[spy] IE 6.0

mr82

Похоже сидит spy в IE 6.0.26
Как я понял через кукесы как-то прописывается. Ad-Aware SE Personal постоянно его находит, но через некоторое время, гадость опять появляется.
Суть заключается в том, что периодически при загрузке страниц, например форума, вылетает дополнительная страница с дрянью типа какого-то банера.
Как это лечится?

yolki

Используй менее дырявый браузер.
FireFox, например.

Alexey1977

Возможно, есть exe-файл, который страницу прописывает.
Найди его и сотри. Потом чисти кукис и все остальное.
Антивиром проскань, чтобы найти его ...

mr82

Согласен, но хочется разобраться с этой проблемой. На будущее.
Я думаю, может это какая известная дырка. Вдруг народ в курсе уже. Заплаток понакачал с инета и всё такое.

yolki

куда spyware прописывается я не знаю, но на всякий случай пошукай в системной папке файлы с датой модификации подозрительно недавней.
Посмотри в реестре ветки Software\Microsoft\Windows\CurrentVerison\Run
в хайвах HKLM и HKCU

Alexey1977

У меня была такая проблема, но еще до SP2.
Сейчас в Инет хожу Оперой ...

yolki

На самом деле не "менее дырявый браузер" а "браузер, дыры в котором пользуют на порядки меньше"

mr82

Реестр уже смотрел.
Системную папку сейчас посмотрю.
В инет я тоже Оперой хожу. А форум удобнее IE смотреть.

yolki

холиворы не будем заводить, но имхо два браузера пользовать - изврат.
лично мне ФФ хватает и для того и для другого.
Я ещё понимаю - один браузер для одного бота, другой - для другого.. Хотя тут имхо удобнее hosts использовать

mr82

Да не, мне просто картинки отключать, включать влом.

Vladu

Мне нравиться как про шпиЁны расталковано тут:
http://www.doesk.com/parasite/prevention.html
http://www.doesk.com/parasite/software.html
Вообще, у Spayware есть домашняя страничка
http://www.microsoft.com/athome/security/spyware/default.mspx

mr82

Не помогло.
2 . Спасибо, на досуге обязательно почитаю.

Vladu

Если ты проверил...
Ad Aware
Spybot Search and Destroy
Microsoft AntiSpyware
И проблемы остались. Сделай лог hijackthis и запости сюда.

evgen5555

>Сделай лог hijackthis и запости сюда.
Единственный нормальный пост в треде.

mr82

Если ты проверил...
Ad Aware
Spybot Search and Destroy
Да, делал так сказать фул скан.
Microsoft AntiSpyware ещё не пробовал.
Лог сделаю вечером.
Ещё непонятно как эта дрянь на мой комп попала.
to , и где же ты раньше был?

voronetskaya

запомни адрес, кторый открывается в баннере, поищи его в реестре.
если не находится адрес - попробуй выяснить какой это айпишник при помощи , поищи его.
попробуй запусти , посмотри куда эксплорер лазит при этом

mr82

Ничего не помогло.
Фул формат поможет

evgen5555

А что hijack написал?
В инете дофига анализаторов логов.

mr82

Logfile of HijackThis v1.99.1
Scan saved at 19:58:56, on 08.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\System32\svchost.exe
E:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
E:\WINNT\system32\nvsvc32.exe
E:\Program Files\richcomm\PowerManager\PowerManager.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
E:\WINNT\system32\stisvc.exe
E:\Program Files\VMware\VMware Workstation\vmware-authd.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\Program Files\Far\Far.exe
H:\Distr\Applications\Antivirus\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = lorein.local
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1049,&Радио - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [gcasServ] "E:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: HotSync Manager.lnk = E:\Program Files\palmOne\HOTSYNC.EXE
O4 - Global Startup: ABBYY Lingvo 6.0 Launcher.lnk = E:\Program Files\ABBYY Lingvo\LvAgent.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: NkvMon.exe.lnk = E:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with Lingvo - res://H:\Lingvo10\Lingvo.exe/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - E:\WINNT\system\MRA.EXE
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O12 - Plugin for .mov: E:\Program Files\Opera7\PLUGINS\npqtplugin.dll
O12 - Plugin for .png: E:\Program Files\Opera7\PLUGINS\npqtplugin4.dll
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://E:\Program Files\AutoCAD 2002\InstBanr.ocx
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - E:\WINNT\system32\vbsys2.dll
O23 - Service: Оповещатель (Alerter) - Корпорация Майкрософт - E:\WINNT\System32\services.exe
O23 - Service: Управление приложениями (AppMgmt) - Корпорация Майкрософт - E:\WINNT\system32\services.exe
O23 - Service: Обозреватель компьютеров (Browser) - Корпорация Майкрософт - E:\WINNT\System32\services.exe
O23 - Service: DHCP-клиент (Dhcp) - Корпорация Майкрософт - E:\WINNT\System32\services.exe
O23 - Service: Служба администрирования диспетчера логических дисков (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe
O23 - Service: Диспетчер логических дисков (dmserver) - Корпорация Майкрософт - E:\WINNT\System32\services.exe
O23 - Service: DNS-клиент (Dnscache) - Корпорация Майкрософт - E:\WINNT\System32\services.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - E:\WINNT\system32\services.exe
O23 - Service: Служба факсов (Fax) - Корпорация Майкрософт - E:\WINNT\system32\faxsvc.exe
O23 - Service: Сервер (lanmanserver) - Корпорация Майкрософт - E:\WINNT\System32\services.exe
O23 - Service: Рабочая станция (lanmanworkstation) - Корпорация Майкрософт - E:\WINNT\System32\services.exe
O23 - Service: Служба поддержки TCP/IP NetBIOS (LmHosts) - Корпорация Майкрософт - E:\WINNT\System32\services.exe
O23 - Service: Служба сообщений (Messenger) - Корпорация Майкрософт - E:\WINNT\System32\services.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - E:\WINNT\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - E:\WINNT\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - E:\WINNT\system32\netdde.exe
O23 - Service: Сетевой вход в систему (Netlogon) - Корпорация Майкрософт - E:\WINNT\System32\lsass.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: Поставщик поддержки безопасности NT LM (NtLmSsp) - Корпорация Майкрософт - E:\WINNT\System32\lsass.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINNT\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - E:\WINNT\system32\services.exe
O23 - Service: Агент политики IPSEC (PolicyAgent) - Корпорация Майкрософт - E:\WINNT\System32\lsass.exe
O23 - Service: Power Manager service - Unknown owner - E:\Program Files\richcomm\PowerManager\PowerManager.exe
O23 - Service: Защищенное хранилище (ProtectedStorage) - Корпорация Майкрософт - E:\WINNT\system32\services.exe
O23 - Service: Диспетчер учетных записей безопасности (SamSs) - Корпорация Майкрософт - E:\WINNT\system32\lsass.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - E:\WINNT\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - E:\WINNT\System32\SCardSvr.exe
O23 - Service: Планировщик заданий (Schedule) - Корпорация Майкрософт - E:\WINNT\system32\MSTask.exe
O23 - Service: Служба RunAs (seclogon) - Корпорация Майкрософт - E:\WINNT\system32\services.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: Still Image Service (StiSvc) - Корпорация Майкрософт - E:\WINNT\system32\stisvc.exe
O23 - Service: Оповещения и журналы производительности (SysmonLog) - Корпорация Майкрософт - E:\WINNT\sy
Оставить комментарий
Имя или ник:
Комментарий: