Uwaga nowy trudny wirus rozsyłany w linku przez GG

No wlasnie, Witam
Wszedlem tam wlasnie - dostalem jakis maly wmf - zaraz go zbadam
A rzeczona Karolinka od polowy grudnia usiluje sie ze mna skontaktowac i ma pecha biedactwo Bo dostala ignora

Nie chcę ponownie nikogo przekonywać do swoich racji, ale ilekroć "rzucam okiem" w czyjeś logi to na mojej twarzy pojawia się szyderczy uśmiech

Mój log (najlepsze "kawałki" w logu zaznaczyłem na czerwono) i ostatnio jestem wręcz przeświadczony o swojej nieomylności

Jakby kogoś to interesowało ta instancja WinXP ma przeszło rok czasu od ostatniej instalacji, a chodzi non-top (bez omijania "mętnych" stron).

Post może i nie wnosi nic nowego, ale spostrzegawczy znajdą w nim coś dla siebie m.in. fakt braku jakiegokolwiek firewall'a.

Logfile of HijackThis v1.99.0
Scan saved at 00:16:01, on 2006-01-04
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Avant Browser\avant.exe
C:\Program Files\Total Commander\Utils\Net_Robo\RoboTaskBarIcon.exe
C:\Program Files\Total Commander\TOTALCMD.EXE
C:\Program Files\Total Commander\Utils\Net_Miranda\miranda32.exe
c:\Program Files\Total Commander\Utils\System_HiJack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Podświetl - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7E5F3A7-6BB6-414C-8FEE-F53141601C86}: NameServer = 153.19.250.100,153.19.0.50
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

PS. Na problemy z GG - używać innych klientów np Mirandy (tam nie ma kretyńskich, niechcianych wieści).

Log robiony starą wersją programu hijackthis, nieaktualizowany Internet Explorer, a brak firewalla chyba nie jest powodem do dumy?

no i ja dostałem dzisiaj od GG 9668800 treść:
masz zajebiste zdjecia na fotka.pl
chcesz mnie?! moja fotka jest tutaj
http://toxxxxxxxxxx.biz/dl/adv435.php
szkoda gadać ,tylko tyle że nic na komp nie wskoczyło..czysty debilizm

Znam to znam to Tyle, że na takie triki to się dawałem nabrać jak byłem mały Już sam link wygląda dziwnie ale i tak najdziwniejsze jest to gdy pisze Ci ktoś, ze znalazł Twoje zdjęcie na jakims tam serwisie,a którego Ty nie umieszczałeś Może krasnoludki A z blokowaniem numeru to tak jak tu pisza koledzy nic to nie daje bo ta osoba bierze sobie nowy numer i po sprawie. MOżna wszak zablokowac wiadomości od nieznajomych ale czy to jest rozwiązanie? Najlepiej nie klikać tam gdzie nie trzeba

ja złapałem sie na takiego linka 2 razy za pierwszym razem format bo mi strasznie zrył wimdowsa. ale sie udało usunoc.
a za 2 razem poszło gładko.
wywaliłem go z rejestru i z auto staru i w z pilkuw.
po pierwsz niewolo wyłonczac kompa bo jak sie wyłonczy to ci system zje bo zdoła zainstalowac.
najlebszy sposub to nie klikac na taki link.

jankolo wrote:

Log robiony starą wersją programu hijackthis, nieaktualizowany Internet Explorer, a brak firewalla chyba nie jest powodem do dumy?

Nowsza wersja pokazuje tak samo. Internet Explorer to fikcja istniejąca tylko w śladowych kluczach rejestru - potrzebna tylko po to by kontrolki AX "nie hałasowały", a brak firewalla przy zewnętrznym IP to własnie jest powód do dumy, biorąc pod uwagę zerową liczbę jakichkolwiek infekcji i potencjalnych ataków (SKUTECZNYCH) na system. Można by tu jeszcze wiele napisać, ale po co, co nie?

witam też dostałem
ale mam sygate Personal firewall Pro.
po linku skopiował sie pliczek na kompa zwał sie a.exe poczym chciał dostać dostęp do netu,,,,nie dostał ,,,i nic sie nie stało potem o 2giej Microsoft antispywer coś sobie wywalił,,,a ja jeszcze odnalazłem a.exe,,,i wywaliłem,,,i od tej pory żadnych jaj nie ma i nie było,,,,svchost to ma zablokowany dostęp do netu cały czas...wind XP SP2 i brak anty wira...

kacz2n wrote:

Ja też na gg dostałem coś takiego:
mam na imie Karolina,znalazlam cie na fotka.pl
jestes wspaniały, chce cie poznac!
moja fotka jest tutaj
XXXXXXXXXXXXXXXXXXXXXXX

Oczywiście po kliknięciu na link mnóstwo spyware i trojanów.

Miałem dokładnie to samo, no może prawie dokładnie (zamiast słowa "wspaniały" było "zaje...sty" ). Po pierwsze, nie mam swojego konta na www.fotka.pl, a po drugie przypomniałem sobie o pewnym artykule - http://hacking.pl/5641. Adres IP się zgadzał...

Przykładów może być masa jak sądzę ja miałem taki dziś:

Quote:

9934282 7:54:45
hej, jestes?
Toni 8:00:28
xxxxxxx
ooo nareszcie
9934282 8:00:40
to ja, Anka
Toni 8:00:50
xxxxxxx
9934282 8:00:52
zagramy w skojarzenia
9934282 8:01:01
www.skojarzenia.pl
9934282 8:01:10
wchodz, ja juz jestem
Toni 8:01:25
nie klikam w żadne linki
nie ze mną te numery

Zrobiłem taki , a nie inny wybór .
Gdybym kliknął na ten link to kto wie co się za tym kryje ?

Chillout U mnie też było zaje..sty. Tylko jak wklejałem na forum to się automatycznie zmieniło

Siema...
Czy juz nikt nie używa Ad Aware??
U mojej znajomej wystarczyło to:
start>uruchom> msconfig
sprawdzam uruchamianie przy starcie, jak są "niechciane" progzy, to odznaczam i nie zamykam
start>uruchom>regedit
szukam syfów co były w msconfigu w uruchamianiu
wywalam
odpalam ad-aware (bo 3 króli [menedżer zadań]nie działało, niby admin wyłączyl, a jestem na koncie admina hehe) skanuje
wywalam syfy
prawdopodobnie po tym wyskoczy ze po ponownym uruchomieniu dokończy bo w tle pracuja xxxx programy
po wywaleniu 3 króli zaczyna działać <jupi>
wyłączam wszystkie procesy które są w msconfigu, a które działają w tle
wywalam te pliki z dysku
reset kompa
adaware dokańcza (nie koniecznie czasami nie musi, bo od razu wszystko usunie)
no i Nod'em sprawdzam jeszcze czy nie ma syfu
FiNiTo
jak komuś pomogło to miło mi

No proszę - dzisiaj owa "Karolinka" odezwała się do mnie po raz kolejny (już z innego numeru GG). Stało się to DOKŁADNIE o godzinie 00:00:00, a więc nie ma żadnych wątpliwości, że te wiadomości na GG rozsyła bot. Podobnie jak poprzednio, zachęcała (zachęcał?) mnie do kliknięcia w podany link. To już się powoli robi nudne...

zastanawia mnie jedno... skad bot znal Twoj czas systemowy...
Pozdro!

witam
leze sobie w lozku godzina 4.30 he he.spie jedno oko otwarte hasam sobie po forum (od kiedy mam komputer musze wszystko wiedziec wiec nie spie)glosnosc mojego komputera na max zostalo za dnia.kolega sampo zamiescil link co tam dostal klikam i.avast komunikat na ekranie wirus komputer wyje syrena(90%instalacji expilot co chcesz zrobic) jest 4.30 cala rodzina pobudzona mysle ze sasiedzi tez .o cisnienie mi sie podnioslo mialem kawe wypic o godzinie6.00 wypilem o 5.00 he he.przeskanowalem kompa avast wykryl expilota /scan HijackThis porownanie logow z przedwczorajszym nie zamieszczam jest mysle dobrze.czy wy nie wiedzieliscie o tym ,gdzie takie linki zamieszczacie.kolego sampo przeskanuj swoj komputer avastem jest za free

Moderated By jankolo:

Za ten post kolega otrzymuje kolejne ostrzeżenie. proponuję koledze założenie blogu

Ostatnio wskutek lenistwa też dałem się zarazić tałatajstwem ibm00001.exe -- ważne jest, żeby od razu zareagować -- ProcessViewer i jeżeli zna się swój system od razu widać, jak infantylnie są pisane takie wirusy -- kilkanaście procesów z C:\Program Files\.. (a cały %ProgramFiles% jest na innym dysku), C:\uqmz, C:\Windows\uqmz etc. Trzeba pokillować i pokasować tak, żeby nie wrócił i.e. prefetch w WinXP i SFC w Win2k. ibm00001.exe -- gdy błąd, że nie ma przy starcie systemu, trzeba pójść do HKLM\Software\Microsoft\Windows NT\Winlogon i poprawić klucz Shell=explorer.exe. Na przyszłość zadbać o system jak kol. longines. Niewielu wie, że nawet win2k ma wbudowanego firewalla -- jest dość schowany ale utrudnia życie trojanom. Stworzyć sobie użytkownika z prawami Użytkownicy (albo zaawansowani) i jedno konto Goście -- i potem wszelkie cracki, dziwne app otwierać w tym kontekście (usługa Runas).

Najpopularniejsze pliki od Karolinki to:
paytime.exe
timesquare.exe
ibm00001.exe
ibm00002.exe
ibm00003.exe
kernels64.exe -> ten jest wredny blokuje menedżera zadań

Dodatkowo możecie otrzymać: VX2.BetterInternet

oraz trojan:
Backdoor.Haxdoor i SpySheriff

Więc lepiej Karolinę ignorować

Grany wrote:

zastanawia mnie jedno... skad bot znal Twoj czas systemowy...
Pozdro!

Hmm, dobre pytanie . Być może obaj korzystamy z systemu Ubuntu 5.10 i mieliśmy zsynchronizowane zegarki z tym samym serwerem czasu...

Tak sobie przejrzałem kilkanaście pierwszych postów i dziwi mnie tylko jedno: dlaczego wszyscy wiedząc że programem GG mozna złapać różne świństwa nadal go używają? I chyba wiem - bo są fajne emotikony . Zmieńcie komunikator a skończą Wam się problemy; i nie mówię tu o tym, żeby rezygnować z sieci GaduGadu ale z komunikatora.
Od czasu jak wywaliłem komunikator GG na rzecz MirandaIM+plugin GG skończyły mi się problemy. No i dla mnie te głupawe uśmieszki graficzne nie są najważniejsze w rozmowie. A znając ich zapis w ASCII nie ma problemów komuś przesłać usmieszek - trzeba tylko chcieć (i nie klikać idiotycznie jak małpa w linki które się dostanie od nieznanych osób!)

Klient (jasne że to bot) znów szaleje. Kiedyś bawiłem się w analizę jego zachowań i prześledziłem katalog publiczny gg pod kątem występowania imienia Darek i pseudo Darson lat 22, oraz Karolina pseudo Karolinka lat 21 (była jeszcze Wiktoria pseudo WiKtOrIa i Marek pseudo Lover)

Teraz ciekawostka: szukając w katalogu publicznym imię: Karolina, pseudo: Karolinka + tylko wyszukiwanie osób dostępnych, nie znajdziemy karolinki z mojej "czarnej" listy, pomimo że faktycznie jest ona dostępna... dziwne.
W załączniku przesyłam listę Darków Darsonów którzy teraz są Karolinkami (to jakby ktoś chciał poobserwować zachowanie bota). Oczywiście lista stale ulega modyfikacjom.

A ja mam pytanie czy ten "robal" namiesza też, gdy się go dostanie będąc na koncie zwykłego użytkownika (nie administrator)?
Nie mam ochoty sprawdzać.

witam, właśnie otzymałem to na gg w firmie 7863729 (10:51)
twoje foto jest na tej stronie www.dephine.org/mlnjsoq2gp8t niestety wczoraj dostałem do domu no i kliknąłem:cry: mks, ade-aware, ale jeszcze coś siedzi bo nie mam dostępu np do tapety i nie można przywrócić systemu, czym to dokładnie wyczyścić? dziękuję za pomoc

Ja tylko dla informacji powiem, że niestety już zdarzyło mi sie kliknąc i... mam NOD i nic nie przeszło. Wiem bo sprawdzałem dokładnie

Witam.
Niestety i mnie to spotkało,nawet dwa razy,ale za drugim razem odrazu się połapałem.Pierwszy raz to była słynna już Karolinka ze zdjęciem,ale nie swoim a moim,że niby gdzieś wygooglowała moje zdjęcie i link do tego zdjęcia,ja nie miałem jeszcze z takimi przypadkami doczynienia no i kliknołem,no ispadł deszcz virów a Kaspersky aż się "gotował",pozostał tylko nie wyjaśniony problem (do dzisiaj,teraz już wiem) z menedżerem systemu,ale reinstal pomógł.Za drugim razem (tydzień temu) odezwała się Kasia i jak u kolegi wyżej chciała pograć w skojarzenia,tym razem poszło jedno pytanie sprawdzające do Kasi i po braku odpowiedzi troszkę łaciny:D.Link oczywiście odpóściłem sobie.Narazie mam spokuj,ale myślę o zamianie GG na Mirandę.
Pozdrawiam

No prosze, A podobno GG Wprowadziło zabezpieczenie (limit) do iluś tam (niepamientam) wysyłanych linków. Przed spamowaniem !

JA ostani dostałem od numeru 8295063 zaczeło się od Witam dostałem linka http://www.twojatwarz.com/?numer=10294 i kontak się urwał.

et22 też to dostałem dzisiaj rano od numeru 9543066

hytp://www.twojatwarz.com/?numer=10294

tak się zastanawiam, może by uruchomić jakiegoś brutusa i zmienić hasło ftp.

Ludzie, nowe wersje programów pisze się po to, aby dziąły lepiej, stabilniej, bespieczniej. GG w nowych werjach nie pozwala przyjmować linków od nieznanych numerów. Więc pomyślcie trochę nad nowym GG 7, i nie będziecie się bać żadnych linków od nieznajomych.

R_Przemek Ja bez wahania nie otworzyłem

No tak mi także ta "Karolinka" namiaszała ale na szczęscie wiedziałem oco chodzi bo czyam to forum i na link nie kliknąlem , jesli chodzi co pisała to już zamieszczam :
9189154 16:51:24

witam

M@rcin 16:51:36

czesc kto ty

9189154 16:51:38

twoja fotka jest tutaj www.shrinkster.com/dg3

M@rcin 16:52:19

wiem ze wysylasz wirusy nie musisz mi mowic !

i tak się kapnąłem no i nie kliknąlem


Na gg może cie se ustawić
-Nie pokazuj wiadomosci od nieznajomych
no i wam nie będzie ta "karolinka" chodzić wirusami po kompie