Letgohome mnie napadł i gnębi

Jakubek · 5 Kwiecień 2005 19:17

Cześć

Jestem absolutnym dyletantem w tych sprawach i potrzebuję pomocy fachowca…

Draństwo, co przylazło z netu i teraz ustawia mi się uporczywie jako strona startowa to: http://letgohome.com/hp.htm?id=9

Rzućcie proszę okiem na poniższe listy procesów i wpisów.

To są wpisy z najnowszego HijackThis:

Logfile of HijackThis v1.99.1 Scan saved at 00:06:33, on 2005-04-06 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\ctfmon.exe C:\Documents and Settings\Jakub\Pulpit\nowsze zabezpiecz\hijack1\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\LZT1NR~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe” O4 - HKLM…\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM…\Run: [sSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Microsoft AntiSpyware helper - {0786FBC8-C535-47FE-ADE9-FFEB73A89787} - (no file) (HKCU) O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {0786FBC8-C535-47FE-ADE9-FFEB73A89787} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {4C32FD5A-2244-4543-8F2C-B83B6940C5CC} - (no file) (HKCU) O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {4C32FD5A-2244-4543-8F2C-B83B6940C5CC} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {9FE4768D-1BC1-4064-9681-1B28517FA60B} - (no file) (HKCU) O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {9FE4768D-1BC1-4064-9681-1B28517FA60B} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {AFC7CC25-D12B-485D-84F0-E49337C734C5} - (no file) (HKCU) O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {AFC7CC25-D12B-485D-84F0-E49337C734C5} - (no file) (HKCU) O13 - WWW. Prefix: http:// O20 - AppInit_DLLs: 8uouc73zoivdfhdll.dll.dll.dll.dll.dll.dll.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Czy coś z tego Hijacka’a powinienem wywalić???

To są procesy wyświetlone przez processexplorer:

Process PID CPU Description Company Name System Idle Process 0 73 Interrupts n/a 1 Hardware Interrupts DPCs n/a Deferred Procedure Calls System 4 smss.exe 444 Windows NT Session Manager Microsoft Corporation csrss.exe 700 1 Client Server Runtime Process Microsoft Corporation winlogon.exe 732 Aplikacja logowania systemu Windows NT Microsoft Corporation services.exe 776 2 Usługi i aplikacja Kontroler Microsoft Corporation svchost.exe 1040 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1104 Generic Host Process for Win32 Services Microsoft Corporation wuauclt.exe 2072 Klient autoaktualizacji Windows Update Microsoft Corporation svchost.exe 1196 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1260 Generic Host Process for Win32 Services Microsoft Corporation spoolsv.exe 1408 Spooler SubSystem App Microsoft Corporation CCEVTMGR.EXE 1448 Event Manager Service Symantec Corporation alg.exe 1596 Application Layer Gateway Service Microsoft Corporation NAVAPSVC.EXE 1664 Norton AntiVirus Auto-Protect Service Symantec Corporation wdfmgr.exe 1872 Windows User Mode Driver Manager Microsoft Corporation lsass.exe 788 LSA Shell (Export Version) Microsoft Corporation explorer.exe 256 2 Eksplorator Windows Microsoft Corporation ccApp.exe 424 Common Client CC App Symantec Corporation SpySub.exe 1816 SpySubtract Program EXE InterMute, Inc. msimn.exe 3428 Outlook Express Microsoft Corporation procexp.exe 3432 22 Sysinternals Process Explorer Sysinternals HijackThis.exe 112 HijackThis Soeperman Enterprises Ltd. rundll32.exe 688 Uruchamia plik DLL jako aplikację Microsoft Corporation Process: rundll32.exe Pid: 688 Type Name Desktop \Default Directory \Windows Directory \BaseNamedObjects Directory \KnownDlls Event \BaseNamedObjects\crypt32LogoffEvent File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\Documents and Settings\Jakub\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat File C:\Documents and Settings\Jakub\Cookies\index.dat File C:\Documents and Settings\Jakub\Ustawienia lokalne\Historia\History.IE5\index.dat File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File \Device\KsecDD File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\Documents and Settings\Jakub File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 Key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings Key HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer Key HKLM Key HKCU Key HKCR Key HKLM\SOFTWARE\Microsoft\COM3 Key HKU Key HKCR Key HKU Key HKLM\SOFTWARE\Microsoft\COM3 Key HKLM\SOFTWARE\Microsoft\COM3 Key HKCR\CLSID Key HKCR Key HKLM\SOFTWARE\Microsoft\COM3 Key HKU Key HKLM\SOFTWARE\Microsoft\COM3 Key HKLM\SOFTWARE\Microsoft\COM3 Key HKCR\CLSID Key HKCU\Software\Classes Key HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Key HKCU\Software\Microsoft\Internet Explorer\TypedURLs KeyedEvent \KernelObjects\CritSecOutOfMemoryEvent Mutant \BaseNamedObjects_!MSFTHISTORY!_ Mutant \BaseNamedObjects\c:!documents and settings!jakub!ustawienia lokalne!temporary internet files!content.ie5! Mutant \BaseNamedObjects\c:!documents and settings!jakub!cookies! Mutant \BaseNamedObjects\c:!documents and settings!jakub!ustawienia lokalne!historia!history.ie5! Mutant \BaseNamedObjects\WininetStartupMutex Mutant \BaseNamedObjects\WininetConnectionMutex Mutant \BaseNamedObjects\WininetProxyRegistryMutex Process rundll32.exe(688) Section \BaseNamedObjects\C:_Documents and Settings_Jakub_Ustawienia lokalne_Temporary Internet Files_Content.IE5_index.dat_65536 Section \BaseNamedObjects\C:_Documents and Settings_Jakub_Ustawienia lokalne_Historia_History.IE5_index.dat_2326528 Section \BaseNamedObjects\C:_Documents and Settings_Jakub_Cookies_index.dat_81920 Section \BaseNamedObjects__R_000000000007_SMem__ Semaphore \BaseNamedObjects\shell.{210A4BA0-3AEA-1069-A2D9-08002B30309D} Semaphore \BaseNamedObjects\shell.{7CB834F0-527B-11D2-9D1F-0000F805CA57} Semaphore \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1} Thread rundll32.exe(688): 2064 WindowStation \Windows\WindowStations\WinSta0 WindowStation \Windows\WindowStations\WinSta0

Czy suspendować albo killować któreś z nich? Które???

Możliwe, żeby to było coś wrednego z Symantec, z Microsoft, albo z folderu system32 ??? Jeśli tak, to które to???

Oczywiście z Hijacka wpis z ‘letgohome’ wywalam pracowicie, ale on wraca zazwyczaj natychmiast, a czasem po pewnym (krótkim) czasie.

Podobnie jest z przestawianiem strony startowej w opcjach internetowych…

CO ROBIĆ???

Są może dostępne w sieci jakieś nieodpłatne, czulsze od tych powyższych, programy do zwalczania takiego draństwa? Byłbym wdzięczny za linki i krótki instruktarz, jak z nich skorzystać…

Aha - do tego ad-aware za każdym razem (skanując w sumie raz po razie) wykrywa po kilka-kilkanaście świństw w typie:

CoolWebSerch; RegKey; Malware; HKEY_CLASSES_ROOT:plugin6.dnserrobj\ itp., mimo że od inernetu jestem cały czas odłączony.

Pozdrawiam i czekam na pomoc

na granicy samobójstwa (czytaj - formatowania dysku)

Jakubek

kuz5 · 6 Kwiecień 2005 00:18

Załapałeś CWS letgohome

Na początek usuń pliki LZT1NR~1.DLL i 8uouc73zoivdfhdll.dll.dll.dll.dll.dll.dll.dll najlepiej programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINDOWS\System32** LZT1NR~1.DLL**

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

po restarcie robisz to samo z ścieżką:

C:\WINDOWS\System32** 8uouc73zoivdfhdll.dll.dll.dll.dll.dll.dll.dll**

Potem usuwasz HijackThisem wpisy:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=9 

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\LZT1NR~1.DLL 

O9 - Extra button: Microsoft AntiSpyware helper - {0786FBC8-C535-47FE-ADE9-FFEB73A89787} - (no file) (HKCU) 

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {0786FBC8-C535-47FE-ADE9-FFEB73A89787} - (no file) (HKCU) 

O9 - Extra button: Microsoft AntiSpyware helper - {4C32FD5A-2244-4543-8F2C-B83B6940C5CC} - (no file) (HKCU) 

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {4C32FD5A-2244-4543-8F2C-B83B6940C5CC} - (no file) (HKCU) 

O9 - Extra button: Microsoft AntiSpyware helper - {9FE4768D-1BC1-4064-9681-1B28517FA60B} - (no file) (HKCU) 

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {9FE4768D-1BC1-4064-9681-1B28517FA60B} - (no file) (HKCU) 

O9 - Extra button: Microsoft AntiSpyware helper - {AFC7CC25-D12B-485D-84F0-E49337C734C5} - (no file) (HKCU) 

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {AFC7CC25-D12B-485D-84F0-E49337C734C5} - (no file) (HKCU)

O13 - WWW. Prefix: http:// 

O20 - AppInit_DLLs: 8uouc73zoivdfhdll.dll.dll.dll.dll.dll.dll.dll

Jakubek · 6 Kwiecień 2005 18:45

Dziękuję uprzejmie!

Letgohome’a w międzyczasie wywalił mi jakiś search (czyli jakieś inne świństwo nie wiadomo skąd), który się samo ustawiał jako strona startowa. Usunąłem go jakoś i usunąłem wpisy, z Twojej listy, które jeszcze pozostały. Na razie jakby pomogło, ale generalnie co jakiś czas ustawia mi się jako startowa jakowyś serch-portal np. ttp://www.search-paga.com/10055/ i tworzy się folder w program files: WebSiteViewer i ściągają się świństwa różne przez to.

Czy można jakoś się przed tym zabezpieczyć???

To są moje aktualne logi, będę wdzięczny za informację czy coś z tego jeszcze powinienem wywalić???

Logfile of HijackThis v1.99.1 Scan saved at 20:41:42, on 2005-04-06 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Documents and Settings\Jakub\Pulpit\nowsze zabezpiecz\hijack1\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe” O4 - HKLM…\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM…\Run: [sSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

kuz5 · 6 Kwiecień 2005 19:00

Nie

Log jest ok

To fix w trybie awaryjnym z wyłączonym przywracaniem systemu powinno pomóc.

Jakubek · 7 Kwiecień 2005 16:08

Daruj ignorancję, ale co to znaczy??? Co to: “To fix w trybie awaryjnym…” itd.???

Czy mógłbyś, proszę uprzejmie, napisać co dokładnie mam zrobić, krok po kroku, jak komu głupiemu?

boczi · 7 Kwiecień 2005 16:12

To masz info jak uruchomić tryb awaryjny i wyłączyć przywracanie systemu:

Searchengines.pl/picasso:

Jak zastartować do trybu awaryjnego? Są dwie metody: 1. Przez klawisz F8 (lub F5): W momencie kiedy komputer się resetuje i ma jeszcze czarny ekran klikamy nieustannie i bardzo szybko w klawisz F8. Na starszych kompach ta metoda może się nie sprawdzić gdyż klawisz F8 może być wyłączony lub może być przypisany inny. Np. jeśli komuś po kliknięciu w F8 wyskoczy wybór urządzenia bootującego to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny prawdopodobnie jest F5. Problem z metodą F8 polega na strzelaniu w ten klawisz WE WŁAŚCIWYM MOMENCIE: na czarnym ekranie ale nie za wcześnie (inaczej wystąpi błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie Normalnym). 2. Przez narzędzie systemowe MSCONFIG. Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się nie powieść jeśli na kompie jest śmieć gdyż wiele śmieci w pierwszej kolejności blokuje msconfig właśnie! Wniosek: nie działa F8 to msconfig, nie działa msconfig to F8.

A “Fix” - chodzi o “zaptaszenie” czyli zaznaczenie wpisu w Hijacku i “sfixowanie” go, czyli usunięcie.

Jakubek · 9 Kwiecień 2005 16:06

Dziękuję Wam bardzo.

A czy możecie polecić mi jakieś darmowe programy chroniące przed takimi atakami? Może jakieś linki?

boczi · 9 Kwiecień 2005 16:09

Np. PestPatrol.

http://www.searchengines.pl/phpbb203/in … opic=11522

Zalecana jest zmiana przeglądarki z IE na Firefox, Operę.

Uważniejsze surfowanie.

Damian · 9 Kwiecień 2005 16:55

Lub Microsoft AntiSpyware

Gutek · 10 Kwiecień 2005 09:32

@boczi dlaczego bez pozwolenia cytujesz @Picasso n tym forum? Można skrócić jej definicję

Co do przeglądarki: Mozilla Firefox