TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

Fixy na trudne przypadki

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.

Fixy na trudne przypadki

Postprzez pp3088 » 13 Paź 2006, 14:44

PostUA:


Ostatnio edytowany przez pp3088 10 Kwi 2008, 15:26, edytowano w sumie 7 razy
Awatar użytkownika
pp3088
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 999
Dołączenie: 11 Sie 2006, 23:59
Miejscowość: Szczecin

Usuwanie VX2

Postprzez pp3088 » 13 Paź 2006, 15:09

PostUA:


Usuwanie VX2

Program adware powodujący wyświetlanie się reklam. Częstym objawem jest też przekierowywanie na inne strony.

Image

Jak rozpoznać

HijackThis pokaże nam wpis/wpisy z identyfikatorem O20. Szpiega VX2/Look2me można łatwo rozpoznać po losowej nazwie pliku
O20 - Winlogon Notify: Nls - C:\WINNT\system32\fpj6031se.dll
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\oiqw24sc2.dll
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\i45vs01.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\fgyfeft591.dll
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32jj898fws.dll
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\38hw0djsjcq.dll
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\oiodwbcq.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\30i90kfdsq.dll
O20 - Winlogon Notify: Themes - D:\WINDOWS\system32\28ufhnmsnje.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\si398fbx.dll
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\c3f3345f0i.dll
O20 - Winlogon Notify: Shell - C:\WINDOWS\system32\if46hgsq5.dll
O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\qxc2f4r5d.dll
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\ 38djw783.dll
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\drvdrvxcxe45.dll
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system\32d34r4.dll
O20 - Winlogon Notify: Themes - D:\WINDOWS\system\32m7hd4fre.dll
O20 - Winlogon Notify: Extensions - C:\WINNT\system32\hr2805fue.dll


Często pojawiają się także modyfikacje pliku host
Kod: Zaznacz wszystko
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 64.91.255.87 http://www.dcsresearch.com


Mogą być także rózne dziwne pliki

O2 - BHO: Media Player support DLL - {2DC9D850-144D-11E1-B3C9-10805E499D95} - C:\WINDOWS\System32\mplay32.dll
O4 - HKLM..Run: [ntsmod] C:\WINDOWS\system32\ntsmod.exe
O4 - HKLM..Run: [nsvcin] C:\WINDOWS\system32\n20050308.exe


Należy je usunąć

Jak go usunąc


Programami
Look2Me - http://www.atribune.org/public-beta/Loo ... troyer.exe
Image

1.Otwieramy program przez dwuklik na jego ikonke
Image
2.Wybieramy Run this program as a task. Później klikamy OK. Program uruchomi się za około 1 minutę.
Image
3.Klikamy na Scan for L2M. Skan się rozpocznie.
Image
4.Po zakończeniu skanowania dajemy OK
Image
5.Potem klikamy na przycisk Remove L2M Po całej akcji klikamy OK. Komputer się zrestartuje.
Image

Jeśli przy próbie uruchomienia tego narzędzia otrzymacie błąd:

"Component 'mswinsck.ocx' or one of its dependencies not correctly registered: a file is missing or invalid"



Fix: Ściągnij mswinsck.ocx http://www.ascentive.com/support/new/su ... WINSCK.OCX , umieść w folderze C:\WINDOWS\system32 a po tym zarejestruj przez:

Start >>> Uruchom >>> regsvr32 C:\WINDOWS\system32\MSWINSCK.OCX

Można użyć także programu symanteca

http://securityresponse.symantec.com/av ... SpL2Me.exe

Ręcznie

W tym celu użyć narzędzia L2Mfix [url=L2Mfix]http://www.downloads.subratam.org/l2mfix.exe[/url]

Po ściągnięciu pliku kikamy dwukrotnie na plik l2mfix

Pojawia się takie okienko.

Image

Aby kontynuować należy wcisnąć losowy przycisk

Nastepnie w tym okienku wklepać liczbę 1

Image

Po zakończeniu akcji wkleić na forum loga.

VX2 powoduje takzę zmiany w rejestrze. w tym celu proszę stowrzyć plik rejestru. Otwórzyć notatnik wkleić
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{D82BE2B0-5764-11D0-A96E-00C04FD705A2}]
@="IShellFolderBand"

[HKEY_CLASSES_ROOT\CLSID\{D82BE2B0-5764-11D0-A96E-00C04FD705A2}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"


zapisać jak fix.reg z rozserzeniem wszystkie pliki. Zaaplikować do systemu.

Natępnie prawy klik na pasek zadań >>> Toolbars >>> odhaczyć Quick Launch o ile jest >>> Nowe toolbar >>> browsujesz do folderu C:\Documents and Settings\Twoje konto\Dane aplikacji\Microsoft\Internet Explorer i wskazujesz folder Quick Launch.

Jeśli folderu Quick Launch nie ma w podanej ścieżce to go tworzysz tam własnoręcznie.


Nie restartować komputera po zrobieniu loga z L2MFix, bo VX2 zmienia co restart wpisy i wejścia w rejestrze.
Ostatnio edytowany przez pp3088 09 Cze 2007, 14:56, edytowano w sumie 5 razy
Awatar użytkownika
pp3088
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 999
Dołączenie: 11 Sie 2006, 23:59
Miejscowość: Szczecin

Usuwanie Global Search

Postprzez pp3088 » 15 Paź 2006, 00:34

PostUA:


Usuwanie Global Search

Global Search to jeden ze szkodników browserowych.

Jak rozpoznać?
Pojawiają się reklamy i przekierowywania. Dodatkowo pojawia się pasek w przeglądarce:D

Image

W logu z HijackThis pokaże się wejście sugerujące w nazwie "pop-up blocker":

O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\System32\popup_bl.dll



Jak usunąć??



Na początek plik naprawczy na szkody w rejestrze(w notaniku wkleić):
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{28F65FCB-D130-11D8-BA48-8BE0C49AF370}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{28F65FCB-D130-11D8-BA48-8BE0C49AF370}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{CF70455E-EDC1-4067-B824-CD0314BC3B2E}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{05AAE5E5-47A1-4F65-8C32-8913EAD54DBF}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Interface\{A77BD0A1-A8FA-48C0-8FFF-5A4DDCAD4581}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Popup_bl.BL.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Popup_bl.BL]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Popup_bl.onClick.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\Popup_bl.onClick]


Plik >>> Zapisz jako >>> Wszystkie pliki *.* >>> jako nazwa wprowadź FIX.REG

2.Restart do trybu awaryjnego.
3.Odpalenie pliku fix.reg
4.Usunięcie z dysku plik popup_bl.dll.
Ostatnio edytowany przez pp3088, 09 Cze 2007, 15:00, edytowano w sumie 1 raz
Awatar użytkownika
pp3088
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 999
Dołączenie: 11 Sie 2006, 23:59
Miejscowość: Szczecin

Usuwanie ISTBar

Postprzez pp3088 » 15 Paź 2006, 00:48

PostUA:


Usuwanie ISTBar

ISTBar jest to program Adware. Instaluje pełno syfu, zmienia strone startową na *.slootch.com.Pełno porn pop-upów

Jak rozpoznać??

Losowe znaki ANSII w kodzie Przykłądowe zestawy od znajomych ^_^
O4 - HKLM..Run: [˘Ş¸ď0/4»}Ą ăx‡5_C:\Program Files\IST\svcistsvc.exe] C:\WINNT\ujbawef.exe
O4 - HKLM..Run: [FFWgtS] C:\WINNT\ujbawef.exe


O4 - HKLM..Run: [IST Service] C:\Program Files\IST\svcistsvc.exe
O4 - HKLM..Run: [˘‰¸ď0 4Ă4}¤Áś5]C:\Program Files\IST\svcistsvc.exe] C:\HGITBJ.EXE
O4 - HKLM..Run: [9jbXG] C:\HGITBJ.EXE


Jak usunąć??

Usuwanie ręczne jest bardzo skomplikowane. Dlatego zalecam użycia darmowej maszynki od symanteca:
FxIstbar.exe. http://securityresponse.symantec.com/av ... Istbar.exe
Ostatnio edytowany przez pp3088 09 Cze 2007, 15:02, edytowano w sumie 2 razy
Awatar użytkownika
pp3088
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 999
Dołączenie: 11 Sie 2006, 23:59
Miejscowość: Szczecin

Łańcuch Winsock i szpiedzy

Postprzez pp3088 » 15 Paź 2006, 00:58

PostUA:


Łańcuch Winsock i szpiedzy

Layered Service Provider (LSP) to szczególny typ softu mający za zadanie zintegrować się bezpośrednio z protokołem TCP/IP służącym do komunikacji z internetem. Łańcuchy łączą się, więc zle usunięcie szpiega/łańchuchu kończy działanie Internetu. LSP mogą być pożyteczne, czasem zagnieżdżają się tam firewalle i antywirusy, a czasem świnstwa typu Web.hancer czy NEw.net ("dodatek" do Emula ;))

Jak rozponać?

Wpis 010 w Hijacku

Jak usunąć?

Jak to zwkle bywa potrzeba matką wynalzku, i tutaj takżę znalazło to zastosowanie.

LSPFix
Ściągnij z: http://cexx.org/lspfix.htm

Image

Jak widać na załączonym rysunku są 2 okna programu.

Keep=co zostawiamy
Remove=co chcemy usunąć

Pliki przenosimy pomiędzy okienkami za pomocą strzałek >> (przenosi do okienka Remove) i << (przenosi do okienka Keep). Te przyciski staną się aktywne dopiero po zaptaszkowaniu opcji I know what I'm doing.

UWAGA: LSP-Fix pokaże kilka plików w lewym oknie (patrz obrazek). To są pliki Windows i nie można ich dotknąć bo inaczej utracicie internet!

Po akcji restart, potem można usunąć plik syfu np. newdotnet7_22.dll
Ostatnio edytowany przez pp3088, 09 Cze 2007, 15:03, edytowano w sumie 1 raz
Awatar użytkownika
pp3088
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 999
Dołączenie: 11 Sie 2006, 23:59
Miejscowość: Szczecin

Usuwanie Purity scan

Postprzez pp3088 » 15 Paź 2006, 01:09

PostUA:


Usuwanie Purity scan

Instaluje szpiegów. Ściąga i wyświetla reklamy. Syf.

Jak rozpoznać

pliki ze znakeim "?"

O4 - HKCU..Run: [Lqjogrt] C:WINDOWS\System32\??plorer.exe
O4 - HKCU..Run: [Upwzxru] C:\WINDOWS\System32\??plorer.exe
O4 - HKCU..Run: [Mcbqh] C:\WINNT\system32\t?skmgr.exe


Pliki mają pytajniki, ponieważ nie mogą istnieć 2 pliki o takich samch nazwach. Podobieństwo ma zmylić użytkownika. Te pliki są kodowany w ??Unicode i XP je widzi prawidłowo, a Hijack i Win98 już nie. Także usuwacze typu Killbox nie zlokalizują dziada.

Jak usunąć??

Istna zabawa w kotka i myszke. Przekonał się o tym ~beznazwowy(pozdro ^^).

Zabawa z linią komend

Start >>> Uruchom >>> cmd

W oknie spisujesz scieżke dosępu np.

CD C:\WINDOWS\system32
CD C:\Program Files
CD C:\Documents and Settngs\user\Dane aplikacji

Potrzebne będzię zniesienie atrybutów

ATTRIB -R -S -H

dodając nazwę smiecia np

ATTRIB -R -S -H ??chost.exe
ATTRIB -R -S -H ??plorer.exe
ATTRIB -R -S -H ??oolsv.exe

Następnie wejśc w lokacje i usunąć syf. Jeśli plik pojawia się w folderze systemowym obok pliku Widnowsa możę być problem. Radzę wtedy porównać włąściwości. W pliku nie ma ikonki, żadnych danych, został utworzony póżniej niż instalacja systemu Windows.
Ostatnio edytowany przez pp3088, 09 Cze 2007, 15:04, edytowano w sumie 1 raz
Awatar użytkownika
pp3088
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 999
Dołączenie: 11 Sie 2006, 23:59
Miejscowość: Szczecin

Usuwanie Vundo

Postprzez pp3088 » 15 Paź 2006, 12:32

PostUA:


Usuwanie Vundo

Jest to trojan typu masakra, liczne błędy i pop-upy.

Częstym dodatkiem jest WinFixer

Image

Program udaje przydatne program. O to wyniki jego sau z googli:

Image

Należy jednak dodać, że oba problem nie zawsze się łączą.

Jak rozponać

Wyżej wmienione objawy. ledy, errory np."buffer overrun w pliku rundll32.exe". Pełno pop-upów

Znaki w logu:

O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\eq.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\AppPatchinfow.dll
O20 - Winlogon Notify: infow - C:\WINDOWS\AppPatchinfow.dll
O20 - Winlogon Notify: req - C:\WINDOWS\system32\eq.dll

....

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Configabrole.dll
O20 - Winlogon Notify: abrole - C:\WINDOWS\Configabrole.dll

....

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\oppnl.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINNT\system32\qomnk.dll
O20 - Winlogon Notify: oppnl - C:\WINNT\SYSTEM32\oppnl.dll
O20 - Winlogon Notify: qomnk - C:\WINNT\system32\qomnk.dll

....

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\vtsqo.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\vtstt.dll
O20 - Winlogon Notify: vtsqo - C:\WINDOWS\SYSTEM32\vtsqo.dll
O20 - Winlogon Notify: vtstt - C:\WINDOWS\System32\vtstt.dll

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
INFECTION WARNING! "{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}" = "*U" (unwritable string)
-> {CLSID}InProcServer32(Default) = "C:\WINDOWS\System32\vtsqo.dll" [null data]

O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\tdev.dll
O20 - Winlogon Notify: tdev - C:\WINDOWS\SYSTEM32\tdev.dll

....

O2 - BHO: CIEPl Object - {0612F71E-934B-4D92-B8E8-2E29EA78EB03} - C:\WINNT\System32\mcconfig.dll
O20 - Winlogon Notify: ansgudxn - C:\WINNT\SYSTEM32\ansgudxn.dll
O20 - Winlogon Notify: ekdmpcsp - C:\WINNT\SYSTEM32\ekdmpcsp.dll
O20 - Winlogon Notify: mcconfig - C:\WINNT\SYSTEM32\mcconfig.dll
O20 - Winlogon Notify: qsvlgycb - C:\WINNT\SYSTEM32\qsvlgycb.dll
O20 - Winlogon Notify: rsrnwete - C:\WINNT\SYSTEM32\srnwete.dll
O20 - Winlogon Notify: trnvadod - C:\WINNT\SYSTEM32\trnvadod.dll

....

O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\System32\mcconfig.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\yjgwdjlw.dll
O20 - Winlogon Notify: mcconfig - C:\WINDOWS\SYSTEM32\mcconfig.dll


Znak rozpoznawczy to znacznik w O2 oraz fakt iż plik w O2 i O20 jest powtórzony. Czasem występuje aż podwójna para i dodatkowy plik dll w O2 z opisem (no name). Ale same nazwy plików są zmienne, podobnież jak numery w klamrach {}.

Jak usunąć

Ręcznie jest to prawie awykonalne. Dlatego powstały maszynki

VundoFix (tylko Windows 2000/XP)

Pobierz: VundoFix

Image

Trojan.Vundo Removal Tool (wszystkie Windows)

Pobierz: FixVundo.exe http://securityresponse.symantec.com/av ... xVundo.exe


VirtumundoBeGone (wszystkie Windows)

Pobierz: VirtumundoBeGone.exe http://secured2k.home.comcast.net/tools ... BeGone.exe

Ręcznie
Odpalić Hiajcka i niech czeka w spoczynku.

Pobrać program Vundo Fix w wersji starszej http://rapidshare.de/files/36814725/vundofix.zip.html. Zastartować do awaryjego, powyłączać wszystkie softy ochronne i uruchomić z folderu narzędzia plik killvundo.bat

Image

Program przywita nas takim oknem. Aby kontynuować wciśnąć ENTER

Następnie po kolei padną dwa następne pytania:

Please Type in the filepath as instructed by the forum staff and then press enter: = tu wpisujemy ścieżkę dostępu do pliku który w HijackThis pokazał się w identyfikatorze O2 - BHO. Przykładowo będzie to:

C:\WINDOWS\system32\qomnk.dll

Please type in the second filepath as instructed by the forum staff then press enter: = tu wpisujemy ścieżkę dostępu do pliku który w HijackThis pokazał się w identyfikatorze O2O - Winlogon Notify. Plik musi być zapisany od końca(tzw.anagram) i nie możę mieć nazwy z .dll. Np.

C:\WINDOWS\SYSTEM32\qomnk.dll

zamieniamy na

C:\WINDOWSS\YSTEM32\knmoq.*

Uwaga!!! wpisanie komendy C:\WINDOWS\SYSTEM32\*.*


skasuje nam cały folder system32.

Ma to wyglądać mniej wiecej tak:

Potwierdzić ENTEREM. Następnie nastąpi faza zabicia procesów Windows: explorer.exe, smss.exe i winlogon.exe co spowoduje totalne zamrożenie systemu, nawe menadżera zadań. W tej chwili należy odpalić HiJacka i zabić 02 i 020.

Powinien pojawić się taki ekran

Image

Należy sresetować blaszaka. Wyniki pracy narzędzia znajdziecie w pliku vundofix.txt, wzór

VundoFix V2.15 by Atri
--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.
--------------------------------------------------------------------------------------

killvundo.bat
process.exe
ReadMe.txt
vundo.reg
vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered
--------------------------------------------------------------------------------------

The filepath entered was C:\WINDOWS\SYSTEM32\qomnk.dll


The second filepath entered was C:\WINDOWS\SYSTEM32\knmoq.*

--------------------------------------------------------------------------------------

Log from Process
--------------------------------------------------------------------------------------


Killing PID 560 'smss.exe'

Killing PID 1940 'explorer.exe'


Killing PID 648 'winlogon.exe'
Killing PID 648 'winlogon.exe'
Killing PID 648 'winlogon.exe'
Killing PID 648 'winlogon.exe'
Killing PID 648 'winlogon.exe'
--------------------------------------------------------------------------------------

Deleted sucessfully C:\WINDOWS\SYSTEM32\tdev.dll.
Deleted sucessfully C:\WINDOWS\SYSTEM32\vedt.*.

Fixing Registry
--------------------------------------------------------------------------------------

Ostatnio edytowany przez pp3088, 09 Cze 2007, 15:08, edytowano w sumie 1 raz
Awatar użytkownika
pp3088
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 999
Dołączenie: 11 Sie 2006, 23:59
Miejscowość: Szczecin

Fałszywe tapety i dymki w trayu, Szkodliwe programy anty-spy

Postprzez pp3088 » 29 Lis 2006, 22:16

PostUA:


Fałszywe tapety i dymki w trayu, Szkodliwe programy anty-spyware

Pewnie nie jeden użtkownik spotkał się z denerwującymi komunikatami i restrykcjami na zmiane tapety. Nie jeden takżę miał pełno pop-upów z podejrzanymi programami antyspyware. Z pozoru niezbyt szkodliwy spyware, buszuję po całym kompie.

Co to za syf? Oczywiście SmitFraud(nie mylić z usuwaczem SFF:))

Jak go rozpoznać

Nawet nie próbuje się maskować.

Tutaj chociażby restrykcje tapet:

Image
Image
Image
Image

A tutaj dymki

Image
Image
Image

A tutaj programy

SpyQuake
Image

SpyFalcon
Image

AlfaCleaner
Image

VirustBurst najnowszy:)

Image

Znaki w logach

Dla VirusBursta
O4 - HKLM..Run: [VirusBurst] C:\Program Files\VirusBurst\VirusBurst.exe /h

titiau.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}"="eeler"
[HKEY_CLASSES_ROOT\CLSID\{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}\InProcServer32]
@="C:\WINDOWS\system32\titiau.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1559e6c1-7e5e-4461-9457-6a2dea85eb9f}\InProcServer32]
@="C:\WINDOWS\system32\titiau.dll"

O21 - SSODL: eeler - {1559e6c1-7e5e-4461-9457-6a2dea85eb9f} - C:\WINDOWS\system32\titiau.dll

httge.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7be183d2-a42d-4915-bf60-ec86fbf002cf}"="horologium"
[HKEY_CLASSES_ROOT\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32]
@="C:\WINDOWS\system32\httge.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32]
@="C:\WINDOWS\system32\httge.dll"

O21 - SSODL: horologium - {7be183d2-a42d-4915-bf60-ec86fbf002cf} - C:\WINDOWS\system32\httge.dll



gqagksr.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{b166be07-30a4-4d38-b781-44528a630706}"="hydrodictyon"
[HKEY_CLASSES_ROOT\CLSID\{b166be07-30a4-4d38-b781-44528a630706}\InProcServer32]
@="C:\WINDOWS\system32\gqagksr.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{b166be07-30a4-4d38-b781-44528a630706}\InProcServer32]
@="C:\WINDOWS\system32\gqagksr.dll"

O21 - SSODL: hydrodictyon - {b166be07-30a4-4d38-b781-44528a630706} - C:\WINDOWS\system32\gqagksr.dll


Dla VirusBlasta
Image
O2 - BHO: IEExtension Class - {1F6FE2C2-6040-4645-9053-7F689AFFE176} - C:\Program Files\VirusBlast\BlastIEmonitor.dll
O4 - HKLM..Run: [VirusBlast] C:\Program Files\VirusBlast\VirusBlast.exe /s


WERSJE Z KODEKAMI

INTCODEC:

C:\Program Files\IntCodec\isamonitor.exe
C:\Program Files\IntCodec\pmsngr.exe
C:\Program Files\IntCodec\pmmon.exe
C:\Program Files\IntCodec\isamini.exe
C:\Program Files\SpyQuake2.com\Spy-Quake2.exe
C:\Program Files\SpyQuake2.com\Spy-Quake2.exe

O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Program Files\IntCodec\isaddon.dll
O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Program Files\IntCodec\iesplugin.dll
O4 - HKLM..Run: [SpyQuake2.com] C:\Program Files\SpyQuake2.com\Spy-Quake2.exe /h
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run {++}
"homepage.monitor.exe" = "C:\Program Files\IntCodec\isamonitor.exe" [null data]
"pmsngr.exe" = "C:\Program Files\IntCodec\pmsngr.exe" [null data]

MEDIA-CODEC:

C:\Program Files\Media-Codec\isamonitor.exe
C:\Program Files\Media-Codec\pmsngr.exe
C:\Program Files\Media-Codec\pmmon.exe
C:\Program Files\Media-Codec\isamini.exe

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\Media-Codec\isaddon.dll
O2 - BHO: (no name) - {70CAA88C-1ACC-5937-70F1-079C79B97ECD} - C:\WINDOWS\system32\ystjivb.dll
O2 - BHO: (no name) - {7a932ed2-1737-4ab8-b84d-c71779958551} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Program Files\Media-Codec\iesplugin.dll
O4 - Startup: .protected
O21 - SSODL: hubbsi - {7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885} - C:\WINDOWS\system32\vwlummc.dll (file missing)


HKLM\SOFTWARE\Microsoft\Windows\Current\Version\Policies\Explorer\Run {++}
"homepage.monitor.exe" = "C:\Program Files\Media-Codec\isamonitor.exe" [null data]
"pmsngr.exe" = "C:\Program Files\Media-Codec\pmsngr.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
INFECTION WARNING! "{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}" = "Windows Update"
-> {HKCU...CLSID} = (no title provided)
InProcServer32(Default) = "C:\WINDOWS\system32\ioctrl.dll" [file not found]


PCODEC:


C:\Program Files\PCODEC\isamonitor.exe
C:\Program Files\PCODEC\pmsngr.exe
C:\Program Files\PCODEC\isamini.exe
C:\Program Files\PCODEC\pmmon.exe

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\PCODECi\saddon.dll
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Program Files\PCODEC\iesplugin.dll
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\windows\system32\viruxz.dll (file missing)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run {++}
"homepage.monitor.exe" = "C:\Program Files\PCODEC\isamonitor.exe" [null data]
"pmsngr.exe" = "C:\Program Files\PCODEC\pmsngr.exe" [null data]


{numerki} O2 i O3 mogą ulegać zmianie. W identyfikatorze O21 mogą pojawiać się inne pliki niż powyżej pokazane. Masa wariacji. Oto lista dll:



Dodatkwoym objawem są przekierunkowywania na strony typu:
*.securitynetpage.net
*.safetyhomepage.net

Usuwanie

Bardzo przydatna będzie maszynka-> http://www.instalki.pl/programy/downloa ... udFix.html

1.. Ściągamy z powyższego linka plik SmitfraudFix.zip i go wypakowujemy.
2.Uruchamiamy poprzez dwuklik plik SmitfraudFix.cmd:
Image
3.Aby stworzyć raport należy wybrać cyfre 1i zatwierdzć ENTEREM. Zrobiony raport podajemy na forum do analizy.
Zostanie utworzony plik C:
apport.txt który automatycznie otworzy się w Notatniku.
4.Aby rozpocząć usuwanie i mieć 100% pewność efektywności działania startujemy do awaryjnego(start>>uruchom>>msconfig>>boot.ini>zanzaczasz safeboot>>restart)
Ponownie uruchamiamy SmitfraudFix.cmd ale tym razem wybieramy liczbę 2 i ENTER:
Image
Czszczenie zostanie uruchomione, co można zauważyć poprzez ubicie procesu explorer.exe i znikniećie pasku zadań. Następnie padnie pytanie you want to clean the registryodpowiadamy, że tak czyli wpisujemy literke Y. Następuje czyszczenie rejestru z restrykcji i resztek śmiecia.
Po tej akcji narzędzie sprawdzi poprawność pliku winnet.dll i ewentualnie w razie problemu zapyta o zastąpienie go czystą wersja("Replace infected file?") Oczywiście wybieramy Y.

Finalnym krokiem jest restart kompa, no i pokazanie efektów na forum. Oby były owocne.
Ostatnio edytowany przez pp3088 02 Paź 2007, 15:17, edytowano w sumie 3 razy
Awatar użytkownika
pp3088
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 999
Dołączenie: 11 Sie 2006, 23:59
Miejscowość: Szczecin

Procedura usuwania wirusa ThinkPoint.

Postprzez kominekl » 28 Lip 2011, 13:35

PostUA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 ( )


ThinkPoint

ThinkPoint jest fałszywym programem antywirusowym, który jest rozpowszechniany za pomocą Microsoft Security Essentials Trojan Alert. Ważne, by wiedzieć, że program nie jest w stanie wykryć i pozbyć się pasożytów, ani nie jest w stanie chronić twój system przed przyszłymi zagrożeniami. Należy usunąć ThinkPoint z komputera jak najszybciej. Po uruchomieniu złośliwego oprogramowania wirus konfiguruje się, w celu automatycznego uruchomienia za każdym razem, gdy komputer wystartuje. Zaraz po starcie, ThinkPoint rozpocznie skanowanie komputera...

Image

...i ku naszym oczom ukaże się lista wielu zakażeń, które starają się nakłonić użytkownika do myślenia, iż komputera jest w niebezpieczeństwie. Będzie to raport, który spróbuje nam wmówić, że oczyścił większość zainfekowanych plików, ale nie był w stanie wyleczyć kilku ważnych plików systemowych, takich jak firefox.exe, taskmgr.exe, iexplore.exe...

Image

...i wyświetli nam ofertę zakupu pełnej wersji wirusa, nazywającego sam siebie antywirusem. Jednakże, wynik skanowania jest oszustwem, ponieważ program nie wykrywa infekcji.

Image

Po naciśnięciu -> Ignoruj program przejdzie do pulpitu, ale może spowodować usunięcie ikon pulpitu, brak możliwości uruchomienia przeglądarek i menadżera zadań. Gdy użytkownik spróbuje uruchomić, któryś z elementów jego oczom ukaże się komunikat:

"Taskmgr.exe Aplikacja została uruchomiona z powodzeniem, ale została zamknięta ze względów bezpieczeństwa. Stało się tak, dlatego, że aplikacja został zainfekowana przez złośliwy program, który może stanowić zagrożenie dla systemu operacyjnego. Zaleca się zainstalowanie niezbędnego modułu heurystycznego i wykonania pełnego skanowania komputera w celu eksterminacji szkodliwych programów."


Jak widać, ThinkPoint jest całkowitym oszustwem, które zostało stworzone w jednym celu - aby przestraszyć użytkownika i skłonić go do zakupu tzw. "pełnej" wersji programu. Najważniejsze to nie nabrać się. Proszę używać instrukcji usuwania, zamieszczonej poniżej w celu usunięcia ThinkPoint oraz związanego z nim złośliwego oprogramowania z komputera.

1. Zakończ proces ThinkPoint po ujrzeniu menu wirusa.

Po załadowaniu systemu Windows pojawi się okno ThinkPoint. Naciśnij wtedy klawisze CTRL + ALT + DELETE -> spowoduje to otworzenie się menedżera zadań systemu Windows -> wybierz proces -> Hotfix.exe i kliknij przycisk -> Zakończ proces. Zakończy to działanie ThinkPoint. Teraz kliknij menu Plik -> Nowe zadanie. Wpisz -> explorer.exe i naciśnij klawisz -> ENTER. Spowoduje to powrót przycisku Start i paska zadań.

2. Usuń ThinkPoint z systemu za pomocą programu Malwarebytes Anti-Malware.

Pobierz Malwarabytes Anti-Malware. Następnie zamknij wszystkie programy i uruchom plik Mbam-setup.exe. Nie wolno dokonywać żadnych zmian w ustawieniach domyślnych i kiedy program zakończy instalację, upewnij się, że zaznaczone jest umieszczone obok okienko -> Aktualizuj Malwarebytes 'Anti-Malware i -> Uruchom Malwarebytes Anti-Malware, a następnie kliknij przycisk -> Zakończ. Jeśli zostanie odnaleziona aktualizacja, to należy pobrać i zainstalować najnowszą wersję.

Po załadowaniu programu pojawi się jego okno.

Image

Wybierz -> Wykonaj pełne skanowanie, a następnie kliknij przycisk -> Skanuj, program rozpocznie skanowanie komputera pod kątem zainfekowania ThinkPoint i przy okazji innymi wirusami. Ta procedura może zająć trochę czasu, więc proszę o cierpliwość. Po zakończeniu skanowania, kliknij przycisk -> OK, a następnie -> Pokaż wyniki, aby je zobaczyć. Pojawi się lista zainfekowanych plików. Upewnij się, że wszystkie wpisy są zaznaczone po lewej stronie i kliknij -> Usuń zaznaczone, aby usunąć wirusy. Malwarebytes Anti-Malware usunie wszystkie powiązane z nimi pliki i klucze rejestru, a następnie doda je do kwarantanny programów. Kiedy Malwarebytes Anti-Malware zakończy usuwanie infekcji, log zostanie otwarty w Notatniku, może pojawić się monit mówiący o konieczności ponownego uruchomienia. Log ten wklejamy na Wklej.eu, następnie tworzymy nowy temat w dziale -> Bezpieczeństwo, w którym podajemy link do naszego raportu, oraz podajemy logi z OTL i GMER, których to logi wklejamy na Wklej.eu, a na forum podajemy tylko link do naszego skryptu.

ThinkPoint tworzy następujące pliki i foldery.

% AppData% \ Hotfix.exe
% AppData% \ {RANDOM}. Bat


ThinkPoint tworzy następujące klucze i wartości rejestru.

HKEY_CURRENT_USER \ Software \ PAV
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings | "WarnonBadCertRecving" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings | "WarnOnPostRedirect" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon | "Shell" = "% AppData% \ Hotfix.exe"
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Awatar użytkownika
kominekl
Przyjaciel forum
Przyjaciel forum
 
Posty: 4530
Dołączenie: 03 Sty 2010, 16:07
Miejscowość: Pasztowa Wola Kolonia
Pochwały: 174

Usuwanie Conficker

Postprzez kominekl » 10 Kwi 2012, 14:04

PostUA: Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101 Firefox/11.0


Conficker

1. Wprowadzenie.

Conficker jest robakiem wykorzystującym lukę w protokole RPC. Wykorzystuję on głównie błąd programistyczny odnoszący się do przepełnienia bufora. Infekcja rozprzestrzenia się nie tylko poprzez sieć, ale również poprzez pamięć przenośną. Jego "ulubionym" miejscem propagowania jest port 445. Mimo, że minęło już bodajże 4 lata od pojawienia się robaka w sieci to w Internecie widnieją głównie instrukcje o dość dużym rozmiarze. Mnóstwo tam poleceń często pisanych niezrozumiałym językiem. Skłoniło mnie to do pokazania światu bardzo łatwej metody usunięcia tego wirusa.

2. Nazwy i etymologia.

Robak przyjmuje wiele nazw:

Win32/Conficker.A
W32.Downadup
W32/Downadup.A
Conficker.A
Net-Worm.Win32.Kido.bt
W32/Conficker.worm
Worm/Conficker


. Ciekawą sprawą jest etymologia nazwy tego wirusa. Pierwszy człon wyrazu -> "conf" odnosi sie do angielskiego wyrazu -> "configuration". Natomiast drugi człon -> "ficker" odpowiada prawdopodobnie niemieckiemu wyrazowi "ficken".

3. Objawy i szkody.

Najpoważniejszymi objawami jest:
-> wyłączenie usługi aktualizacji automatycznych Windows,
-> wyłączenie centrum zabezpieczeń systemu Windows,
-> wyłączenie Windows Defender`a,
-> wyłączenie usługi raportowania błędów Windows,
-> oprogramowanie antywirusowe nie jest w stanie samodzielnie się zaktualizować,
-> nie można uzyskać dostępu do różnych witryn, takich jak programy antywirusowe,
-> pojawia się błąd powiązany z -> svchost.exe .

Image

4. Usuwanie.

Jak wspomniałem podam tu rozwiązanie skrócone i banalne w obsłudze. Podam je w poniższych punktach.

1. Pobierz i zainstaluj poprawkę MS08-67, w zależności od wersji systemu Windows.
2. Pobierz narzędzie do usuwania firmy BitDefender.
3. Odłącz kabel sieciowy.
4. Uruchom pobrany plik -> conf.exe. Okno programu wygląda tak, jak na obrazku poniżej.

Image

5. Wybierz przycisk -> START.

Image

6. Po zakończeniu skanowania uruchom ponownie komputer.
7. Podłącz kabel sieciowy.
8. Z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Deletion i podaj utworzony log w nowo założonym przez siebie temacie w dziale Bezpieczeństwo.
9. W nowo założonym przez siebie temacie podaj również logi z OTL i TDSSKiller.

5. Podsumowanie.

A więc tak przedstawia się sprawa z Conficker`em. Mam nadzieję, że wielu osobom to pomoże. Pamiętajcie, że zastosowanie tego automatycznego usuwania nie zwalnia Was z punktu 8 i 9 instrukcji.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Awatar użytkownika
kominekl
Przyjaciel forum
Przyjaciel forum
 
Posty: 4530
Dołączenie: 03 Sty 2010, 16:07
Miejscowość: Pasztowa Wola Kolonia
Pochwały: 174


Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników

cron