exploit mso5-053-wmf

IP: *.internetdsl.tpnet.pl 13.05.06, 09:59
ad aware zacinał się na :Software\microsoft\current version\shared Dll...
skan Evido znalazł Trojan.low Zones.dm, w C.Windows\system32
\rock.exe.Wywaliłem i powtórzyłem scan było czysto.Na drugi dzien z
ciekawości powtórzyłem scan Evido a tu niespodzianka .Tym razem w
kwarantannie w Temporary Internet Files\Content.IE5\E12LMNKP\.....itd{wazny
dalszy ciąg?} zainfekowany przez exploit jak w temacie.wywaliłem to ale czy
pozbyłem się nie wiem .zrobiłem update windows i jeszcze raz skan tym samym i
teraz tylko 2 cookie .No nie wiem spisałem się czy nie komputer chodzi na
wszelki wypadek dołączam log Hijackthis.pozdrawiam.Logfile of HijackThis
v1.99.1
Scan saved at 09:28:36, on 2006-05-13
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\D-Link AirPlus\AirPlus.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\ewido anti-malware\securitysuite.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\xp\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-
0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32
\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05
\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32
\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital
Imaging\bin\hpotdd01.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search &
Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: Google.url
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\system32\msjava.dll
O12 - Plugin for .spop: C:\Program Files\Internet
Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE2DC290-E9AC-4A1D-8BCF-
7643E5B3829A}: NameServer = 194.204.152.34,194.204.159.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program
Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program
Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software -
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe

    • Gość: k Re: exploit mso5-053-wmf IP: *.warszawa.sdi.tpnet.pl 13.05.06, 10:55
      Skoro plikow juz nie ma to wszystko powinno byc w porzadku, a i log jest ok.
      • Gość: graba Re: exploit mso5-053-wmf IP: *.internetdsl.tpnet.pl 13.05.06, 11:02
        Uffff.Wielkie dzięki ,Zyczę miłego dnia.pozdrowienia ze słonecznego w tej
        chwili Wrocławia.Graba.
    • barracuda7110 Re: exploit mso5-053-wmf 13.05.06, 11:51
      Ściągnij poprawkę do systemu: tiny.pl/gxxs
      • Gość: graba Re: exploit mso5-053-wmf IP: *.internetdsl.tpnet.pl 13.05.06, 14:09
        zrobione.Dzięki i pozdrowionko z nieco przychmurzonego już Wrocławia.
        • barracuda7110 Re: exploit mso5-053-wmf 13.05.06, 14:30
          :) juz nie powinien się władować Ci na kompa żaden wmf-exploit. Przy okazji
          można się zainteresować zmianą przeglądarki na alternatywną :).

          Pozdrawiam z jeszcze słonecznej Łodzi.
          • Gość: graba Re: exploit mso5-053-wmf IP: *.internetdsl.tpnet.pl 13.05.06, 15:23
            eh nie jest żle, grzebanie w bebechach bardziej mnie cieszy niż
            przeszkadza.Komputer tylko do zastosowan "domowych.Masz rację co do zmiany
            przeglądarki,lecz aktualnie bardzo interesuje mnie Linuks.Kto wie?Jesli zostanę
            przy Wind.pewnie tak będzie.Pozdrowienia.
            • barracuda7110 Re: exploit mso5-053-wmf 13.05.06, 20:11
              Hmm linux to fajna sprawa. Ciężko niektóre rzeczy zrobić (pewnie nie pograsz
              sobie np. w najnowszego nfs) ale do neta to system o wiele lepszy niż nawet
              całkowicie załatany windows. Pozatym nie ma w nim internet explorera.

              ps można ie bujnąć pod linuksem :) za pomocą wine.
              • Gość: graba Re: exploit mso5-053-wmf IP: *.internetdsl.tpnet.pl 14.05.06, 09:11
                Jo jest za tym ,jak mówią górnoślązacy.Właśnie gry interesują mnie najmniej,a
                nawet wcale.Coraz bardziej mnie ciekawi Linuks,a poza tym to nowe wyzwanie i to
                jest to co ja lubię .Miało padać a tu nawet swieci .Pozdrowienia.Graba.
Pełna wersja