Julma ja pahamainen WWWcoolSearch (tosi cool) tuli ja raiskasi koneeni, tai niin ainakin uskoisin. Kiitos jo etukäteen, jos joku viitsisi tsekkaa seuraavan läpi: Logfile of HijackThis v1.99.1 Scan saved at 18:25:33, on 23.3.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Billionton\Bluetooth-ohjelmisto\bin\btwdins.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\MSTMON_N.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Billionton\Bluetooth-ohjelmisto\BTTray.exe C:\Program Files\Gigabyte\Gigabyte GN-WMAG 802.11g WLan (ATS)\G-EzLink.exe C:\Program Files\Trend Micro\Tmas\Tmas.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Program Files\Mozilla Thunderbird\thunderbird.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\MINÄ\Työpöytä\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit F2 - REG:system.ini: UserInit=userinit.exe O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fi\msntb.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\system32\MSTMON_N.EXE O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: GN-WMAG Utility.lnk = C:\Program Files\Gigabyte\Gigabyte GN-WMAG 802.11g WLan (ATS)\G-EzLink.exe O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Lähetä &Bluetooth-laitteeseen - C:\Program Files\Billionton\Bluetooth-ohjelmisto\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Billionton\Bluetooth-ohjelmisto\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Billionton\Bluetooth-ohjelmisto\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1101929065046 O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\system32\jtj8071ue.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Billionton\Bluetooth-ohjelmisto\bin\btwdins.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus -ohjelman automaattinen suojaus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: MD Simple Burner Service (NetMDSB) - Unknown owner - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
[bold]O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"[/bold] Tämä näyttää oudolta. (sano jos oon vääräs)
Lataa tuosta http://www.atribune.org/ccount/click.php?id=7 työpöydällesi. TÄRKEÄÄ: Ennen fixin jatkamista, sinun täytyy tehdä seuraavat: * Tulosta tämä, tai tallenna tekstitiedostona sopivaan sijaintiin. * Klikkaa käynnistä -> Suorita ja kirjoita: services.msc * Klikkaa OK. * Tarkista että tämä palvelu on käynnissä tai sen käynnistymistapa on automaattinen: * Toissijainen kirjautuminen * Seuraavaksi tietokoneesi on oltava offlinessa, vedä nettipiuha seinästä jos tarpeen. * Virustorjuntasi, ja kaikkien muiden turvaohjelmistojen TÄYTYY olla suljettuja. Jatka fixiä: * Sulje ikkunat jatkaaksesi. * Tupla-klikkaa Look2Me-Destroyer.exe filua ajaaksesi sen. * Rastita Run this program as a task. * Saat viestin joka sanoo "Look2Me-Destroyer will close and re-open in approximately 1 minute". Klikkaa OK * Kun se avautuu uudestaan, klikkaa Scan for L2M valintaa, pikakuvakkeesi katoavat; tämä on normaalia. * Kun skannaus on valmis, klikkaa Remove L2M. * Saat Done Scanning viestin, klikkaa OK. * Kun valmis, saat tämän viestin: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, klikkaa OK. * Koneesi sammuu. * Käynnistä se uudelleen. * Postita C:\Look2Me-Destroyer.txt lokin sisältö seuraavaan viestiisi ja uusi hijack this-logi. Jos Look2Me-Destroyer ei aukea automaattisesi, käynnistä tietokoneesi uudestaan ja koita uudelleen.
oletko varma, että kyse on cws:stä? Osaatko arvata mistä variantista on kyse? Kokeile ohjelmaa "CWShredder.zip" Se poistaa lähes kaikki variantit. Sain aikoinani sen pahimman, jota EI näy hjt-logissa, ja joka pitää poistaa käsin. Tässä ohje, LÄHDE: "CWS - Merijn.org.htm" Variant 39: CWS.Realyellowpage - Inducing homocidal tendencies Approx date first sighted: March 16, 2004 Log reference: (not visible in HijackThis log) Symptoms: IE pages changed to real-yellow-page.com, drxcount.biz, list2004.com or linklist.cc, hijack inexplicably returning on reboot with no file seemingly responsible Cleverness: Where's my infinity character button? Manual removal difficulty: Battle axe or chainsaw recommended Identifying lines in HijackThis log: (not visible in HijackThis) This variant is a nightmare. If you come across an infected machine that keeps changing back to the aforementioned sites over and over again for no visible reason, you've probably seen this one. It's like whoever is reponsible for this hired some blackhat coder and told him to make the most complex, invisible and devious hijacker he could think of. And he did. The file is randomly named, and normally hooks into the IE process, loading itself as a module into it. And then it hides the host process from the process list. Yes, you read that right, the process hosting the dll disappears from the task list and most process viewers/managers we tried. At first it was only visible with FAR Explorer, later we found PrcView also shows it, and has some nice command-line options which makes for nice scripting to aid in manual removal. For Windows 95/98/ME, booting the system into Safe Mode will prevent the file from loading, allowing for even easier manual removal: * MANUAL REMOVAL INSTRUCTIONS * Download PrcView here: http://www.spywareinfo.com/~merijn/files/pv.zip, unzip it to the desktop. Be sure to have at least 1 Internet Explorer window open, then double click on the runme.bat. Select option '2' from the menu. Notepad will open with a log in it. Look for a line with this file, size and beginning to it. The filename will always be different: winajbm.dll 61c00000 61440 c:\windows\system32\winajbm.dll This part indicates the bad file: 61c00000 61440 It will always start with that header. Write down the filename behind it. Now download KillBox: http://download.broadbandmedic.com/VbStuff/KillBox.zip Unzip and run it. Don't click any of the buttons though, instead please click on the Action menu and choose "Delete on Reboot". On the next screen, click on the File menu and choose "Add File". The file you copied earlier should now show up in the window. If that's successful, choose the Action menu and select "Process and Reboot". You'll be prompted to reboot, do so. After rebooting, make sure the file is gone. Tech info: Win9x/ME: Known to use the HKLM RunServicesOnce key to load, which is deleted by Windows after loading the file and recreated by the dll when Windows shuts down. Visible in Safe Mode, dll file is not loaded then and can be deleted. WinNT/2000/XP: Known to use the HKLM AppInit_DLLs value to load, possibly more Registry keys. The 'delete file on reboot' function can be used (KillBox does this), provided the filename is known. File is heavily encrypted using an unknown packer, has a modified PE header and crashes most (if not all) memory dumpers when attempted to dump the file from memory. Hides the dll as well as the host process (IEXPLORE.EXE, RUNDLL32.EXE, CONTROL.EXE, REGSVR32.EXE, whichever one is used) by an unknown method. Right now [17/04/04], CWShredder does not remove this variant. As soon as I figure out how to do it, I will update CWShredder for it.
CWShredderiä on tullut kokeiltua ja se ei löytänyt mitään. Mutta nyt on todellinen ongelma kyseessä!!! Tein aivan kuten tapiiri neuvoi mutta uudelleen käynnistyksessä kone jää jumittaan windowsin lataukseen, eikä mitään tapahdu, eli ei käynnisty. XP:n käynnistys/korjaus levystä ei ole mitään apua koska se pyytä järjestelmänvalvojan salasanaa ja kun syötän sen, niin se ei hyväksy sitä!! Yksi mikä saattaa aiheuttaa ongelmia on se että kovalevy on melko täynnä. Eli nyt kone on toimimattomassa tilassa!!! Onko kellään mitään ideoita? Tai tietoa mistä pk-seudulla löytyy paikka jossa saan sen toimimaan tai löytyykö täältä ketään joka korvausta vastaan saisi sen toimimaan? Format C: ei tule kyseeseen koska kone sisältää sen verran kaikkea korvaamatonta.
Koita mennä ilman salasanaa XP:n käynnistys/korjaus-levyn kautta. jos onnaa niin valitse viimeinen toimiva kokoonpano järjestelmän palautuksesta. Yksi konsti pelastaa levyn tiedot: Ota kovalevy irti ja laita se toiseen koneeseen "slave":na ja sitte kopioi tiedot.
Koikeiltu, ei toiminut. Tuon toisen vaihtoehdon jätän ammatilaisen tehtäväksi, tai ylipäätään sellaisen joka osaa, koska kyseessä on kannettava, niin en rohkene lähteä avaamaan ja purkamaan. Onko mitään tietoa mistä moiseen apua löytyisi?
Okei, yritän sitä seuraavaksi. ihan pikaiset ohjeet; kuinka sellainen tehdään? esim. löytyykö Windowsista joku ohjelma?
Muistaakseni CD-polttoohjelmissa ainakin Nerossa saa valita valikosta bootti cd:n teon. Windowsin päälleasennusko ei onnistu ? Se ei tuhoa muutakuin winukan tiedot asentaa vanhojen päälle. Onko kryptattu ?
Okei kokeilen seuraavaksi tuota Bootin tekemistä. Windowsin päälleasennus ei onnistu koska se veisi kaikki tiedostot mukanaan, koska kaikki on windowsin omissa tiedostoissa salasanan takana. En tiedä mitä kryptaus on, joten todennäköisesti eivä ole (ellei se sitten tarkoita juurikin tuota ylläolevaa)
kryptaus, eli salaus: http://fi.wikipedia.org/wiki/Kryptaus ..kannattaa ennen korjausasennusta ottaa se salaus pois niistä tiedostoista, ainahan ne voi uudelleen salata windowsin oma kryptaus ainakin on käyttäjätileihin sidottu.. tiedä sit muunteleeko re-installi käyttäjätilejä, ei ole kokemusta =)
Tuolta voi ladata bootti cd:n Teksti on saksaksi, mutta tiedoston (windows) saa kyllä muillakin kielillä (suomeksikin) (Finnisch) http://www.microsoft.com/downloads/...be-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Tuolla ohjeet bootti-cd:n tekoon: http://msdn.microsoft.com/library/d...elp/html/xetskcreatingyourbootablecdimage.asp
Omaa tietoturvaani päivittäessä, päivitin myös vanhaa kunnon SpyBottia. Sen kotisivuilta löytyi tämä kannanotto: Updates 24. March 2006 Hijacker + MaxSearch + CoolWWWSearch.Feat2Installer + CoolWWWSearch.Service + CoolWWWSearch.Feat2DLL Malware + SpyFalcon + Vcodec.eMedia + Winsoftware.WinAntiVirusPro2006 + MyNetProtector + SpywareStrike + AzeSearch + Smitfraud-C.Toolbar888 + Look2Me.Topconverting + Web-Nexus + Smitfraud-C. + Command Service + Vcodec Security + Windows.RedirectedHosts Spyware + KillSec + UCmore + Torpig Trojan + Jupilites + Win32.VB.un + Win32.VB.vg + Win32.Winspg.a + Zlob.Downloader + Spyware Disinfector + BPS Spyware Remover + BraveSentry + Nous-Tech.UDefender Total: 312126 fingerprints in 38463 rules for 1892 products. Olisin valmis sen tulkitsemaan siten, että CWS:tä löytyy uusi versio ja SB puree siihen. Oletko ajanut SB:tä? Löytyy täältä: http://www.spybot.info/en/index.html
CWS variantteja riittää ja samoin SpyBot päivittää niitä lähes jokainen kerta kun päivityksiä tulee. Ei siis voida taata että juuri kyseisestä variantista olisi tunnisteet tuossa.
tehokkain tapa on tutustua Merijn.org-sivustoon ja etsiä vastaus sieltä. Merijn kehitti aikoinaan CWSherrer-softan ja myi sen oikeudet joskus keväällä 2004. Merijn:n mielenkiinto CWS:ää kohtaan on pysynyt ennallaan ja hänen sivuillaa löytyy uutta tietoa. Kannattaisi varmaan tutustua niihin! Löytyy täältä http://www.spywareinfo.com/~merijn/ tai vaihtoehtoisesti http://216.180.233.162/~merijn/index.html
