Niebezpieczny "Misiek"

Dla specjalistów Bezpieczeństwo
#1

Mam następujący problem: Podczas skanowania dysku programem Odkurzacz 10.9 Professional (włączyłem filtr: Tryb wyszukiwania folderów utworzonych przez szpiegów) program ten wyszukuje następujące foldery:

C:/Documents and Settings\user- one\Dane aplikacji\ Bear Share

C:/Program Files\Media Gateway

C:/Program Files\My Global Search

Dodam, że mój antywirus nie wykrywa tam żadnych wirusów. Czy to coś poważnego i co zrobić?

Przy przeskanowaniu programem Spybot Search&Destroy znalazło mi jeszcze coś takiego (załącznik)

post-81482-13856533910612_thumb.jpg

#2

Napraw problemy co ci wyskoczyły w spybocie

#3

Daj jeszcze logi z HijackThis i ComboFix (instrukcja: viewtopic.php?f=16&t=36654 )

:slight_smile:

#4

Po naprawieniu przez Spybota “Miśka” - Bearshare przestanie Ci działać.

Najlepiej gdybyś odinstalował tą wersję, a zainstalował Bearshare Lite 6.1 gdzie jest bardziej ubogi w niechciane programy.

#5

A czy to co wam wysłałem zawiera wirusy (albo przynajmniej może zawierać)? i co z tym co wykrył odkurzacz.

#6

Ten log z Hijacka jest nadal potrzebny?

#7

tak daj logi

#8

Co do BearShare’a:

W zwykłej wersji program posiada szpiega o nazwie MediaBar, który niestety instaluje się w raz z programem…

Ale wersja Lite “Miśka” jest pozbawiona syfu.

Loga z HijackThis daj bo możliwe że SpyBot wszystkiego nie usunął…

PS Wesołych Świąt życzę :slight_smile:

#9

Dzięki, ja też ci życzę Wesołych Świąt no i mokrego Lanego poniedziałku (choć w tym roku może być ciężko, ze względu na pogodę).

Nie usuwałem niczego Spybotem, bo nie jestem pewien czy wszystko można usunąć, ale jak sądzicie czy jeśli usunę te foldery, które wykrył odkurzacz, to będę miał problemy z kompkiem lub bearsharem?

Od czego jest folder Media Gateway i te pliki ze Spybota?

#10

Tutaj macie logi z Hijacka.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:29:06, on 2008-03-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Programy\avast 4.7 Home\aswUpdSv.exe

D:\Programy\avast 4.7 Home\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe

D:\Programy\AVAST4~1.7HO\ashDisp.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\Programy\GaduGadu 7.7\Gadu-Gadu\gg.exe

C:\Program Files\RX250 Optical Mouse\SetPoint\SetPoint.exe

C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

D:\Programy\avast 4.7 Home\ashMaiSv.exe

D:\Programy\avast 4.7 Home\ashWebSv.exe

C:\Program Files\neostrada tp\neostradatp.exe

C:\Program Files\neostrada tp\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Toaster.exe

C:\PROGRA~1\NEOSTR~1\Inactivity.exe

C:\PROGRA~1\NEOSTR~1\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\neostrada tp\Watch.exe

D:\Programy\Opera 9.25 Build 8827\Opera.exe

D:\Programy\BearShare 5.2.5 PL\BearShare.exe

D:\Programy\HijackThis 2.0.2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\2.bin\MGSBAR.DLL

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\2.bin\MGSBAR.DLL

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe

O4 - HKLM…\Run: [avast!] D:\Programy\AVAST4~1.7HO\ashDisp.exe

O4 - HKLM…\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM…\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM…\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM…\Run: [soundMAX] “C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” /tray

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM…\Run: [bearShare] “D:\Programy\BearShare 5.2.5 PL\BearShare.exe” /pause

O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe”

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [Gadu-Gadu] “D:\Programy\GaduGadu 7.7\Gadu-Gadu\gg.exe” /tray

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\RX250 Optical Mouse\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\ACCESS~1\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip…{95E80837-97B1-49F3-B440-9D74256F2436}: NameServer = 194.204.152.34 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programy\avast 4.7 Home\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Programy\avast 4.7 Home\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programy\avast 4.7 Home\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programy\avast 4.7 Home\ashWebSv.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

End of file - 5947 bytes

#11

wpisy

usuń HijackThisem >> Fix checked

Koniecznie uruchom Combofix jest coś do usunięcia

Pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 przeskanuj daj log

:slight_smile:

#12

Jeżeli masz wątpliwości co do jakiegoś pliku to możesz wpisać jego nazwę w Google np. “WebTrends Live”.

Chociaż SpyBot jest narzędziem do usuwania szpiegów więc nie powinieneś się martwić że Ci skasuje coś ważnego/potrzebnego do stabilnego działania systemu :slight_smile:

Foldery które wykrył Odkurzacz możesz spokojnie usunąć. Problemów z komputerem napewno nie będziesz miał, ale z BearShare’m tak (wykrył w nim obecność syfu).

Pliki które wykrył SpyBot to szpiegi i negroźne cookie :). Co do foldera Media Gateway… Szczerze powiem że nie wiem od czego jest ten folder ale skoro go SpyBot wykrył to pewnie jest szpiegiem… Zresztą wpisz w Google nazwę foldera jako szukane hasło i Twoje wątpliwości się rozwieją… :slight_smile:

#13

M@rco nie rób bałaganu - Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Nie pisz posta pod postem