"spyonet"?? Opcje

[aleksander]

Witam,

mam bardzo nietypowy problem. Otóż od kilku dni nie mogę wejść na serwis onet.pl. Gdy próbuję, zamiast normalnego onetu, ładuje się taka strona (screen) http://www.chryslerviper.webpark.pl/co_to.jpg

Nie wiem co mam o tym myśleć. Na innych kompach wszystko jest good, inne serwisy onetu (typu http://nazwa.onet.pl) działają. Prawdopodobnie to jakiś wirus albo spyware, ale być może ktoś już się z tym spotkał.

PS: nie mam na razie napędu CD więc nawet nie moge zrobić formata

Ciekawostka: po kliknięciu na 'spyware removal' jakąkolwiek przeglądarką pracuję, przeglądarka się po załadowaniu strony zamyka :? . Przeglądałem kod (html i js), ale nic nie znalazłem.
Tak w ogóle to coś w rodzaju mini-katalogu php.

[Seth]

Sciagnij ten program http://www.safer-networking.org/ , zaktualizuj baze i uruchom.

Powinen pomoc.

[aleksander]

Niew no to jest smieszne. Wchodze na tą stronę a przeglądarka (Avant Browser i Mozilla) mi się zamykają. Tak po prostu, bez ostrzeżenia... Skanowałem kompa NAVem MKS-online, mam cały czas wlączony monitor Anti-Trojan i nic. Ale cały czas mi się pojawia cydoor i jeszcze kilka innych ad-aware'ów (spy-killer wykrywa).
Może ktoś podać bezpośredni link do tego programu?

[Seth]

8O http://kujoe.com/spybotsd12.exe

[Paul]

:arrow: Zobacz tez Spy Sweeper'a

[wassago]

Nie bede nowego watku zaczynal, dlatego pisze tu:

Od 2 dni mialem problem w wXP, ze po polaczeniu sie z netem wywalo mi komunikat:

Kod

System is shutting down please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was intiated by NT Authoritysystem.



Message



The system process c:windowssystem32lsass.exe terminated unexpectedly with status code 128. The system will now shut down.

probowalem na 100 sposobow to naprawic - nawet wylaczeniem uslug w winXP. okazalo sie ze wXP widzi to jako trojan.

Rozwiazanie:

Check the registry in HKLMSoftwareMicrosoftWindowsCurrentVersionRun

Do you see an entry for C:winntavserver.exe ?

It's a new virus called W32.Sasser.Worm according to Symantec. It's in the
definition from 4/30/2004. It exploits the hole patched by MS04-011.

Delete the registry entry and then close RegEdit so it writes it. Then rebo
ot the server and you should be able to then update your AntiVirus and patch
your server.

Since I've removed this virus our server has become stable again.

[aleksander]

@Seth - instalator zachowuje się tak samo jak przeglądarka - po prostu się wyłącza ( a raczej coś go wyłącza)

@Paul - zainstalowałem, za pierwszym razem wykjrył kilka spyware

Kod

     Found: Alexa Toolbar registry trace.

     Found: searbar.html hijack registry trace.

     Found Cookie: Fastclick Cookie, version 1

     Found: Gator (GAIN), version 4.054

     Found: PrecisionPop, version 1

     Found Adware: Cydoor Peer-to-Peer Dependency, version 3.2.1

     Found Adware: Lopdotcom, version 1

     Found Adware: Lopdotcom, version 1

Poza tym po restarcie wykrył 4-krotną próbę zamiany strony startowej IE.

@wassago - niestety to nie to (niestety, bo już bym chciał się tego pozbyć)

UPDATE: kiedy wpiszę www.onet.pl pokazuje mi się strona http://tozqys.outhost.info/

[Chewolf]

No to nie masz innego wyjścia jak format ...

[aleksander]

teraz przynajmniej moge go sformatować bo naprawiłem napęd tzn podłączyłem go razem z hdd. Okazało się, że drugi kontroler IDE jest walnięty. Teraz pytanie: czy wir może coś takiego zrobić? (słyszałem że niektóre rozwalają bios albo hdd)

[invx]

sprubuj uzyc przywracania systemu, w Xp po praz pierwszy to naprawde dziala, mialem podobny problem, przywrucilem kompa do stanu wczesniejszego i pomoglo

[Bora]

hehe patrząc na ikonke w tym zrzucie można pomyślec pewnie kaliowski coś namieszał ;>.
Może najpierw zobacz jakie procesy chodzą ci w systemie, sprawdź autostart.
ponieważ piszesz że wykryty poróby zmiany startowej ajkiś proces musi być zakamuflowany i mieszać. Może ajkiś złośliwy dialer.

[marlowe]

Trochę a propos- jakiś czas temu czytałem artykuł o oszustach, którzy wyłudzali numery kart kredytowych wykorzystując lukę w IE, która pozwalała na wyświetlenie dowolnej strony tak, by w pasku adresu wyświetlony był url ich banku. I zastanawiam się, czy to rzeczywiście możliwe? Spotkaliście się z takim efektem?
Może dodam, że absolutnie nie chcę nikogo oszukać a jedynie ciekaw jestem czy rzeczywiście coś takiego jest możliwe.
Pozdrawiam
Bartek

[Seth]

Poza ta dziura IE ma jeszcze duzo wiecej grozniejszych.
Na securityfocus.net mozna sobie poogladac exploity