Problem z paskudztwem o nazwie: moneyisunlimited


(Mute Machine) #1

mam problem z czymś o nazwie "moneyisunlimited" ... przydała by się pomoc ...

Objawy:

-adress strony startowej w explorerze zmienił się na moneyisunlimited.com ... przy czym sama strona startowa nie zmieniła się (więc ne odrazu to zauwarzyłem) ... w opcjach internetowych przyciski zmiany stronny startowej są nieaktywne

-nie mam dostępu do menadżera zadań ani wiersza poleceń.

-na dysku C: znalazłem New Folder (rozmiar 105kb, typ : Aplikacja?) ... nie można go otworzyć a po usunięciu ... po pewnym czasie pojawia się znowu. Pojawił się też na innych partycjach.

-najbardziej uciążliwym objawem jak do tej pory jest samouruchamianie się strony startowej ... im dłużej system pracuje tym częściej wyskakuje strona startowa (jednocześnie uruchamia sie kilka do kilkunastu kopi tej strony) ... co dość skutecznie utrudnia pracę

Co do tej pory zrobiłem :

-skan i oczyszcznie programem antywirusowym avast! Antivirus (uaktualniony)

-skan i oczyszcznie programami :Spybot - Search & Destroy, AVG Anti-Spyware, Ad-Aware SE Professional (wszystkie uaktualnione wersje)

  • CCleaner (z braku lepszych pomysłów)

-problem pozostał ... przeskanowałem system Trend Micro HijackThis v2.0.2 .

Zamieszczam log :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:16:34, on 2007-09-21

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\lsass.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://moneyisunlimited.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://moneyisunlimited.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://moneyisunlimited.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://moneyisunlimited.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svhost32.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svchost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {59131903-4A33-40D5-80C2-5242DD365AB3} - http://www.swissquake.ch/chumbalum-soft/files/MS3DViewerOCX.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe


--

End of file - 3776 bytes

... jeśli problem można rozwiązać przy urzyciu jakiegoś programu, prosił bym o nazwę i ewentułalnie link

... jeśli problemu nie sposob rozwiązać programem i trzeba samemu zmieniać lub usuwać jakieś pliki ... prosił bym o jasen i bardzo szczegułowe instrukcje ... bo kompletnie się na tym nieznam

... byłbym również wdzięczny za informacje dotyczące tego paskudztwa: w jaki sposób się dostaje do systemu? czy może powodować jakieś powarzniejsze uszkodzenia w systemie poza opisanymi objawami ? czy zainfekowany czymś takim komputer może łaczyć się bezpiecznie z internetem ? dlaczego moje programy nie wykryły i nie usuneły problemu automatycznie ?


(Dudas bad boy) #2

Po prostu masz zaśmieconego kompa. Dużo szpiegów i ad-aware "avast" to pseudo antywirus wiec sie nie dziw zmień to jak najszybciej. A to że zmieniło Ci strone starową nie znaczy że nazwa wirusa jest taka sama jak strony.


(Novi00) #3

W trybie awaryjnym (F8 podczas startu komputera) usuń nastepujące wpisy:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://moneyisunlimited.com 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://moneyisunlimited.com 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://moneyisunlimited.com 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://moneyisunlimited.com

C:\WINDOWS\svchost.exe

C:\WINDOWS\lsass.exe

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svchost.exe

O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\svhost32.exe

O7 -HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Jak to zrobisz to odrazu log z HT to zobacze co dalej...


(Gutek) #4

Daj log z ComboFix

Pobierz program SDFix

-


(Mute Machine) #5

hmm... być może masz rację ... znalazłem opis podobnego przypadku(tyle że bez wyskakujących

stron) na innym forum http://forum.idg.pl/lofiversion/index.php/t104810.htm ... koleś też urzywał avasta ... z tą różnicą że ja obydwa te (ad-ware i avasta) programy

zainstalowałem po fakcie. Szczerze mówiąc to najpowarzniejsza infekcja z jaką miałem do czynienia od ponad

2 lat, wcześniej urzywałem Internet Security (ale zgubiłem) potem Nortona ... ale był tak wkurzający że jeszcze tego samego dnia go wyinstalowałem. Chętnie skorzystam z twojej rady i zmienie te "pseudo antywirusy" na coś innego ... jakieś sugestje ?

Report SDFix po usnięciu.

SDFix: Version 1.106


Run by mute on 2007-09-22 at 02:39


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 



Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...



Normal Mode:

Checking Files: 


Trojan Files Found:


C:\WINDOWS\system\lsass.exe - Deleted




Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------





Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------


File Backups: - C:\SDFix\backups\backups.zip


Files with Hidden Attributes:


C:\WINDOWS\system32\config\SAM.tmp.LOG

C:\WINDOWS\system32\config\SECURITY.tmp.LOG


Finished!

Wygląda na to że wszystko wróciło do normy ... Fix usuną resztę:

C:\new folder.exe

C:\WINDOWS\lsass.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\system\svchost.exe

... z logu ComboFixa wynika że od momentu zainstalowania się tego Trojan do momentu kiedy się zorjętowałem że go mam (zainstalowałem antywiusa) ... mineły 3 dni ...

:palacz: taaa ... grunt to być czujnym ....

wielkie dzięki za pomoc


(jessica) #6

A przede wszystkim: gdzie log z ComboFix, o który prosił @Gutek2222?

jessi


(Gutek) #7

daruj sobie z COMBO potrzebny jest log