[lameXpert]

[Edu]

Én is az F-Prot-ra gondoltam. DOS-ban le is futtattam, de azt a pár file-t amit talált letöröltem, egyébként is TEMP-es file-ok voltak. Semmit nem segített ugyanúgy megy minden a régi kerékvágásban, sajnos! 

Egyébként:

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ipkg.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\netbm.exe
C:\Program Files\VirusBuster\Bin\VBSNTW.exe
D:\Programok\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE

Szerkesztette: Edu 2004. 08. 09. 19:58 -kor

[lameXpert]

Egy HijackThis log többet érne.

[lameXpert]

Idézet

About:Buster 3.0
--------------------------------------------------------------------------------
Author: Marcin Kleczynski
Date: 2004-08-10
Size: 62 Kb
License: Freeware
Requires: Win All

Symptoms:
- IE Hijacked to res://.dll/index.html#37049 PopUps
- Specific Words on webpages link to search pages.

Important steps to getting this tool to work properly:

First unzip all files from the zip folder to a folder or your desktop. Start it and hit ok. Then hit update. A new screen should popup. On that screen hit Check for Updates. If it sais it found an update hit Download Updates. If it doesnt it will automatically tell you and exit. Now for the scanning part. Hit start and then Ok. The program should start scanning. Then hit exit and reboot.

Once rebooted run about:Buster once more to make sure everything is ok.
The database will be updated very frequently so check your versions once a day.

Note: 3.0 is a release after realizing CWS was using Alternate Data Streams. Even if you've run AboutBuster previously and it cleaned you up, run it again as there may be data streams left. 

[Edu]

Idézet: lameXpert - Dátum: 2004. aug. 9., hétfõ - 20:57

Egy HijackThis log többet érne.

Logfile of HijackThis v1.97.7
Scan saved at 20:28:22, on 2004.08.10.
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\netbm.exe
C:\Program Files\VirusBuster\Bin\VBSNTW.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ntzq.exe
D:\Programok\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\wmvxz.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\wmvxz.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\wmvxz.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
O2 - BHO: (no name) - {0CBAA30F-7114-C7D5-1986-02B4821F6A69} - C:\WINDOWS\system32\syspx32.dll
O4 - HKLM\..\Run: [ipkg.exe] C:\WINDOWS\system32\ipkg.exe
O4 - HKLM\..\Run: [ipmp.exe] C:\WINDOWS\system32\ipmp.exe
O4 - HKLM\..\Run: [ntzq.exe] C:\WINDOWS\system32\ntzq.exe

[Edu]

Lehet, hogy én vagyok láma, de semmit nem tudok kezdeni ezzel a progival, mert feltelepítés és Update után semmit sem csinál.

Idle and waitnig
Currently scanning nothing

Szerkesztette: Edu 2004. 08. 10. 19:43 -kor

[lameXpert]

Idézet: Edu - Dátum: 2004. aug. 10., kedd - 20:28

Logfile of HijackThis v1.97.7
Scan saved at 20:28:22, on 2004.08.10.
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\netbm.exe
C:\Program Files\VirusBuster\Bin\VBSNTW.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ntzq.exe
D:\Programok\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\wmvxz.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\wmvxz.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\wmvxz.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
O2 - BHO: (no name) - {0CBAA30F-7114-C7D5-1986-02B4821F6A69} - C:\WINDOWS\system32\syspx32.dll
O4 - HKLM\..\Run: [ipkg.exe] C:\WINDOWS\system32\ipkg.exe
O4 - HKLM\..\Run: [ipmp.exe] C:\WINDOWS\system32\ipmp.exe
O4 - HKLM\..\Run: [ntzq.exe] C:\WINDOWS\system32\ntzq.exe

Ez mind a vírus!

NTZQ.exe???

A program pedig net és IE nélkül futtatandó!

[Edu]

Ez a 9 lépésbõl álló megoldás elég meleg!

Én már az elsõnél elakadtam:

Click on start, the control panel, then administrative programs, then services. Look for a service called Network Security Service. Double click on the that service and click stop and then set the startup to disabled. Also write down the name and path of the file listed in the Path to executable field. This filename must be deleted below.

"Network Security Service" nincs nékem ilyen...

Szerkesztette: Edu 2004. 08. 10. 20:38 -kor

[lameXpert]

Idézet: Edu - Dátum: 2004. aug. 10., kedd - 21:34

Ez a 9 lépésbõl álló megoldás elég meleg!

Én már az elsõnél elakadtam:

Click on start, the control panel, then administrative programs, then services. Look for a service called Network Security Service. Double click on the that service and click stop and then set the startup to disabled. Also write down the name and path of the file listed in the Path to executable field. This filename must be deleted below.

"Network Security Service" nincs nékem ilyen...

Én még két igazán egyforma gépet nem láttam...  ergo, értelemszerûen ildomos adaptálni a megoldásokat.

Az Aboutbustert meg töltsd le újra.

[vkrisz]

Sziasztok!

Végigolvastam az összes hozzászólást, de egy dologról nem volt szó (vagy legalábbis nem láttam), ami eléggé meg tudja keseríteni az ember életét. Mélységesen egyetértek azokkal az emberekkel, akik azt mondják, hogy a windows reinstall nem megoldás. Egyrészt ha minden elsõre megoldhatatlannak tûnõ problémánál reinstall lenne, akkor mibõl tanulna az ember, másrészt ha ügyfelei vannak (az egyik legrosszabb felhasználó mindig az aki éppen a "te ügyfeled") nem teheti meg hogy havonta újrainstallálja a gépét. Nem is beszélve a munkahelyi géprõl 2-3 fejlesztõkörnyezettel megtámogatva  . Tehát muszáj megkeresni a probléma forrását.
Én is beszereztem az about:blank nevû férget (pár oldallal elõbb screenshot is volt róla), és sajna az istennek sem sikerült leírtani. Késõbb meglett a probléma egy un. hidden dll formájában. Ez olyan dll amely együtt indul a explorer.exe-vel nem látod a process explorerben, sõt ha rákeresel akkor a keresõ nem találja meg, ill. a system32 könyvtárban sem látod. Egyedül a file monitorban látod azt, hogy az explorer.exe néha megnyitja, kiolvas belõle valamit, majd bezárja. Természetesen csökkentett módban sem látszódott, tehát elég esélytelen volt leirtani. Hála istennek van egy dllfix nevû progi amivel le lehet irtani. Borzasztó gagyi a felülete, de nálam csak ez az egy segített. Ha nem találja valaki a neten, akkor dobjon egy mailt.
Amúgy ha nem baj kicsit összefoglalom a kéthetes szenvedés tapasztalatait:
Ha lehet kerüljük az IE-t. Sajnos én is azt használom (még most is) mivel van egy olyan szolgáltatása amit nagyon szeretek és más böngészõ nem tudja. A többi böngészõ egyik legnagyobb elõnye viszont, hogy nem ismerik a activex-et (viszont igy a windowsupdate ugrott), és van beépitett popup blokkoló. Persze tegyük hozzá, ha valaki kivárja az sp2-õt, akkor ezek a gondok megoldódnak, ugyanis végre az IE is tudja bolokkolni a popup ablakokat és alapból letiltja az oldal betöltésekor az axtivex vezérlõket és a javascriptet (és tök jól mûködik). Viszont hatalmas hátránya, hogy az szinte az összes  hijack-et az IE-re írják, és szerintem ez nem fog változni.
Használjuk a windowsupdate szolgáltatást. A hijack-ek legnagyobb része az IE biztonsági résein keresztül támad, ha mindig friss a rendszerünk sokkal kisebb az esélye a fertõzésnek. (Persze lásd az elõzõ bekezdést, ill. a minden kérdésre igent nyomó userrel sem tudsz mit csinálni)
Nem árt mondjuk hetente leellenõrizni a rendszered egy direkt erre a célra készült programmal. Nekem a SpySweeper jött be a legjobban , de ízlések és pofonok.... Tapasztalatom szerint a vírusírtók ezen a téren nagyon nem remekelnek.
Ha már megtörtént a baj akkor jöhet a szórakozás....
Futtasunk le SpySweepert vagy valami hasonlót, ill a CWShreddert. Ez elég sokszor egybõl megoldja a dolgot. Ha nem akkor nézzükmeg azt, hogy mi indul el automatikosan a windowsal együtt. Erre a legjobb az msconfig.exe, de kézzel is megnézhetjük a HKLM\Software\Microsoft\windows\currentversion\run és a HKCU\Software\Microsoft\windows\currentversion\run kulcsokat (ez utóbbit sokan elfelejtik, pedig itt is lehetnek furcsa dolgok). A feladatkezelõben ill. processexplorerben ki tudjuk listázni a futó processzeket. Ha valamelyiknek a neve gyanús akkor nyugottan keressük meg és a tulajdonságait megnézve kiderül, hogy ki a gyártója. Ha nincs ilyen információ az elég intõ jel lehet. Állítsuk le a processzt és nevezzük át a fájlt. Ha esetleg valami fontos volt akkor még mindig visszanevezhetjük. Nézzünk szét a windows és a system32 mappákban. Rendezzük be létrehozás dátuma szerint a fájlokat. Ha nem rég volt a fertõzés könnyen kiszûrhetõk azok az exe-k és dll-ek amik azon a napon keletkeztek. Ha ezeket letöröljük vagy átnevezzük akkor már az esetek 70%-ában célt érünk.
Ha ez sem segít jöhet a HiJackThis. Ezzel elég óvatosan kell bánni, mert könnyen szanálhatunk olyan dolgokat a registrybõl amire még szükségünk lenne. Itt is láthatjuk az automatikusan elinduló programokat, és egy olyan infót is amit máshol nem (ha jól olvastam errõl sem volt még szó). Ez pedig a BHO bejegyzések. Ezek az un. Browser Helper Object-ek amik a olyan dll-ek amik automtikusan elindulnak az IE indulásakor (a registriben tulajonképpen itt csak egy CLSID-t találsz, de erre a karaktersorra rákeresve megtalálod, hogy ez az ID melyik dll-hez tartozik). A Hijack-os dll-ek 99%-a ide regisztrálja be magát. Vigyázat pl. az acrobat reader vagy a flashget dll-je is itt van, tehát nem érdemes ész nélkül törölgetni. De ha nem tudod hogy a dll éppen mit csinál akkor nyugottan nézd meg tulajdonságát. Ha még ezután sem tûnt el a dolog jöhetnek a "komolyabb" programok.
Két nagyonjó program a filemonitor és a registry monitor. Ezzel simán tudod moniztorozni, hogy mit csinál a IE. Sajna az én esetemben a regmon nem sokat segített ugyanis azt mutatta, hogy a kezdõlapomat mindig a IE (azaz önmaga) szeretné megváltoztatni tehát a kígyó a saját farkába harapott  . Persze most már tudjuk, hogy a BHO-ban betöltött dll csinált zombit az IE-bõl. Persze itt jött a következõ probléma, hogy hiába töröltem le ezt a bizonyos dll-t, valaki mindig újragyártotta egy másik néven. Itt jön a képbe a file monitor. Elinditva és futtatva kb. 2 órát kiderült, hogy bizony ezt a dll-t az explorer.exe hozza létre, ezt pedig sajna mégse törölhettem  . Aki használt már filemonitort tudhatja, hogy 1-2 perc alatt is mennyi bejegyzést csinál, úgyhogy ezt már csak egészen elszánt embereknek ajánlom.  Egyébként innen már valamivel egyszerûbb az ember dolga, mert a dll-legyártása elõtti néhány száz sort kell kielemezni, és az esetemben ott volt az a bizonyos sql.dll írása és olvasása. Persze azt mondanom sem kell, hogy bármit csinálsz (kivéve a monitorozást) azt célszerû csökkentett módban csinálni.
Hát egyelõre ennyi, remélem sikerül segíteni néhány embernek hogy megszabaduljon ezaktõl a programoktól. És bocs ha túl szájbarágós lett a leírás.

K.

[Salgó Béla]

Idézet: vkrisz - Dátum: 2004. aug. 11., szerda - 11:04

Késõbb meglett a probléma egy un. hidden dll formájában. Ez olyan dll amely együtt indul a explorer.exe-vel nem látod a process explorerben, sõt ha rákeresel akkor a keresõ nem találja meg, ill. a system32 könyvtárban sem látod. Egyedül a file monitorban látod azt, hogy az explorer.exe néha megnyitja, kiolvas belõle valamit, majd bezárja. Természetesen csökkentett módban sem látszódott, tehát elég esélytelen volt leirtani.

Szerintem nagyon jó, többek sokat köszönhetnének neked.

ActiveX IE-ben is letíltható. De hát te mondtad, user ellen hatástalan.

Egy fájl megnézése pedig szintén userfüggõ, amit leírsz problémát, áthidalható egy tisztességes fájlkezelõvel. Pl. FAR manager.

[units]

Idézet: Edu - Dátum: 2004. aug. 10., kedd - 18:28

Logfile of HijackThis v1.97.7
Scan saved at 20:28:22, on 2004.08.10.
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Fixáld ezeket csökkentett módban!

Logfile of HijackThis v1.97.7
Scan saved at 20:28:22, on 2004.08.10.
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\netbm.exe
C:\WINDOWS\system32\ntzq.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\wmvxz.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\wmvxz.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\wmvxz.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wmvxz.dll/sp.html#37049
O2 - BHO: (no name) - {0CBAA30F-7114-C7D5-1986-02B4821F6A69} - C:\WINDOWS\system32\syspx32.dll
O4 - HKLM\..\Run: [ipkg.exe] C:\WINDOWS\system32\ipkg.exe
O4 - HKLM\..\Run: [ipmp.exe] C:\WINDOWS\system32\ipmp.exe
O4 - HKLM\..\Run: [ntzq.exe] C:\WINDOWS\system32\ntzq.exe

[nadie]

Sziasztok!

Mit lehet tenni akkor, ha ez a franya CWS egyik anti-spyware szoftvert sem hagyja futni, es blokkolja a HijackThis futasat is? Nem tudok meg logot sem menteni!

Segitsetek, micsinaljak?!

Koszi,
nadie

[Mayne]

Idézet: nadie - Dátum: 2004. aug. 16., hétfõ - 11:43

Sziasztok!

Mit lehet tenni akkor, ha ez a franya CWS egyik anti-spyware szoftvert sem hagyja futni, es blokkolja a HijackThis futasat is? Nem tudok meg logot sem menteni!

Segitsetek, micsinaljak?!

Koszi,
nadie

Idézet

Ad-Aware Cloak 1.0 is designed to allow Ad-Aware to open fully when there are items on the system which close Ad-Aware when it attempts to start, such as some CoolWebSearch variants. To use Ad-Aware Cloak, save it to your system, and run the program before opening Ad-Aware.  Once Ad-Aware Cloak opens, click "Activate Cloak" and then open Ad-Aware and scan as normal. When you are done using Ad-Aware, close Ad-Aware Cloak.

http://www.lavasoftn...eye/i17/a4.html

[lameXpert]

Idézet: nadie - Dátum: 2004. aug. 16., hétfõ - 13:43

Sziasztok!

Mit lehet tenni akkor, ha ez a franya CWS egyik anti-spyware szoftvert sem hagyja futni, es blokkolja a HijackThis futasat is? Nem tudok meg logot sem menteni!

Segitsetek, micsinaljak?!

Koszi,
nadie

Minimum Safe Mode-ban dolgozol, és ha FAT32 a fájlrendszered, akkor DOS lemezrõl indulva pucolhatsz.

[lameXpert]

READ ME FIRST: Basic Spyware, Trojan And Virus Removal

[Derlie]

Szaisztok!

Van egy kis problémám az internet explorerrel. Nem a kezdõlap változott meg, hanem különféle pop-up ablak jön 5 percenként. Már próbáltam ezt-azt, RegCleaner, Ad-Aware, win2k javítás ami javító cd nélkül lehetséges. Kaspersky antivirus írtó.
Ezen felül meg ha nem állítom le a rundll-t annyira belassul a gép, hogy félperceket kell várni egy ablak bezárására. Tettem fel operat, de az nem tetszik annyira mint a megszokott és bugos IE.
Légyszi segítsetek, vagy mondjátok, hogy már le volt írva itt és itt, de pont ilyesmivel nem találkoztam.
Elõre is köszi

[John Black]

Idézet: Derlie - Dátum: 2004. aug. 28., szombat - 15:00

Tettem fel operat, de az nem tetszik annyira mint a megszokott és bugos IE.

Próbáld ki az Avant Browsert. Van magyarul is.
Persze miután a trójait leszedted. Nézz körül, hogy milyen progik indulnak el rendszerinduláskor, valamint Hijackthis stb. stb. Regcleanbõl az MS-félét használod, vagy a jv16-félét?

[Derlie]

Idézet: John Black - Dátum: 2004. aug. 28., szombat - 15:54

Próbáld ki az Avant Browsert. Van magyarul is.
Persze miután a trójait leszedted. Nézz körül, hogy milyen progik indulnak el rendszerinduláskor, valamint Hijackthis stb. stb. Regcleanbõl az MS-félét használod, vagy a jv16-félét?

OKés, köszi most már azt használom egész jó.

[lameXpert]

What is SpyWare?
SpyWare are evil programs that hide on your computer and do a number of harmful and annoying things without your knowledge.

SpyWare programs are known to steal information from your computer such as credit card numbers, email addresses, addresses, surfing habits, and more.

What is AdWare?
AdWare is very similar to SpyWare but its only purpose is to advertise. AdWare will PopUp web browser ads very frequently, change banners on websites, change your Google and Yahoo search results with advertisments instead of your true results and place Windows icon advertisments on your Windows desktop, Windows Start Menu, and in your web browser Favorites and Bookmarks.

How did my computer get SpyWare/AdWare?
There are three main ways SpyWare get on your computer:
- Free programs you downloaded are bundled with SpyWare in the install. This is common in the P2P file-sharing arena. Kazaa, iMesh, Grokster, and so on practice this method.
- Many SpyWare parasites load using Internet Explorer's ActiveX installation option. This allows evil websites to automatically install SpyWare on your machine the moment you visit their website without your knowledge.
- By exploiting bugs in Internet Explorer and Windows some evil websites load dozens of SpyWare parasites on your machine without your knowledge.