Fake Spybot S&D - kako ga se rješiti

[Mario92]

Uključim komp i nakon minutu pojavila mi se poruka "Spybot Search And Destroy has stopped working" i pita me da li da potražim online pomoć ili da ugasim program. I ne bi bilo ništa čudno kad bi ja imao instaliran S: S&D.

Provjerio sam nekoliko puta komp sa friško updejtanim nodom32 i Malwarebyteovim Anti-Malware i nitko nije ništa našao. Inače, s vremena na vrijeme čujem onaj klik u Internet Exploreru mada ga ne koristim.
U Task Manageru nisam našao nikakav čudan proces, u msconfig sam pod startup imao neki "sysinfo" sa komandom u Temp folderu. Tamo sam izbrisao sve pa sam mislio da sam rješio problem. Analizirao sam procese s HijackThis i također nisu našli ništa sumnjivo.

Probao sam googlati "wsy.dll" jer je to dio komande sumnjivog "sysinfo" i nije našao ništa, samo mi je predložio rezultate za "wsx.dll" što je jedna vrsta keyloggera.

kompletni path za taj program

Također, ne znam zašto no ne radi mi Search.

EDIT: TSPView niti Process Explorer ne pokazuju ništa sumnjivog.

[fico45]

Meni se Spybot ne pali kao tebi, ali sam citao u capisu jednom nedavno da moze biti da imas zarazeni winamp! Tak da ga probaj prebrisat i ponovo instalirat (ako ga imas). Moguce je da imas nesto zarazeno, pogledaj malo na kojem ti se programu pali uvijek Spybot S&D pa mozda dojdes do zarazenog file-a.

[Smuchac]

Lijepo s Tune up uđi u startup manager i tom smeću onemogući da se podigne s windowsima...

[yager]

Mislim da je HijackThis bolji od TuneUp-a
Skini, poskeniraj i riješi s njima
http://www.hijackthis.de/

gore u desnom kutu ti je download, a na stranici možeš log file kopirat i on ti preporuči što obrisat što ostavit ako ne znaš sam

[Mario92]

Lijepo s Tune up uđi u startup manager i tom smeću onemogući da se podigne s windowsima...

Jesam, provjerio i s msconfig i s tuneupom.

Mislim da je HijackThis bolji od TuneUp-a
Skini, poskeniraj i riješi s njima
http://www.hijackthis.de/

gore u desnom kutu ti je download, a na stranici možeš log file kopirat i on ti preporuči što obrisat što ostavit ako ne znaš sam

Analizirao sam procese s HijackThis i također nisu našli ništa sumnjivo.

Ovako, da mi se nije pojavila informacija o rušenju aplikacije, ne bih znao da uopće imam spyware.
To je valjda jedini mogući način da ga uopće nađem, evo čudo se desilo

Provjerio servise, startup listu i sve, nema ga više (navodno) no i dalje čujem zvuk klika. Sve torrente pregledavam s nod32 i brišem ih ASAP.

[georgy]

Ugasi zvučnike i problem rješen instantno
Jesi li skenirao u safe modu?

[Mario92]

Skenirao sam u Safe Modeu i sa nodom32, Malwarebytom te sa pravim Spybotom: S&D.

I dalje čujem taj klik u pozadini.

[//Wild-Boy\\]

...klik se čuje samo kada si na internetu, tj. kada ti je otvorena neka stranica...ili...

[Mario92]

Čuje se i dok radim nešto drugo (Office, igrice itd.)

TJ. čuo se
Prošvrljao ponovno sa Spyboto u Safe Modeu, našao je 3 đubradi koje je eliminiro tako da ne čujem više zvuk. No bez obzira na to, Smuchac, ne ključaj temu, nisam siguran da li je to to

[Mario92]

Madrfakr is bek

Opet čujem klikanje i opet sa crasho neki fajl koji se prikazuje kao Spybot: S&D
Pravi Spybot sam izbrisao, dakle nije on.

Ovaj puta sam kopirao log:

Code:

Problem signature:
  Problem Event Name:	APPCRASH
  Application Name:	rundll32.exe_31418333Wsy.dll
  Application Version:	6.1.7600.16385
  Application Timestamp:	4a5bc637
  Fault Module Name:	KERNELBASE.dll
  Fault Module Version:	6.1.7600.16385
  Fault Module Timestamp:	4a5bdaae
  Exception Code:	0eedfade
  Exception Offset:	00009617
  OS Version:	6.1.7600.2.0.0.256.1
  Locale ID:	1050
  Additional Information 1:	0a9e
  Additional Information 2:	0a9e372d3b4ad19135b953a78882e789
  Additional Information 3:	0a9e
  Additional Information 4:	0a9e372d3b4ad19135b953a78882e789

[yager]

A da formatiraš komp?

[Mario92]

dabl post....

[Mario92]

Uh, to je problem...
Napokon sam uspio srediti da sve funkcionira i radi, optimizirani winsi najbolje što mogu tako da je problem...

*ebat ga....

Pozdrav s novih Windowsa...

[Mario92]

Moram opet novi post napisati...

Opet se pojavio... Pa to je nevjerojatno!

[yager]

Hahahahhaa
Edit stari, edit
Sad su ostale dvije mogućnosti jedino mislim, ili je u samim windowsima ili u nekom programu koji si instalirao.

[Mario92]

Hahahahhaa
Edit stari, edit
Sad su ostale dvije mogućnosti jedino mislim, ili je u samim windowsima ili u nekom programu koji si instalirao.

Windowsi nisu, definitivno. Od programa sam samo imao antivirus i antimalware program.

Znam za Edit no moram napomenuti važnost svakog posta

EDIT (evo ga ) - i na starom XP-u je isto bio spyware. Sad na oba kompa idu novi windowsi.
Jako čudno, nitko ga ne može detektirati, nemoguće ga je maknuti, može biti vrlo opasan... preporučio bih da si malo pogledate u Temp folder na kompu.

Code:

C:/Documents and Settings/Korisnik/AppData/Local/Temp

-> pogledajte za fajlovm xxxxxxxxWsy.dll (x su brojevi, svaki puta su drugačiji)
Fajl je velik 22.727 kilobajta, može se izbrisati no pojavi se svaki puta nakon restarta.

Specifikacije:

[X-FusIOn]

hmmm, ovako mozda nisam dobro sve procitao mozda si ovo radio, no ovako...
daj nam screenshot svih procesa koji su ti aktivni kada je racunar u idlu.

ako znas tacan naziv tog "procesa" ukini ga. zatim izbrisi sve njegove tragove (naveo si gore da se mogu izbrisati ali vracaju se nakon restarta no nvm)

zatim iskljuci sve sumnjivo pod karticom startup kod run>msconfig
tu budi pazljiv da ne iskljucis nesto sto ne treba

izbrisi temp folder, ne samo njegov sadrzaj nego citav folder sa shift delete, ukoliko ti kaze da ne moze izbrisati neki fajl iz tempa onda to odblokaj sa unlockerom i onda obrisi

nakon toga pokreni neki antivirus ili sta vec, i skeniraj obavezno sve diskove i particije, kod opcija skeniranja vjerovatno imas opcije poput brzog i temeljitog skeniranja, stavi na temeljito i otidji na kafu od par sati

imas li neki externi HDD? ukoliko imas postoji mogucnost da ti je na njemu taj napasnik.
pa da se nakon formatiranja racunara ponovno vrati na sistem. (predpostavljam da tu externu memoriju ne formatiras niti skeniras).

imas li neke simptome poput sporog i teskog logina na msn, sporog otvaranja cak i jednostavnih stranica poput googla.
ukoliko kada kliknes na neki link ili na neku stranicu browser ne obavi trazenu radnju ali ti ipak nakon par sekundi u donjem lijevom uglu pise "Done" a ostavi te na istoj stranici, onda imas nesto slicno sto sam i ja imao, neki napasnici o kojima se malo zna i fakticki su "undetectable"

keyloggeri sa nazivom Wsy.dll se najcesce zovu "Perfect Keylogger"

ukoliko otvaras cesto stranice na kojima su tete sumnjivog morala onda vjerovatno odatle kupis te napasnike.

[Mario92]

Hvala na trudu X-fjušn, no stavio sam nove windowse na kompove.

EDIT: pa *ebemu Windowse i sve!!!

Formatiram sve diskove, stavim friške windowse i spyware se odmah pojavio!!!!!!!!

Windowsi nemogu biti zato kaj rade na 10 kompova i nigdje problem. Svi winsi su instalirani sa istog DVD-a.

Majku mu *ebem...

[X-FusIOn]

napisah ti gore ali evo ponovo cu. dakle formatiras ok, eh onda, predpostavljam da si napravio backup podataka??? to jeste snimio si sve sto ti je vazno na neki usb (stick,hard disk) ili mozda na opticke medije ili mozda na mmc memoriju (nvm), uglavnom, vjerovatno kada vracas ponovno svoju muziku slicice i sta vec sve na pc odatle vratis i virus jer si i njega "backupovao". kuzis me?

[Mario92]

napisah ti gore ali evo ponovo cu. dakle formatiras ok, eh onda, predpostavljam da si napravio backup podataka??? to jeste snimio si sve sto ti je vazno na neki usb (stick,hard disk) ili mozda na opticke medije ili mozda na mmc memoriju (nvm), uglavnom, vjerovatno kada vracas ponovno svoju muziku slicice i sta vec sve na pc odatle vratis i virus jer si i njega "backupovao". kuzis me?

Hvala na pomoći no rješio sam ga pomoću regedita

Izbrisao sam ključeve u registryju, kompletno obrisao Temp folder i nema više ni s od spyware-a.