spyware, how the hell?

Hent Spybot og Hijackthis her : www.arlet.dk/hjtanv.htm

Sådan her ser loggen ud.

Har prøvet at checke de problemer af der er (Mysite.com), men de kommer igen efter logoff/reboot stadigt. Samme med jijwsje.exe

--------------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 17:41:08, on 09-02-2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Administrator\Skrivebord\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mysite.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysite.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Acrobat Reader 5.1\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [jijwsje] "C:\WINNT\System32\jijwsje.exe"
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d2c89f68a1bb5a/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

5 minutter, så er der svar

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Du skal åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mysite.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysite.com

O4 - HKLM\..\Run: [jijwsje] "C:\WINNT\System32\jijwsje.exe"

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.

Så er du længe om det, det er dan den mest overskuelige log i nyere tid.

Du skal hente og installere Servicepack 4 til din Win2000, det kan du gøre her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Desuden skal du lige følge den her vejledning:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Se så om du kan finde:
C:\WINNT\System32\jijwsje.exe og slette filen.

ikke meget det hjælper :/

-------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 17:50:19, on 09-02-2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Administrator\Skrivebord\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mysite.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysite.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Acrobat Reader 5.1\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [jijwsje] "C:\WINNT\System32\jijwsje.exe"
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d2c89f68a1bb5a/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

huh? Skulle du ikke fixe de her?:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mysite.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysite.com
O4 - HKLM\..\Run: [jijwsje] "C:\WINNT\System32\jijwsje.exe"
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Og så genstarte i fejlsikret tilstand, og:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Se så om du kan finde:
C:\WINNT\System32\jijwsje.exe og slette filen.

Du skal også opgradere til S

dammit forkert klik..

Du skal også opgradere til Servicepack 4 via:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Hvis du ikke opgradere, kan virussen komme igen ad samme vej..

hehe, har ikek lige opdateret til SP4, sidste gang jeg gjorde det på samme maskine fuckede det op .. :/

er der ikke en anden måde at "lukke" for hullet på? ..

og de entries du siger jeg skulle fixe.. det har jeg gjort, men den kommer igen! .. selv uden filen (som jeg fik slettet i fejlsikret tilstand) .. samme problem, det ændrer sig bare igen.

det er KUN start/søgesiden den ændrer nu.

Kæft det er belastende!

Jeg ved ikk hvad det er for en orm/virus du er inficeret med.. hvis det havde været blaster, kunne man med de samme fortælle dig hvad du skulle gøre..

Måske kan arlet eller fromsej (eller en af de andre analytikere) sige noget klogt om situationen :)

Fixes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mysite.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysite.com
O4 - HKLM\..\Run: [jijwsje] "C:\WINNT\System32\jijwsje.exe"

Genstart og en ny log, så ser vi om det ændrede noget.

Så prøv at opdatere med SP 3 først fra samme link.

Der sker intet.

jeg HAR fået fjernet jijwsje.exe filen - men den ændrer stadig de 2 øverste ting, UANSET hvad fanden jeg prøver på :|

mysite my ass :(

Ny log :)

Logfile of HijackThis v1.97.7
Scan saved at 18:42:59, on 09-02-2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Administrator\Skrivebord\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mysite.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysite.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Acrobat Reader 5.1\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d2c89f68a1bb5a/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38026.3912152778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{015C912B-8459-42F4-A425-7704515409F2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{015C912B-8459-42F4-A425-7704515409F2}: NameServer = 192.168.0.1

----

hep hey.. - kæft jeg hader sådan noget lort.

Start op i fejlsikret, kør Hijackthis og fix de to linier:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mysite.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysite.com

Ændrer intet ved at fixe de 2 øverste i fejlsikret :|

Det kan ikke passe den lille s.tan er så sejlivet, men du har ret, der er ikke meget at hente på nettet.
Vi kan se om vi kan lukke den ude, hent og installer Spywareguard og Spywareblaster, dem finder du her sammen med danske brugervejledninger:
http://spywarefri.dk/vaerktoj.htm
Nederst på den side hvor du henter Spywareblaster er der link til to programmer, hent og installer dem også.
Når både Guard og Blaster er installeret, skal du opdatere dem online, derefter prøv at skifte startsiden, til hvad i nu vil have, og genstart, så burde der komme en alarm op, hvor i så skal nægte Mysite at blive startside, det er lidt en p.sse i bukserne løsning, men jeg trommer lige teamet sammen, så må vi finde en mere regulær løsning på det problem.
Du hører fra os igen.
Mvh:
Fromsej/Team Spywarefri.

Hent og installer IE-Spyad også:
http://www.staff.uiuc.edu/~ehowes/res/ie-spyad.exe
Der er en vejledning her:
http://www.spywarefri.dk/iespyad.manual.htm

jeg takker mange gange, prøver og fedte lidt med det ..

lader vide hvordan det går :)

Jeg vil ikke forvirre begeberne, men kan det her bruges;) http://www.windowsxpatoz.com/cgi-bin/network/index.cgi?answer=1036285196&id=1036284622

Magictouch>>Om det lige kan bruges her, ved jeg ikke, men det ser yderst interessant ud, tak.*S*

*S* Forebygge?

hmm.. Hvorfor er der en skræmmende lighed, mellem windowxpatoz.com og spywarefri.dk? :)

jeg manglede et "s" i windowsxpatoz.com.. her er linksne, så man kan nøjes med at klikke på dem:

http://www.windowsxpatoz.com/
http://www.spywarefri.dk/

Thesurfer>>Godt spørgsmål, mon ikke de er lavet over samme skabelon, jeg ved det faktisk ikke.

Men det ved jeg, det er de. Men vi får heldigvis snart vores helt egen nye skabelon *S*

Da vi startede for et år siden (fødselsdag 1. marts)gjalt det bare om at komme igang og finde en rimelig pæn skabelon. Her et år efter er siden blevet en stor sucses må man vel nok sige, og vi har fundet et fyr til at lave os et pænt design i asp, så det glæder vi os til. Så bliver det mere prof :o)

OK :)
Hvis I skal bruge noget ASP (evt med en Access database), sig lige til :)

Mange tak for det thesurfer, det vil vi meget gerne skrive os bag øret. *S*

Tak thesurfer. Den har jeg noteret mig hvis det andet glipper :o)