Co to za swinstwo ?

IP: gateway.d* / *.mofnet.gov.pl 26.05.04, 15:30
Obiawy typowe. Podmienia strone startowa i domyslna w IE.
Dalej juz nie tak typowo.
Nie rozpoznaje go Symantec Antywirus(aktualizacja z dzisiaj), ani zaden z
programow antywirusowych, do ktorych linki znalazlem na tym Forum. Zadne Ad-
aware, Bazooka, Cleaner czy Panda.
A strone startowa zmienia natychmiast po wpisaniu przez uzytkownika swojej.
Poprzednio jak podlapalem cos takiego, to zmienial dopiero po uruchomieniu IE.
Tearz ustawiam strone, zapisuje, wychodze i jak wchodze znowu w ustawienie to
znowu mam .../xxx/..
Czy ktos sie moze domysla co to za g....?
Z gory dzieki !
    • Gość: piecyk gazowy Re: Co to za swinstwo ? IP: *.visp.energis.pl 26.05.04, 19:28
      A CWShreddera próbowałeś?
      www.spywareinfo.com/~merijn/files/CWShredder.exe
    • Gość: Qba Re: Co to za swinstwo ? IP: *.Wabrzezno.com.pl / *.Wabrzezno.com.pl 27.05.04, 06:52
      A może to coś nowego ??
    • netsec Re: Co to za swinstwo ? 27.05.04, 13:08
      Gość portalu: Leon napisał(a):

      > Obiawy typowe. Podmienia strone startowa i domyslna w IE.
      > Dalej juz nie tak typowo.
      > Nie rozpoznaje go Symantec Antywirus(aktualizacja z dzisiaj), ani zaden z
      > programow antywirusowych, do ktorych linki znalazlem na tym Forum. Zadne Ad-
      > aware, Bazooka, Cleaner czy Panda.
      > A strone startowa zmienia natychmiast po wpisaniu przez uzytkownika swojej.
      > Poprzednio jak podlapalem cos takiego, to zmienial dopiero po uruchomieniu IE.
      > Tearz ustawiam strone, zapisuje, wychodze i jak wchodze znowu w ustawienie to
      > znowu mam .../xxx/..
      > Czy ktos sie moze domysla co to za g....?

      Ściągnij HijackThis 209.133.47.12/~merijn/files/HijackThis.exe
      Wykonaj Scan i po tym Save Log.
      Zawartość pliku z save log wklej na forum, zobaczymy co się tam dzieje.
    • Gość: Leon Re: Co to za swinstwo ? IP: gateway.d* / *.mofnet.gov.pl 28.05.04, 07:48
      Logfile of HijackThis v1.97.7
      Scan saved at 07:41:38, on 28.05.04
      Platform: Windows 2000 SP3 (WinNT 5.00.2195)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\LEXBCES.EXE
      C:\WINNT\system32\spoolsv.exe
      C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
      C:\WINNT\System32\svchost.exe
      C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\Explorer.EXE
      C:\WINNT\System32\igfxtray.exe
      C:\WINNT\SOUNDMAN.EXE
      C:\Program Files\Winamp3\winampa.exe
      C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
      C:\WINNT\System32\internat.exe
      C:\Program Files\TrojanShield\AntiTroj.exe
      C:\Program Files\TrojanShield\st.exe
      C:\WINNT\System32\wuauclt.exe
      C:\WINNT\system32\ntvdm.exe
      D:\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      cashsearch.biz/redir1.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      cashsearch.biz/redir1.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
      cashsearch.biz/redir1.php
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      cashsearch.biz/redir1.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet
      Explorer Zaimplementowany przez LESIA
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      cashsearch.biz/redir1.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      cashsearch.biz/redir1.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
      www.onet.pl/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-
      00A0C9082467} - C:\WINNT\System32\msdxm.ocx
      O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
      O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\AGNITUM\TAUSCA~1.6\taumon.exe
      O4 - HKLM\..\RunServices: [TrojanShield Protector] C:\Program
      Files\TrojanShield\Port.exe
      O4 - HKCU\..\Run: [internat.exe] internat.exe
      O4 - HKCU\..\Run: [WITaj!] C:\WITaj\Wit2000.exe /jeden
      O4 - Global Startup: TrojanShield.lnk = C:\Program Files\TrojanShield\Init.exe
      O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

      Ja nic podejzanego tu nie widze
      • kalinowski11 Re: Co to za swinstwo ? 28.05.04, 08:10
        Witam!
        Mnie wydaje się to , cashsearch.biz/redir1.php mocno podejrzane ;)
        Jak Netsec , pogoni już co trzeba to możesz sobie zainstalować to :

        Program do zabezpieczenia systemu przed zmianami strony
        startowej , szpiegami itp.

        www.javacoolsoftware.com/spywareblaster.html

        1.Ściągnij , zainstaluj , uruchom .
        2."Updates"
        3."Protection"
        A."Internet Explorer Protection" - zaznaczasz dwa pola .
        B."Restricted Sites Protection " - zaznaczasz jedno pole .
        C."Mozilla/Firefox Protection" - jeśli używasz możesz zaznaczyć .
        4."Tools"
        A."Misc. IE Settings" - zaznaczamy , ta funkcja blokuje podmianę
        strony startowej .

        Pozdrawiam !
        • Gość: Leon Re: Co to za swinstwo ? IP: gateway.d* / *.mofnet.gov.pl 28.05.04, 09:29
          Oczywiscie, ze podejrzane. T sa wlasnie te wpisy, ktorych dokonuje jakis wirus
          lub trojan. (moge je sobie zminiac ile chce - i tak za chwile wracaja)
          Ale jak zidentyfikowac ten proces ?
          Liczylem na to, ze ktos go rozpozna moze na podstawie wpisywanego adresu.
          Pozdrrrr
          • kalinowski11 Re: Co to za swinstwo ? 28.05.04, 09:58
            Poczekaj na Netseca ;)
      • netsec Re: Co to za swinstwo ? 28.05.04, 10:56
        Gość portalu: Leon napisał(a):

        > Logfile of HijackThis v1.97.7
        > Scan saved at 07:41:38, on 28.05.04
        > Platform: Windows 2000 SP3 (WinNT 5.00.2195)
        > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Zacznij od aktualizacji Windows, zainstaluj Service Pack 4.
        www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.asp
        Po instalacji SP4 pamiętaj o instalacji łatki na Sasser'a
        www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=pl
        Na czas instalacji SP4 i łatki odłącz komputer od sieci.
        Czy log z HijackThis jest po wykonanych za jego pośrednictwem zmianach.
        Brakuje w nim części informacji.
        • Gość: Leon Re: Co to za swinstwo ? IP: gateway.d* / *.mofnet.gov.pl 28.05.04, 11:30
          Z logu wycialem tylko linie z adresem serwera Proxy.
          • netsec Re: Co to za swinstwo ? 28.05.04, 11:41
            Gość portalu: Leon napisał(a):

            > Z logu wycialem tylko linie z adresem serwera Proxy.

            Czy wykonywałes jakieś usuwanie przez via Hijack?
            • Gość: Leon Re: Co to za swinstwo ? IP: gateway.d* / *.mofnet.gov.pl 28.05.04, 11:47
              Nie. Za pomaca Hijack-a niczego nie zmienialem.
              Uzylem go tylko do skanowania systemu i utworzenia logu.
              • netsec Re: Co to za swinstwo ? 28.05.04, 12:24
                Gość portalu: Leon napisał(a):

                > Nie. Za pomaca Hijack-a niczego nie zmienialem.
                > Uzylem go tylko do skanowania systemu i utworzenia logu.

                Generalnie programiki i kontrolki ocx instalowane podczas chodzenia po stronach wykorzystują błedy w przeglądarce IE, stąd tak ważne jest zaktualizowanie na początek systemu o wszystkie krytyczne poprawki. Masz system Windows 2000 więc mam nadzieje, że przynajmniej masz hasło na koncie Administrator a konto Gość jest wyłączone. Odezwij się jak wykonasz aktualizacje :)
                Mogę zagwarantować, że da się to usunąć, ale skoro nawet nie masz firewall.
    • Gość: Leon Re: Co to .. - Prosba do netesc-a IP: gateway.d* / *.mofnet.gov.pl 28.05.04, 07:58
      Czy mozesz krotko wyjasnic mi mechanizm podmieniania stron startowych.
      Wiem, ze te i pare innych ustawien IE sa zapisane w rejestrze Windows.
      Jednak nizaleznie od tego czy zmienie te ustawienia recznie- w rejestrze
      uzywajac np. regedita, czy spod wplasciowsci programu, to zaraz po zapisaniu
      zmian znowu mam to samo.
      Ja sobie mysle, ze jakis program (trojan) jest uruchomiony "w tle" i cykilcznie
      aktualizuje rejestr.
      Wobec tego czy np. mozna sprawdzic jaki proces modyfikuje pliki rejestru ?
      I czy mozna zablokowac dostep do rejestru ?
      Chociaz to drugie uniemozliwi chyba wszelkie aktualizacje i zamiany
      Z gory dzieki
Pełna wersja