[spy] IE 6.0

mr82

Похоже сидит spy в IE 6.0.26
Как я понял через кукесы как-то прописывается. Ad-Aware SE Personal постоянно его находит, но через некоторое время, гадость опять появляется.
Суть заключается в том, что периодически при загрузке страниц, например форума, вылетает дополнительная страница с дрянью типа какого-то банера.
Как это лечится?

yolki

Используй менее дырявый браузер.
FireFox, например.

Alexey1977

Возможно, есть exe-файл, который страницу прописывает.
Найди его и сотри. Потом чисти кукис и все остальное.
Антивиром проскань, чтобы найти его ...

mr82

Согласен, но хочется разобраться с этой проблемой. На будущее.
Я думаю, может это какая известная дырка. Вдруг народ в курсе уже. Заплаток понакачал с инета и всё такое.

yolki

куда spyware прописывается я не знаю, но на всякий случай пошукай в системной папке файлы с датой модификации подозрительно недавней.
Посмотри в реестре ветки Software\Microsoft\Windows\CurrentVerison\Run
в хайвах HKLM и HKCU

Alexey1977

У меня была такая проблема, но еще до SP2.
Сейчас в Инет хожу Оперой ...

yolki

На самом деле не "менее дырявый браузер" а "браузер, дыры в котором пользуют на порядки меньше"

mr82

Реестр уже смотрел.
Системную папку сейчас посмотрю.
В инет я тоже Оперой хожу. А форум удобнее IE смотреть.

yolki

холиворы не будем заводить, но имхо два браузера пользовать - изврат.
лично мне ФФ хватает и для того и для другого.
Я ещё понимаю - один браузер для одного бота, другой - для другого.. Хотя тут имхо удобнее hosts использовать

mr82

Да не, мне просто картинки отключать, включать влом.

Vladu

Мне нравиться как про шпиЁны расталковано тут:
http://www.doesk.com/parasite/prevention.html
http://www.doesk.com/parasite/software.html
Вообще, у Spayware есть домашняя страничка
http://www.microsoft.com/athome/security/spyware/default.mspx

mr82

Не помогло.
2 . Спасибо, на досуге обязательно почитаю.

Vladu

Если ты проверил...
Ad Aware
Spybot Search and Destroy
Microsoft AntiSpyware
И проблемы остались. Сделай лог hijackthis и запости сюда.

evgen5555

>Сделай лог hijackthis и запости сюда.
Единственный нормальный пост в треде.

mr82

Если ты проверил...
Ad Aware
Spybot Search and Destroy
Да, делал так сказать фул скан.
Microsoft AntiSpyware ещё не пробовал.
Лог сделаю вечером.
Ещё непонятно как эта дрянь на мой комп попала.
to , и где же ты раньше был?

voronetskaya

запомни адрес, кторый открывается в баннере, поищи его в реестре.
если не находится адрес - попробуй выяснить какой это айпишник при помощи , поищи его.
попробуй запусти , посмотри куда эксплорер лазит при этом

mr82

Ничего не помогло.
Фул формат поможет

evgen5555

А что hijack написал?
В инете дофига анализаторов логов.

mr82

Logfile of HijackThis v1.99.1

Scan saved at 19:58:56, on 08.05.2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

E:\WINNT\System32\smss.exe

E:\WINNT\system32\winlogon.exe

E:\WINNT\system32\services.exe

E:\WINNT\system32\lsass.exe

E:\WINNT\system32\svchost.exe

E:\WINNT\system32\spoolsv.exe

E:\WINNT\System32\svchost.exe

E:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

E:\WINNT\system32\nvsvc32.exe

E:\Program Files\richcomm\PowerManager\PowerManager.exe

E:\WINNT\system32\regsvc.exe

E:\WINNT\system32\MSTask.exe

E:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe

E:\WINNT\system32\stisvc.exe

E:\Program Files\VMware\VMware Workstation\vmware-authd.exe

E:\WINNT\System32\WBEM\WinMgmt.exe

E:\Program Files\Far\Far.exe

H:\Distr\Applications\Antivirus\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = lorein.local

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - (no file)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: @msdxmLC.dll,-1049,&Радио - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx

O3 - Toolbar: (no name) - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe"  -lang 1033

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [gcasServ] "E:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Startup: HotSync Manager.lnk = E:\Program Files\palmOne\HOTSYNC.EXE

O4 - Global Startup: ABBYY Lingvo 6.0 Launcher.lnk = E:\Program Files\ABBYY Lingvo\LvAgent.exe

O4 - Global Startup: Acrobat Assistant.lnk = E:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: NkvMon.exe.lnk = E:\Program Files\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Translate with Lingvo - res://H:\Lingvo10\Lingvo.exe/3000

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - E:\WINNT\system\MRA.EXE

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O12 - Plugin for .mov: E:\Program Files\Opera7\PLUGINS\npqtplugin.dll

O12 - Plugin for .png: E:\Program Files\Opera7\PLUGINS\npqtplugin4.dll

O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://E:\Program Files\AutoCAD 2002\InstBanr.ocx

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - E:\WINNT\system32\vbsys2.dll

O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - E:\WINNT\System32\services.exe

O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - E:\WINNT\system32\services.exe

O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - E:\WINNT\System32\services.exe

O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - E:\WINNT\System32\services.exe

O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe

O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - E:\WINNT\System32\services.exe

O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - E:\WINNT\System32\services.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - E:\WINNT\system32\services.exe

O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - E:\WINNT\system32\faxsvc.exe

O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - E:\WINNT\System32\services.exe

O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - E:\WINNT\System32\services.exe

O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - E:\WINNT\System32\services.exe

O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - E:\WINNT\System32\services.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - E:\WINNT\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - E:\WINNT\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - E:\WINNT\system32\netdde.exe

O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - E:\WINNT\System32\lsass.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - E:\WINNT\System32\lsass.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINNT\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - E:\WINNT\system32\services.exe

O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - E:\WINNT\System32\lsass.exe

O23 - Service: Power Manager service - Unknown owner - E:\Program Files\richcomm\PowerManager\PowerManager.exe

O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - E:\WINNT\system32\services.exe

O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - E:\WINNT\system32\lsass.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - E:\WINNT\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - E:\WINNT\System32\SCardSvr.exe

O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - E:\WINNT\system32\MSTask.exe

O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - E:\WINNT\system32\services.exe

O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe

O23 - Service: Still Image Service (StiSvc) - Корпорация Майкрософт - E:\WINNT\system32\stisvc.exe

O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - E:\WINNT\sy
Оставить комментарий
Имя или ник:
Комментарий: