania Blastera.

Winlogon.exe

You cannot end this process from Task Manager. This is the process responsible for managing user logon and logoff. Moreover, Winlogon is active only when the user presses CTRL+ALT+DEL, at which point it shows the security dialog box.

Typical path (XP) is C:WINDOWSsystem32winlogon.exe (%systemroot%system32winlogon.exe).

If winlogon.exe is running in your system and it"s exe-file is in c:winnt or c:windows (%systemroot%) with a filesize of 17,424 Byte you should terminate that process and remove it"s autostart entry because it could be the worm W32.Netsky.D.

More information about W32.Netsky.D can be found on the following websites:

http://www.mks.com.pl/files/pomoc/MksClean.exe

-

Może jeszcze ktoś się wypowie co to ten winlogon.exe ?


(Zbych ) #12

Phylby

Coś mi sie wydaje że ten winlogon musi zostać jest to aplikacja logowania do systemu nt sprawdziłem to na niezainfekowanym kompie i też tam sie znajduje i ten Shockwave Flash Object też musi być bo jak go usune to popłowa stron mi sie nie chce załadować dopóki nie pojawi sie okno "czy chcesz zainstalować Shockwave Flash Object aplikacja potrzebna do prawidłowego działania IE i jeszcze cosik tam" zawsze to instaluje po formacie i nigdy nie miałem problemu z tym malware, kiedyś instalowałem cały pakiet macromedia flash więc nie było potrzeby zainstalowania tej aplikacji. Z tym malware jest troche dziwna sprawa, bo gdy załanczam kompa jest wszysko w porządku strona startowa tak jak ma być about:blank, dopiero jak Ad-awere to badziewie wykryje zaznaczam aby usunął a on zamiast usunąć to odrazu zmienia strone startową z about:blank ma msn.com , powtórne skanowanie Ad-aware już go nie wykrywa ale do czasu póki znowu nie zmienie na about:blank i tak w kóleczko, jeszcze sie ze 2 dni pomęcze a jak nie uda mi sie tego usunąć to formacik będzie.


(Das) #13

Ehh nie usuwaj winlogon.exe To jest plik systemowy.Dziś dam Ci odpowiedz co jeszcze powinieneś usunać ...narazie wstrzymaj sie z formatem...musisz sie jeszcze pare godzin pomeczyć jak bede miał jakieś pomocne informacje,napisze.


(Marsmo) #14

Najlepiej zarejestruj się na forum Wirus Zone http://www.wiruszone.net/forum i tam w dziale wirusy zacznij temat: wklej log`a Hijack This i opisz w skrócie problem. Na tym forum jest przyjęte - a nawet wymagane , że poddaje się logi do sprawdzenia, zresztą Hijack This to chyba jedyne najbardziej wiarygodne narzędzie do sprawdzenia tego typu sprawek. Lepiej poczekać niż bawić sie w format (co dla Ciebie na pewno nie jest zabawne). Zresztą gdzieś przeczytałam, że format jest tylko dla lamerów :stuck_out_tongue: a nie dla tych, ktorzy pasjonują się informatyką i lubią mimo wszystko samoczynnie rozwiązywać problemy.

Pozdrawiam i życzę powodzenia :slight_smile:


(fiesta) #15

:brawo: :brawo: :brawo: :brawo: :brawo:

Gratuluję trafności spostrzeżenia Waterproof :slight_smile: :slight_smile: :slight_smile:

format jest tylko dla lamerów :stuck_out_tongue: a nie dla tych, ktorzy pasjonują się informatyką i lubią mimo wszystko samoczynnie rozwiązywać problemy.

Tą złotą myśl powinni co poniektórzy oprawić w ramkę i powiesić sobie nad lóżkiem :stuck_out_tongue: :stuck_out_tongue: :stuck_out_tongue:


(Das) #16

Start >>> Uruchom >>> regedit

Przejdź do klucza:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Prawym na wartosc : AppInit_Dlls i klikasz Modyfikuj jezeli cos sie pojawi w oknie to zapisz nazwe tego pliku .dll i skasuj to i kliknij ok.

Podaj nazwe pliku na forum. ..::WZ::..


(Zbych ) #17

Formatu jeszcze nie robiłem :stuck_out_tongue: narazie próbuje różnych sposobów aby to coś usunąć ale bez powodzenia sam jestem ciekawy gdzie sie to zagnieździało , zazwyczaj format robie dopiero jak system całkowicie sie sypnie.

PS. dAs

Nie ma w tym oknie nic żadna wartość nie jest ustalona okno puste.


(Das) #18

Nie mam wiecej pomysłów :frowning:


(Zbych ) #19

dAs

Dzięki za pomoc będe szukał dalej może uda mi sie znaleść mnie sie też już pomysły konczą.


(Adarek) #20

Ja nie pisałem żeby usuwać winlogon.exe . to była sugestia.

Sprawdz jeszcze procesy programem CurrProcess

Ps.Waterproof byłaś na http://www.searchengines.pl/phpbb203/in ... owforum=38

?

Tam dopiero jest kobitka co kuma !!

Nazywa się" picsso". Ploecam. Dział wirusy i spyware