Spyware... jak usunąć??

[XvX]

System:

Win XP PRO SP1

 

Monitoring:

Spyblaster

Zone Alarm

 

Od pewnego czasu co chwilę pojawia mi się komunikat WiXP (po angl) że prawdopodbnie mam Spyware, i czy chcę ściagnąć anty spy.

Jednak większość to jakaś płatna kiszka. Już skanowałem kilkakrotnie cały komputer Ad-awarem i Spybotem z najnowszą bazą danych i po usunięciu nic się nie zmieniło.

Poza tym przy uruchamianiu systemu:

http://www.lo5.ids.bielsko.pl/~tarasiewiczd//Forum/spy2.JPG

po naciśnieciu OK otwiera się "Narzędzie konfiguracji systemu"

 

Kilka programów nie chce mi sie w ogóle odpalac (np. Security Taskbar Manager - więc nie mogę zidentyfikować aktualnych procesów)

Posiadanie spy(ad)ware objawia się wyśiwetlaniem pop-upów (mimo, że mam Google toolbara, i nawet gdy nie korzystam z przeglądarki) między innymi:

http://www.adultgambling.net/play.html

http://www.findspyware.net/scan0.php

 

Natomiast czasem, gdy otorzę jakąś stronę, zamiast niej szybkow wskakuje mi jakas inna, np. :

http://www.money-athome.net/

http://www.play-with-girls.com/games.html

 

Przeskanowałem kompa HijackThis!'em (v.1.97.7)

oto log:

 

 

Logfile of HijackThis v1.97.7Scan saved at 20:11:58, on 2004-11-17Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:WINDOWS2System32smss.exeC:WINDOWS2system32csrss.exeC:WINDOWS2system32winlogon.exeC:WINDOWS2system32services.exeC:WINDOWS2system32lsass.exeC:WINDOWS2system32svchost.exeC:WINDOWS2System32svchost.exeC:WINDOWS2System32svchost.exeC:WINDOWS2System32svchost.exeC:WINDOWS2system32spoolsv.exeC:Program FilesMKSBinNetMonSv.exeC:Program FilesMKSBinmksmonsv.exeC:WINDOWS2System32nvsvc32.exeC:WINDOWS2System32svchost.exeC:WINDOWS2System32wdfmgr.exeC:WINDOWS2Explorer.EXEC:WINDOWS2SOUNDMAN.EXEC:Program FilesZone LabsZoneAlarmzlclient.exeC:Program FilesMKSBinmks_menu.exeC:Program FilesNokiaNokia PC Suite 5DataLayer.exeC:Program FilesCommon FilesNokiaNCLToolsNclTray.exeC:Program FilesQuickTimeqttask.exeC:Program FilesMessengermsmsgs.exeC:WINDOWS2twain_32C6U14KWATCH.exeC:WINDOWS2System32wuauclt.exeC:Program FilesCommon FilesNokiaServicesServiceLayer.exeC:WINDOWS2system32ZoneLabsvsmon.exeC:Program FilesInternet Exploreriexplore.exeC:WINDOWS2System32pxhping.exeC:WINDOWS2System32mqbckup.exeC:totalcmdTOTALCMD.EXEC:Documents and SettingsMaciosPulpitInternetHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaR3 - Default URLSearchHook is missingO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:Program FilesSpybot - Search & DestroySDHelper.dllO2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dllO2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:Program FilesXiNetTransport 2NTIEHelper.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWS2System32msdxm.ocxO3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWS2System32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWS2System32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM..Run: [NeroCheck] C:WINDOWS2System32NeroCheck.exeO4 - HKLM..Run: [Zone Labs Client] "C:Program FilesZone LabsZoneAlarmzlclient.exe"O4 - HKLM..Run: [MKS_MENU] C:Program FilesMKSBinmks_menu.exeO4 - HKLM..Run: [DataLayer] C:Program FilesNokiaNokia PC Suite 5DataLayer.exeO4 - HKLM..Run: [Nokia Tray Application] C:Program FilesCommon FilesNokiaNCLToolsNclTray.exeO4 - HKLM..Run: [MSConfig] C:WINDOWS2PCHealthHelpCtrBinariesMSConfig.exe /autoO4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottimeO4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /backgroundO4 - Startup: SpywareBlaster.lnk = C:Program FilesSpywareBlasterspywareblaster.exeO4 - Global Startup: Watch.lnk = C:WINDOWS2twain_32C6U14KWATCH.exeO8 - Extra context menu item: &Download with &DAP - C:PROGRA~1DAPdapextie.htmO8 - Extra context menu item: &Google Search - res://C:Program FilesGoogleGoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward Links - res://C:Program FilesGoogleGoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://C:Program FilesGoogleGoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: Edit with &XML Spy - C:Program FilesAltovaxmlspyspy.htmO8 - Extra context menu item: Similar Pages - res://C:Program FilesGoogleGoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Translate into English - res://C:Program FilesGoogleGoogleToolbar1.dll/cmtrans.htmlO9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)O9 - Extra button: Edit with XML Spy (HKCU)O9 - Extra 'Tools' menuitem: Edit with XML Spy (HKCU)O15 - Trusted Zone: http://*.63.219.181.7O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cabO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:counter.cabO16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:x.cabO16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CABO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096295973218O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab27513.cabO16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://autos.msn.com/components/ocx/exterior/Outside.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540001} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[Neo_x]

uruchom kompa w trybie awaryjnym i odpal ad-aware z najnowszymi aktualizacjami :)

[paulo]

Do tego jeszcze Spybot i CWShredder i powinno być ok ... do czasu złapania następnego świństwa. :wink:

[Skorpion]

polecam takze Stinger ten programik uratowal mnie z krytycznej sytuacji wirusowej :D pozatym powylaczaj nieznane Ci do tad programy z msconfig i wtedy odpalaj anty wirusy

[Sikor]

Fakt, Stinger McAfee'go czasami potrafi pomóc.

No to jeszcze podrzucę linka do niego:

http://vil.nai.com/vil/stinger/

[Wojtello]

Running processes:

C:WINDOWS2System32smss.exe

C:WINDOWS2system32csrss.exe

C:WINDOWS2system32winlogon.exe

C:WINDOWS2system32services.exe

C:WINDOWS2system32lsass.exe

C:WINDOWS2system32svchost.exe

[/code]

To są procesy systemowe

 

http://www.liutilities.com/products/wintas...slibrary/lsass/

http://www.liutilities.com/products/wintas...slibrary/csrss/

http://www.liutilities.com/products/wintas...sslibrary/smss/

 

chociaż w necie można znaleźć że to groźne wirusy

http://www.kaspersky.pl/about.html?s=news&newsid=198

[Kolobos]

Wywal to:

 

Trojan:

C:WINDOWS2System32pxhping.exe

C:WINDOWS2System32mqbckup.exe

 

 

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:Program FilesXiNetTransport 2NTIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWS2System32msdxm.ocx

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O4 - HKLM..Run: [MSConfig] C:WINDOWS2PCHealthHelpCtrBinariesMSConfig.exe /auto

Jezeli nie uzywasz Messengera to tez wywal:

O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background

O8 - Extra context menu item: &Download with &DAP - C:PROGRA~1DAPdapextie.htm

O8 - Extra context menu item: Edit with &XML Spy - C:Program FilesAltovaxmlspyspy.htm

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: Edit with XML Spy (HKCU)

O9 - Extra 'Tools' menuitem: Edit with XML Spy (HKCU)

O15 - Trusted Zone: http://*.63.219.181.7

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab

O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:counter.cab

O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:x.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096295973218

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntr...ro.cab27513.cab

O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://autos.msn.com/components/ocx/exteri...ior/Outside.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540001} - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

 

 

To chyba tyle, na przyszlosc zainstaluj sobie Spyware Blaster i odwiedzaj www.windowsupdate.com :-)

[AirMax]

Panowie juz caly dzien sie mecze z moimi trojanami.. probowalem juz chyba wszystkiego.. Ad-aware6.0 prof, SpybotSD , nawet w trybie awaryjnym skanowalem.. pozniej MKSem.. i NIC! ciagle ten shit sie na nowo skads pojawia i za ChRL niemoge sie tego pozbyc.. zaczyna mnie to irytowac;] w IE sie jakis "search for.." pojawia, a na w windzie zamiast tapety mam czarne tlo z napisem w ramce " WARNING!! YOU'RE IN DANGER..costam... SECURE YOURSELF RIGHT NOW! " dobrze ze chociaz ikonki widac HEEEELP!!

(win XP , SP1)

[Skorpion]

sproboj wylaczyc przywracanie systemu i jeszcze stingerem przeskanowac dysk, jezeli nie zdola wywalic trzeba bedzie zrobic format c .Po formacie odrazu sie instaluje jakiegos dobrego a malo zracego ramu anty-wira typu AntiVir Personal Edition, nastepnie instalujesz Sp2, a w czasie instalacji roznego rodzaju sterownikow itd. sprawdzasz co raz dysk >>>>Ad-Ware,Spy-Bot,Stinger ktore dobijaja resztki syfu. Moim zdaniem formatka jest najlepszym rozwiazaniem, nie mowie ze jak pojawi sie jakis wirus to odrazu formatowac, ale jak juz jest sytuacja krytyczna to wg. mnie meczenie sie z syfem ktory wystarczajaco sie zagniezdzil zajmuje wiecej czasu niz formatka. Trzeba poprostu dbac bardziej o system :aktualizacje, skanowanie ad ware co pare dni, sp2 ....

 

P.S zajrzyj do msconfig i powylaczaj wiekszosc progsow nawet ktore wygladaja nie podejrzanie!

[csh]

Na Twoje problemy i zmagania jest jedna rada: skoncz z IE!!! Sa o niebo bezpieczniejsze przegladarki www, chocby operka czy firefox!!! Odkad sie na nie przerzucilem, zapomnialem o takich problemach jak Twoje.

[robak]

http://forum.purepc.pl/viewtopic.php?t=103618

zobacz ostatni post - dotyczy właśnie tej podmienionej tapety