Lea esto si usted consigue una desagradable pop-up troyano....

Hola a todos

En primer lugar disculpas por la masiva entrada, pero el pensamiento de identificación una lista de todos los pasos que me fui a través de deshacerse de este:

Así que he conseguido un contrato puramente infernal * * popup troyano de esta mañana. Pensamiento Id cronicles mi documento para cualquier otro unsespecting víctimas! Id recibió el Cool Web Search troyano en una ocasión anterior, pero que era un gatito frente a esta cosa! Es posible realmente ser una versión más avanzada, aunque....

Síntomas y visión general:
Página de inicio fijada en: http://aifind.info/ & Casino pop-ups todo el tiempo. Local (LAN) se proxy configurado para abordar localhost (127.0.0.1). Notepad.exe se repointed a c: \ windows \ system32 \ actmovie.exe. Par de entradas en el registro ejecutar directorio que apuntan a runwin32.exe & wininet32.exe. Google toobar disapears (si lo usa). Trend Housecall accidentes. Varias otras cosas divertidas....

Medidas adoptadas:
Ran Ad-Aware 6 (hizo una actualización para asegurar que tuve últimas firmas) esto parecía no hacer nada a pesar de que encontró y eliminó varias entradas para enfriar la búsqueda web.

Encontrado mi acceso a internet estaba bloqueado, por lo que fue a C: \ WINDOWS \ system32 \ drivers \ etc y se verificaron mi archivo de hosts. Por supuesto había una entrada para 213.159.117.235 auto.search.msn. com que parece impedir que todos los acceso a internet (más tarde me enteré de la razón fue que había cambiado mi configuración del proxy - llegará a que en un minuto). Eliminada la línea de ofender (sólo necesita 127.0.0.1 localhost a menos que su hacer nada raro! Y se dirigió a salvar éxito, entonces notó el astuto tards ha cambiado mi archivo de hosts de sólo lectura! Grrrrr eliminado y que guardó.

Una vez tuve acceso a internet de nuevo, descargado la última versión de CWShredder de http://www.spywareinfo.com/~merijn/cwschronicles.html . Esto parece encontrar y fijar unos 3 programas de software espía, pero el problema aún persiste.

Checked msconfig y encontrado 2 más programas de software espía: runwin32.exe & wininet32.exe. Suprimido estos y sus entradas.

Checked mi proxy local info (en IE) y se comprobó que había sido cambiado a 127.0.0.1:8080, por lo tanto, la falta de acceso a Internet antes. Cambiado esta de vuelta.

Notado que todos los accesos notepad ahora a punto c: \ windows \ system32 \ actmovie.exe. Suprimido este archivo y repointed volver a notepad.exe (WordPad se unaffacted gracias a Dios!) En cuanto a actmovie.exe no creo realmente su parte de los virus. Parece que figuran como Microsoft DirectShow herramienta de configuración, por lo que quizás tan sólo se refirió a un control aleatorio de archivo a fin de que el Bloc de notas no funciona.

Notado que había eliminado / oculto mi barra de herramientas de Google.

Se ha intentado ejecutar Trend Housecall. Se logró accidente por la ventana que se abre Trend!

En este punto Id deshacerse de los pop-ups, pero aún tenía mi página de inicio está fijado para http://aifind.info/ y mi archivo de hosts conseguir cambiar cada 5 minutos y de sólo lectura mantienen regresando. También notepad.exe atajo siendo repointed. Tiene que admitir que fue rascarse la cabeza un poco por ahora!

Realizó una comprobación completa del virus utilizando e-Trust de Computer Associates (sí sé que no es grande, pero libre de trabajo para que no se quejan) encontraron otros 11 virused archivos!

Gastado otros 30 minutos tratando diversas cosas. Entonces tuve pesados, y se utiliza básicamente HijackThis para eliminar cualquier cosa que yo pensaba espera dodgy. También desinstalar barra de herramientas de Google para realizar la detección de fallos en HijackThis más fácil. Todo esto trabajado! Este es el tipo de cosas creo que se refería a la del gusano (pero no seguro):

Piense en estos 3 son los peores culpables:
O2 - BHO: (no name) - 00000000-0000-0000-0000-000000000000) (- C: \ WINDOWS \ System32 \ msxslab.dll
O12 - Plugin. Spop: C: \ Archivos de programa \ Internet Explorer \ Plugins \ NPDocBox.dll
O16 - DPF: (10003000-1000-0000-1000-000000000000) - ms-su: mhtml: file: / / c: \ MAIN.MHT! Http://213.159.117.236/buka.chm::/x. exe

Esto es sólo general crap hizo el gusano:
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings, ProxyOverride = local
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings, ProxyServer = 127.0.0.1:8080
O1 - Hosts: 213.159.117.235 auto.search.msn. com
O15 - Zona de confianza: http://www.emode.com
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = cerca & #058; en blanco
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = cerca & #058; en blanco


Este material es retirado de todos modos yo, pero no creo que tuvo un efecto:
O9 - Extra botón: Messenger (HKLM)
O9 - Extra "Herramientas" menuitem: Messenger (HKLM)
O3 - Barra de herramientas: & Radio - (8E718888-423F-11D2-876E-00A0C9082467) - C: \ WINDOWS \ System32 \ msdxm . OCX

Y después de 1,5 horas creo que finalmente lo largo de su! Realmente debemos cambiar mi comprobador de virus con mayor frecuencia en....



S

DuckIT


Eso es más excelente. Su agradable ver a la gente tomarse el tiempo necesario para proporcionar el detalle para que otros puedan aprender. Espera que me gusta usted (al menos) ha
http://securityresponse.symantec.com/av ... rojan.html

Que uno ^

Pero su blog es detallado más impresionante y útil. Pero, al igual que lo que hiciste a día en que sólo toma algún pensamiento para solucionar problemas y una buena dosis de paciencia...Mi sombrero está apagado a usted, señor.

DuckIT Hola, ¿el pop hasta llegar a pesar de que usted ha google bloqueador de pop-ups? Además, si usted tiene un firewall que se han dejado de ser poner en su sistema?

¿Se puede recomendar cómo alguien puede bloquear estas cosas de ser descargado en su computadora sin su permiso?

Gracias,
Rose

(gran post por cierto)

Heh, gracias. Aunque la paciencia? Yo estaba cada vez más como un perro y tambalea fuera de todas las cosas que Id gusta hacer a la persona que esta codificado



Sí google bloqueador de pop-ups sólo parece para bloquear las ventanas de IE que iniciar desde la ventana original. No va a parar usted conseguir la cosa, en primer lugar, y no va a detener cualquier pop-ups que sean iniciados por el sistema operativo en lugar de IE.



* tos * inspector de un virus sería probablemente un buen comienzo. Tuve con discapacidad como la mía es una máquina de juegos y rara vez se utiliza para la práctica del surf. Análisis de mi lección que he (se ha dicho en su mejor voz de Yoda)

También creo que la mayoría de anuncios programas vienen con una función para poner fin a este tipo de cosas. Ad-Aware hace, por ejemplo. En este caso, aunque tengo la sensación que tuve uno de esos grises sí / no a la instalación de cajas de llegar y parecía que la opción por defecto es no hacer clic, por lo tanto, No me molesté con el ratón, sino más bien pulsa enter. En retrospectiva, probablemente se codificarán a ver como "No" es el valor por defecto cuando en realidad sí es!

Unos pocos programa para ayudar a dejar de adware / spuware / malware.what cada vez que desea llamar.
una instalación de este bloqueadores en el registro. sitio de descarga Aquí

Descargar e instalar estos dos programas para ayudar a detener el software espía.


SpywareBlaster


SpywareGuard

Mantenga actualizados!
La clave más importante para mantener un ordenador seguro es el mantenimiento de su protección actualizada.

también comprobar cómo me infecté en el primer lugar.

http://www.computercops.biz/postlite7736-.html

Todavía tengo el maldito popup thingy. Blasted cosa es. Ive correr CWShredder, Ad-Aware, secuestrar y esta plaga de patrulla y todavía vuelve después de un reinicio! Checked reg entradas, se verificaron los archivos de arranque Yada Yada Yada. Damn que reciben estos buenos días!

Gracias por la punta caperjack, los malos dan una SpywareBlaster ir cuando me sale algún tiempo. Por el momento, sólo ive renunciado a la navegación en esa máquina. Su única de juegos de PC de todos modos.

S

SpywareBlaster es para su uso después de deshacerse de todas las infecciones,
puesto que HijackThis log, a ver lo que está en él.
suena como que tiene la más difícil de regresar y para deshacerse de unos / blanco.

* I * pensar lo tengo ahora. Malos comprobar de nuevo cuando llegue a casa pero parecía bien esta mañana.

Gracias

S

Su todavía existe!

Im considerando seriamente la posibilidad de sacrificar un pollo en mi ordenador. Piense en esto?

Yo a veces pueden librarse de ella, pero regresa al día siguiente. Im 99% seguro de no conseguir mejorar mi re-infectados como no utilizo mucho el ordenador para navegar. Parece que su tiempo de volver a infectar a mí todos los días de alguna manera.


Esto suena bien. Soy todo oídos!


Secuestrar este registro (ive eliminado todas las R0-R1 y las entradas antes de O2 - que sólo vienen directamente de vuelta. Im presumir uno de mis procesos ha sido sustituido por esta idea, pero que no):

Logfile de HijackThis v1.97.7
Scan guardado en 08:09:00, a 18/05/2004
Plataforma: Windows XP SP1 (WinNT 5,01. 2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Procesos en ejecución:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ System32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ explorer.exe
C: \ WINDOWS \ system32 \ drivers \ dcfssvc. exe
c: \ datos \ apps \ E-Trust \ InoculateIT \ InoRpc.exe
c: \ datos \ apps \ E-Trust \ InoculateIT \ InoRT.exe
c: \ datos \ apps \ E-Trust \ InoculateIT \ InoTask.exe
C: \ WINDOWS \ LogWatNT.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ System32 \ MsPMSPSv.exe
C: \ Datos de programa \ Apps \ ATI Control Panel \ atiptaxx.exe
C: \ PROGRA ~ 1 \ PESTPA ~ 1 \ PPControl.exe
C: \ PROGRA ~ 1 \ PESTPA ~ 1 \ PPMemCheck.exe
C: \ PROGRA ~ 1 \ PESTPA ~ 1 \ CookiePatrol.exe
C: \ Archivos de programa \ Windows Media Player \ WMP. exe
C: \ Datos de programa \ Apps \ E-Trust \ InoculateIT \ Realmon.exe
C: \ Archivos de programa \ Internet Explorer \ iexplore.exe
C: \ Documents and Settings \ Stephan Torcy \ Desktop \ secuestrar este \ HIJACKTHIS.EXE

R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = res://C : \ WINDOWS \ System32 \ eldnba.dll / sp.html (obfuscated)
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = res://C : \ WINDOWS \ System32 \ eldnba.dll / sp. HTML (obfuscated)
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = cerca & #058; en blanco
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant = res://C : \ WINDOWS \ System32 \ eldnba.dll / sp.html (obfuscated)
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = cerca & #058; en blanco
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = res://C : \ WINDOWS \ System32 \ eldnba.dll / sp. HTML (obfuscated)
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = res://C : \ WINDOWS \ System32 \ eldnba.dll / sp.html (obfuscated)
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant = res://C : \ WINDOWS \ System32 \ eldnba.dll / sp.html (obfuscated)
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, HomeOldSP = cerca & #058; en blanco
O2 - BHO: (no name) - (3BA44967-D4A3-4208-B5FE-E208E82D5FA9) - C: \ WINDOWS \ System32 \ eldnba.dll
O4 - HKLM \ .. \ Run: [AudioHQ] C: \ Archivos de programa \ Creative \ SBLive \ AudioHQ \ AHQTB.EXE
O4 - HKLM \ .. \ Run: [KernelFaultCheck]% systemroot% \ system32 \ dumprep 0-k
O4 - HKLM \ .. \ Run: [ATIPTA] C: \ Datos de programa \ Apps \ ATI Control Panel \ atiptaxx.exe
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ datos \ apps \ Quicktime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [PestPatrol Control Center] c: \ PROGRA ~ 1 \ PESTPA ~ 1 \ PPControl.exe
O4 - HKLM \ .. \ Run: [PPMemCheck] c: \ PROGRA ~ 1 \ PESTPA ~ 1 \ PPMemCheck.exe
O4 - HKLM \ .. \ Run: [CookiePatrol] c: \ PROGRA ~ 1 \ PESTPA ~ 1 \ CookiePatrol.exe
O4 - Arranque: Logon.BAT.lnk =?
O4 - Arranque: realtime Monitor.lnk = C: \ Datos de programa \ Apps \ E-Trust \ InoculateIT \ Realmon. exe
O16 - DPF: (166B1BCA-3F9C-11CF-8075-444553540000) (Shockwave ActiveX Control) -- http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: (39B0684F-D7BF-4743-B050-FDC3F48F7E3B) (FilePlanet Download Control Class) -- http://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_41.cab
O16 - DPF: (9F1C11AA-197B-4942-BA54-47A8489BB47F) (Update Class) -- http://v4.windowsupdate.microsoft.com/C ... 5993055556
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM \ System \ CCS \ Services \ TCPIP \ .. \ (4454BC1A-639D-4FB2-9297-A67EA5FF7EDD): nameserver = 10.1.1. 2,195.112.4.4
O17 - HKLM \ System \ CCS \ Services \ TCPIP \ .. \ (467CDA8E-8BCC-4663-B85E-23FA4ED54EA1): nameserver = 195.112.4.4,195.112.4.7
O17 - HKLM \ System \ CCS \ Services \ TCPIP \ .. \ (E1DDD18B-6997-4B16-9B41-39539892FB65): nameserver = 194.119.131.65,195.112.4.4

Usted tiene la DLL ocultos, alrededor de / en blanco nunca he tenido, pero, i do estudio y ayudar a IBS, fourn y esta es la solución que utilizan.

1. Descargar reglite
2. instalar "Reglite" y ejecutarlo, introduzca HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ \ AppInit_DLLs en la barra de direcciones.
3. Haga doble clic en AppInit_DLLs para abrir un "editor de datos de" ventana de propiedades, si la parte inferior de texto llamado "Valor" contiene un archivo. Archivo dll, entonces este es el archivo oculto que usted necesita para deshacerse off.
4. Usted no debe poder borrar este archivo si tratan de eliminar el campo de valor, IMPORTANTE: tomar nota de la ruta y el nombre del dominio ". Archivo dll. Anótelo por lo que no se olvide.
5. Cambie el nombre de la carpeta "Windows" (Se trata de un púrpura "destacaron la" carpeta en la ventana izquierda) para NOTWINDOWS. Basta con hacer clic en la carpeta, haga clic en "Editar" en la barra de menús y seleccionar "Cambiar nombre".
6. Haga clic en AppInit_DLLs de nuevo y claro el valor que contiene el archivo. Dll y ok. Esto debería haber eliminado el archivo. Dll
7. Cambie el nombre de la carpeta de ventanas a su posición original nombre de "Windows".
8. El siguiente paso será eliminar este archivo dll, así que asegúrate de que lo tienes anotado.
9. Haga clic en "Start" => "Ejecutar" y escriba "cmd" (sin las comillas) y haga clic en "Aceptar".
10. Esto abrirá una ventana de comandos voy a asumir que tiene un conocimiento básico de DOS si tiene algún problema en este momento acaba de escribir de nuevo voy a describir los comandos.
11. Tipo de dir <path y nombre de dll que se encuentran en la appinit valor box> y presione "Enter". Usted debe ver el nombre de la lista de archivos.
12. Volver a la carpeta system32 (Aquí es donde el. Archivo dll normalmente reside) y el tipo atri-r "nameofdll". Dll
13. Tipo del "nameofdll". DLL
14. Tipo dir <path y nombre de dll que se encuentran en la appinit valor box> y localizar el nombre de la dll dll ahora se han eliminado y no serán listados.
15. Compruebe los siguientes dos enlaces para obtener instrucciones sobre cómo descargar y ejecutar las aplicaciones que se enumeran:
    • Cómo usar Spybot para eliminar el software espía
    • Cómo usar Ad-Aware para eliminar el software espía
16. Reinicie la computadora en modo seguro ( ¿Qué debo hacer para arrancar en "Safe" modo? ) Y ejecutar estos programas una vez más, sólo para asegurarse de que todos los vestigios han desaparecido.
17. Arrancar pc como normal y debe ser libre de problemas.

o utilizar esta información.

http://forums.subratam.org/index.php?showtopic=583

Im trabajando en esto ahora gracias caperjack! Malos puesto en un tiempo con los resultados. Niza editor de registro que es por cierto.

Bastante irónico que, después de que actúen todos los grandes acerca de cómo yo era inteligente para deshacerse de este y luego mi entrada se convierte en un grito de ayuda

S

ok he seguido todas las instrucciones. Sus datos no parece claro como el fichero, también señaló (C: \ WINDOWS \ System32 \ wdm.dll) parece ser de algún modo invisible a pesar de que me han escondido y mostrar archivos de sistema encendido.

Por suerte el fichero correspondiente al lote a su segundo puesto ordenados. Lo hizo todo esto:



y parece que para resolverlo por lo que fue capaz de borrar manualmente, entonces! Hice todo lo demás en el puesto. Sólo tengo que dejarlo un día o dos para ver ahora si que fija la misma. Es de esperar que tenga.

Thanks a lot dude!

S

De nada, alegra funcionó, Im nuevo a los progrqms y nunca han tenido para ejecutar cualquiera de las correcciones que en mi propia máquina, acabo de pasar para que a lo largo de gente que va a usar para arreglar los problemas allí.

Encontrado mi acceso a internet estaba bloqueado, por lo que fue a C: \ WINDOWS \ system32 \ drivers \ etc y se verificaron mi archivo de hosts. Por supuesto había una entrada para 213.159.117.235 auto.search.msn.com que parece impedir que todos los acceso a internet (más tarde me enteré de la razón fue que había cambiado mi configuración del proxy - llegará a que en un minuto). Eliminada la línea de ofender (sólo necesita 127.0.0.1 localhost a menos que su hacer nada raro! y se dirigió a salvar éxito, entonces notado el astuto tards ha cambiado mi archivo de hosts de sólo lectura! Grrrrr eliminado y que guardó.


¿Cómo puedo modificar la hostfile?
please respuesta lo antes posible .. ¿Es necesario un programa o simplemente editar de MS-DOS.

im un noob y los malos se rectores un amigo a través de teléfono sobre la manera de restaurar su acceso a internet...(i suprimido su runwin32.exe y wininet32.exe a causa de virus uncleanable)