Zakusuje se mi NetScroll+ Superior a Microsoft antispyware

mijaja · Příspěvek od **mijaja** » 26 bře 2006 16:08

Tak jo tohle jsem už spatřil - tady to prezentují jako falešný poplach, tady zase jak je nebezpečný Tak tohle je zajímavé. V každém případě je NetSpy spyware jak vyšité a jestli ho ta myš potřebuje tak bych s ní praštil do někam. Nebo je to shoda jmen? Podle toho popisku z Greatis.com musí mít ten NetSpy více souborů, rozesetých po disku:
%System%\netspy.exe
%System%\nsys.exe
%System%\nconfig.exe
%System%\nsutil.exe
%System%\Faq.fil
%System%\MSVBVM60.DLL
%System%\kbhook.dll
%System%\CaptureScreen.ocx
%System%\Richtx32.ocx
Adds the value:
"nsys" = "nsys.exe"

zatímco myš by je při pouhé shodě jmen mít neměla - zkontroluj disk a uvidíme.

Jan Pašek · Příspěvek od **Jan Pašek** » 26 bře 2006 16:28

Zde log z Mwaw budau pokračovat kontrolou disku z předchozího dle instrukcí

Sun Mar 26 16:24:20 2006 => **********************************************************
Sun Mar 26 16:24:20 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Sun Mar 26 16:24:20 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Sun Mar 26 16:24:20 2006 => **********************************************************
Sun Mar 26 16:24:20 2006 => Source: C:\instalačky\mwav.exe
Sun Mar 26 16:24:20 2006 => Version 8.2.1 (C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\mexe.com)
Sun Mar 26 16:24:20 2006 => Log File: C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\MWAV.LOG
Sun Mar 26 16:24:20 2006 => Last Scan Date and Time: 26.03.2006 16:03:20
Sun Mar 26 16:24:20 2006 => MWAV Registered: FALSE.
Sun Mar 26 16:24:20 2006 => OS Type: Windows Workstation
Sun Mar 26 16:24:20 2006 => Local Fixed Drives: c:\,d:\
Sun Mar 26 16:24:20 2006 => MWAV Mode: Only Scan files.
Sun Mar 26 16:24:20 2006 => Latest Date of files inside MWAV: 24 Mar 2006 13:24:40.
Sun Mar 26 16:24:23 2006 => AV Library Loaded...
Sun Mar 26 16:24:23 2006 => MWAV doing self scanning...
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\kavss.exe
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\Getvlist.exe
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\kavss.dll
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\kavssdi.dll
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\kavssi.dll
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\kavvlg.dll
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\msvlclnt.dll
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\ipc.dll
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\main.avi
Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\virus.avi
Sun Mar 26 16:24:23 2006 => MWAV files are clean.
Sun Mar 26 16:24:23 2006 => Virus Database Date: 3/24/2006
Sun Mar 26 16:24:23 2006 => Virus Database Count: 183808

mijaja · Příspěvek od **mijaja** » 26 bře 2006 16:36

Honzo, nedávej sem celý log, jen ty řádky s označením šmejdů a s cestou k napadeným souborům. Log z MWAVu bývá šíleně dlouhý, tak abychom to tady moc nezasvinili.

Jan Pašek · Příspěvek od **Jan Pašek** » 26 bře 2006 16:51

rozkaz příště už nebudu tolik otravovat.
Z mvaw tedy takto

Object "family keylogger Commercial KeyLogger" found in File System! Action Taken: No Action Taken

Jo a ještě to psalo něco o AD-ware/spyware

dále pomocí funkce vyhledávat dal sem rozšířené vyhledávání nenašel nic ze souborů které si mi napsal spustil jsem tedy znovu spyware od microsoftu a opět stejná odezva c:\windows\system32\kbhook.dll

mijaja · Příspěvek od **mijaja** » 26 bře 2006 17:10

Přefiltruj ten log a dej sem ty řádky - takhle by to mělo vypadat, například:

File C:\WINDOWS\system32\ld7FB9.tmp infected by "Trojan-Downloader.Win32.Zlob.ia" Virus! Action Taken: No Action Taken. nebo :
Sat Mar 25 10:52:20 2006 => Offending file found: C:\WINDOWS\system32\ginuerep.dll
Sat Mar 25 10:52:20 2006 => System found infected with spyfalcon Trojan (ginuerep.dll)! Action taken: No Action Taken.

Dej třeba v nabídce notepadu s logem - Hledat a vypiš do hledáčku toto:
spyware, virus, adware, riskware, malware a potom jen zkopíruj to, co najde.

Mwav najde všechno, i ty označené, pokud jsou na disku a ty je přesto nenalezneš, protože jsou třeba skryté - mimochodem, máš zaplé zobrazování skrytých a systémových souborů? Pokud jsou ty soubory na disku, tak mohou tu myš využívat, aniž by ta chudina za něco mohla.

Jan Pašek · Příspěvek od **Jan Pašek** » 26 bře 2006 17:39

Tu je to přefiltrováno
Sun Mar 26 17:09:10 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Sun Mar 26 17:09:10 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Sun Mar 26 17:09:10 2006 =>
Sun Mar 26 17:09:10 2006 => Support: support@mwti.net
Sun Mar 26 17:09:10 2006 => Web: http://www.mwti.net
Sun Mar 26 17:09:10 2006 =>

Sun Mar 26 17:09:44 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Sun Mar 26 17:09:44 2006 => Loading Spyware Signatures from new External Database (Size: 154365).
Sun Mar 26 17:09:45 2006 => Indexed Spyware Databases Successfully Created...

Sun Mar 26 17:10:21 2006 => Offending file found: C:\Documents and Settings\Jarmila P\Data aplikací\xcpcsync.oem\siemens.smartsync.5.2\data\app.dat
Sun Mar 26 17:10:21 2006 => System found infected with clientman Spyware/Adware (app.dat)! Action taken: No Action Taken.

Sun Mar 26 17:10:23 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe
Sun Mar 26 17:10:23 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken.

Sun Mar 26 17:11:34 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\Spyware.sdb [**]
Sun Mar 26 17:11:34 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\sysr.txt [**]

C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\Spyware.sdb [**]
Sun Mar 26 17:11:34 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\sysr.txt [**]

Sun Mar 26 17:11:34 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\Spyware.sdb [**]
Sun Mar 26 17:11:34 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\sysr.txt [**]

Settings\Administrator.N-DYNFF63MKKUB1\Local Settings\Temp\Spyware.sdb [**]
Sun Mar 26 17:11:52 2006 => Scanning File C:\Documents and Settings\Administrator.N-DYNFF63MKKUB1\Local Settings\Temp\success.sem [**]

Sun Mar 26 16:24:23 2006 => Scanning File C:\DOCUME~1\JARMIL~1\LOCALS~1\Temp\virus.avi
Sun Mar 26 16:24:23 2006 => MWAV files are clean.

mijaja · Příspěvek od **mijaja** » 26 bře 2006 17:48

Honzo stáhni si CCleaner a spusť jej na wokna, aplikace i registry a dej vše léčit (během toho zavři všechny browsery. Tím dostaneme ty šmejdy z Tempu a Temporary Internet Files, Cache Javy, a koše. Zůstane tam akorát toto:
C:\Documents and Settings\Jarmila P\Data aplikací\xcpcsync.oem\siemens.smartsync.5.2\data\app.dat

Tohle zkontroluj na Jotti.
Ty procesy od NetSpy tam nejsou, takže by to mohl být jen planý poplach od MicrosoftAntispyware. Zkus to přehlídnout a když bude MSAnti vřískat, zkus jej dát do ignorance.
Nebo ještě takhle, když shodíš z disku tu myš a nainstaluješ ji znovu, ale s vytaženým káblem od internetu, aby si nemohle stahovat soubory jaké chce, tak funguje?

Jan Pašek · Příspěvek od **Jan Pašek** » 26 bře 2006 18:01

Poněkolikanásobném spuštění CCleaneru tohle zůstává viset
IE Temporary Internet Files (2 files) 134 bytes
C:\Documents and Settings\Jarmila P\Local Settings\History\History.IE5\desktop.ini 113 bytes

mijaja · Příspěvek od **mijaja** » 26 bře 2006 18:06

výborně
Desktop.ini je systémový soubor - i když nepotřebný. Jak dopadl ten soubor app.dat na Jottiscanu?

Jan Pašek · Příspěvek od **Jan Pašek** » 26 bře 2006 18:16

nenašel sem cestu tak jak si mi jí napsal dal sem hledat a na joti sem projel C:\Program Files\Common Files\XCPCSync.OEM\Siemens.SmartSync.5.2\Data\App.dat
a je ok jedná se osoubor pro manažer mobilních telefonů od siemensu.

mijaja · Příspěvek od **mijaja** » 26 bře 2006 18:21

Takže komp bys měl mít čistý. Zajímavé, že mwav nenašel ten kbhook.dll a neoznačil jej, nebo byl v té době vymazaný? Jestli ne a byl při skenu na disku, tak je v pořádku a nastav v MS Antispyware jeho ignoraci, ale zakaž pokusy o stahování.

Teď tu nějaký pátek nebudu - jdu zalehnout do vany.

Jan Pašek · Příspěvek od **Jan Pašek** » 26 bře 2006 18:40

Tak s vypnutým modemem je to tam taky kde nastavím ignoraci ono je to zas anglické?
čistý PC? a co tohle?
Sun Mar 26 17:10:23 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe
Sun Mar 26 17:10:23 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken.

PC-HELP.CZ

CNEWS

Zakusuje se mi NetScroll+ Superior a Microsoft antispyware