[Ty]

Logfile of HijackThis v1.99.1
Scan saved at 23:43:59, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Admin\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\msfso.dll/sp.html#83556%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\msfso.dll/sp.html#83556%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\msfso.dll/sp.html#83556%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\msfso.dll/sp.html#83556%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\msfso.dll/sp.html#83556%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\msfso.dll/sp.html#83556%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\msfso.dll/sp.html#83556%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {3E663510-5440-2125-B61A-97E2118F6A43} - C:\WINDOWS\atlvx.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_98.dll
O2 - BHO: Class - {8C64AEC0-374E-EFF7-DA12-C97865DA9CF1} - C:\WINDOWS\ipay.dll
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKLM\..\Run: [1DF.tmp] C:\DOCUME~1\Admin\LOCALS~1\Temp\1DF.tmp.exe
O4 - HKLM\..\Run: [mfcfp.exe] C:\WINDOWS\mfcfp.exe
O4 - HKLM\..\Run: [1E0.tmp.exe] C:\DOCUME~1\Admin\LOCALS~1\Temp\1E0.tmp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [warez] "C:\Documents and Settings\Admin\Desktop\tanieli pildid\pilt\Warez P2P Client\warez.exe" -h
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&kspordi Microsoft Excelisse - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Uurimistöö - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119857117453
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apivl32.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe



mingi SPYSHERIFF viirus ja täpselt samat laadi viirus nagu winfixer2005 oli.
panin siia oma logi et targemad aidata saaks.
öelge siis mida teha ja kuidas teha

[Betamax]

Spysheriffi kohta oli oma teema siin. Kasuta otsingut ja Google'it.

[airm]

[Ty]

[ylxi]

proovi seda http://www.spywareguide.com/onlinescan.php

[Ty]

ei aidanud. ikka sama jama, ekraanil see "spyware infection" jama ees ja viskab popup'e.

[Cacib]

Kuidas seesugused asjad saab ära oma masinast ära kustutada:

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http//ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitial Setup1.0.0.8-2.cab

O8 - Extra context menu item: &Search - http//bar.mywebsearch.com/menusearch.html?p=ZSzeb029YYEE_ZR

(HijackThis ütleb et 'Nasty')

[Kuripiiritus]

sai just sarnase asjaga(välanäemise poolest .. taustad jne) ühes arvutis võideldud. asja nimi oli spyaxe või miskit. sai loetud igast juhendeid, seejärel proovitud nii hea kui kurjaga (adaware, hijack, mingi spets vidin ja manuaalselt registrist) kuid peale paari tunnist koinimist,, ei olnud lahendust leitud ja läks kergema vastupanu teed (nii oma närvidele kui ajalises mõttes) format c:

[ilckurat]

Täpselt sama juhtus mul peale www.serials.ws - i külastamist, kui olin katsetuseks sisse lülitanud XP enda firewalli. Oh õudust - Computer Infected kirjad jooksid nagu sprinti ekraanil ja abivalmis spysheriff oli kohe kohal. Samas pole ennem selle serials.ws -iga midagi juhtunud kuna viirusetõrje ja paholaiste tõrjujad peal.

Nüüd aga käin kaarega mööda nii XP enda tulemüürist kui ka selle lehekülje külastamisest IE-ga.
Tont teab, mis seal määravaks sai.
Nagu ka Kuripiiritus, mässasin sellega mitupäeva, kuid tulutult!
Lahendus oli lihtne - Format c:

[ylxi]

sobrasin seal www.serials.ws midagi ei juhtunud.ka ainult win tulemüür

[zzzzz]

OT aga mul kammis tulirebase ka seal ükskord täitsa segi

[RCC]

see nimistu on ikka liialt suur, adaware pro viimane versioon uuendustega teeb kõik töö ära

[rem4605]

[Cacib]

Endiselt samad probleemid õhus - minu mõistus on otsas.
Mis pagana põhjusel on mõni minut pärast internetti sisenemist koguaeg masina CPU 35-50% (teed restardi, siis on mõni aeg vaikus aga aga varsti hakkab jällegi hinge kinni tõmbama) ?

[HacaX]

Khmmm... arvestades et sul isegi tulemüüri peal ei ole on see küll veider küsimus (või pole sa siiamaani kuulnud, et ilma müürita Winniga ei tohi küll mingi hinna eest iNetti ronida?)

Mida sa siiamaani oled teinud, safe mode'is Ad-aware'i/SpyBoti/M$ Antispyware'i/CWShredderi/SpySweeperi/AVERT Stingeriga üle käinud ja ajutised failid maha lasknud? Kui mitte siis tee seda (ja ilmtingimata väljatõmmatud võrgujkuhtmega).

[rem4605]

[palmarts]

Sirvisin siin neid turvafoorumi postitusi ja leidsin väga palju HiJackThis logisid. Netis on nende logide analüüsija aadressil http://hjt.networktechs.com/
Sinna tuleb sisestada lihtsalt log faili sisu ja vajutada nupule parse.

[HacaX]

On mitmeid muid ning paremaidki, aga jääb tõsiasjaks, et automaatne kontroll ei ole ikka päris see mis luust ja verest ülevaataja. Saidid võivad ju oma andmebaasile tuginedes ühe või teise asjaks heaks lugeda, inimene aga võib vabalt vaadata, et asi ei pruugi see olla mis väidab end olevat (lihtne hüpoteetiline näide: NAVi skänner masinas ilma ühegi teise asja juurde kuuluva draiverita... tõenäoliselt läheb nagu naksti automaatidest läbi ilma mingeid punaseid tulesi põhjustamata).
Samas jah, automaatide kasutamine on igal juhul kiirem kui kõike käsitsi uurides.

[Vananematu]

Rääkige mis leiutised need on (hijackthis logist võetud) :


Running processes:

C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\smss.exe

Scanned stuff :

O17 - HKLM\System\CCS\Services\Tcpip\..\{003D4DCA-F54D-4271-821D-EDCC18780843}: NameServer = 194.126.115.18 194.126.101.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{003D4DCA-F54D-4271-821D-EDCC18780843}: NameServer = 194.126.115.18 194.126.101.34


Kas koik need read voib ohutuks pidada ?

[AJ]

C:\WINDOWS\system32\ctfmon.exe http://www.neuber.com/taskmanager/process/ctfmon.exe.html
C:\WINDOWS\system32\CTsvcCDA.EXE http://process.networktechs.com/CTSvcCDA.EXE.php

jne Google aitab

[HacaX]

...ning viimased 2 Estpaki DNS serverid (XP hoiab neid meeles et ei peaks pidevalt DHCP kaudu uuesti küsima).

[Vananematu]

T4nud!

[xrix]

see SpySheriff oli vist minu hea sõber. Või oli AdWare Sheriff.
Igal juhul mina sain lahti sellest nii, et läksin SafeModesse, kustutasin maha kõik selle Sheriffiga (ja oli veel mingit 2 väärakat, mis sellega kaasas käisid), siis registrisse panin ka kõigi kolme nimed, ja kõik mis register leidis, lasin maha ning tulin tavalisse mode'sse tagasi, ja enam see ülipaha onu ei tülitand.

Mai tea kas sa ise seda juba näinud oled aga leidsin midagi sellist, mis sind aitama PEAKS.

http://www.bleepingcomputer.com/forums/How_to_remove_SpySheriff_Winstallexe_Spysheriffexe-t22402.html