Zrobilem skanowanie tym programem i okazalo sie ze mam pelno jakis programow szpiegowskich!

Na koncu pokazalo mi sie cos takiego i co ja mam z tym zrobic???

Ad-Aware SE Build 1.05

Plik dziennika utworzony dnia:17 listopada 2004 17:30:57

Created with Ad-Aware SE Personal, free for private use.

Użyty plik definicji:SE1R19 14.11.2004

Ze względu na usunięcie wpisów za pomocą progsa

i z powodu długości posta - skasowano wykaz „znalezisk”.

Asterisk

Tu są tylko sprawdzone porady !

Zaznacz wszystko i usuń.

I na czy polega ta porada ??

Przenoszę ===: >> Problemy

Czy jak wszystko usune to nic sie nie stanie??? Czy na 100% bedzie windows potem dzialal??? Przesyalem jescze LOGA:

Logfile of HijackThis v1.98.2

Scan saved at 17:37:38, on 2004-11-17

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\YDP\YdpDict\Watch.exe

C:\Program Files\The Bat!\thebat.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\eMule\emule.exe

D:\Program Files\Weather Watcher\ww.exe

C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/82.179.166.192/search.php?v=6&aff=169805

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:/82.179.166.192/index.php?v=6&aff=169805

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

O1 - Hosts: 82.179.166.192 new-search.net

O1 - Hosts: 82.179.166.190 x-google.net

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM…\Run: [WindowsRegKeys update] winsysi.exe

O4 - HKLM…\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM…\Run: [wpkontakt] C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe -autostart

O4 - HKLM…\RunServices: [WindowsRegKeys update] winsysi.exe

O4 - HKCU…\Run: [WindowsRegKeys update] winsysi.exe

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [WITaj!] C:\Program Files\WITaj!\Wit2000.exe /jeden

O4 - Startup: PowerGG.lnk = C:\Program Files\Gadu-Gadu\PowerGG.exe

O4 - Startup: The Bat!.LNK = C:\Program Files\The Bat!\thebat.exe

O4 - Startup: WITaj! 2000.lnk = C:\Program Files\WITaj!\Wit2000.exe

O4 - Global Startup: Aktywacja Testera.lnk = C:\Program Files\YDP\YdpDict\Watch.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:osuxyz.mht! http://213.158.119.18/auto/loudklite.chm::/bridge-c46.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll

O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

Zastanawia mnie : (chyba wywalić)

Z msconfig odznacz: NeroCheck, nwiz.exe

Spyware: (wywal)

O4 - HKLM…\Run: [msbb] c:\temp\msbb.exe

Jakaś kontrolka:(wywal)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:osuxyz.mht! http://213.158.119.18/auto/loudklite.chm::/bridge-c46.cab

masz na mysli tego LOGA???

ALE CO Z TYM AD AWARE CZY MOGE WSZYSTKO WYKASOWAC???

Shark - nie wszystko naraz.

Trzeba po kolei.

Zacznij od AdAware. Zgodnie z sugestią Raq - usuń.

Ale przed tą akcją sprawdź ustawienia programu.

Domyślnie AdAware poddaje znalezione pliki czy wpisy

kwarantannie, co umożliwia póżniejsze przywrócenie

w razie problemów z systemem.

Chodzi o to, czy przez przypadek tego nie zmieniłeś.

Czasem może się zdarzyć,że AdAware zażąda

restart kompa, gdyż nie będzie mógł inaczej

tego wykasować - to też to zrób

W ustawieniach zmieniliem tylko jezyk. Czy mam poddac kwarantannie czy usunac wszystko???

Usuń !

Napisałem - poddać kwarantannie.

Dlaczego - masz wyżej

TO poddalem kwarantannie!

Nie usuwaj z kwarantanny.

Na to zawsze jest czas - zrobisz to po paru, czy

parunastu dniach, gdy okaze się, że użycie

AdAware nie narobilo dziadostwa .

Pierwszym testem będzie restart kompa.

Wyłącz go prawidłowo i wystartuj ponownie.

Zrestartowalem kompa!

Narazie nic sie nie dzieje!

Co teraz mam zrobic???

Co daje kwarantanna procz tego ze pliki lub wpisy mozna przywrocic???

Czy te pliki nadal sa grozne dla kompa jesli sa poddane kwarantannie???

Nic - zamknąć aplikację.

Jak chcesz - dopiero teraz przeskanuj sobie HIJackiem

To jasne - nie są grożne dla kompa, a kwarantanna ma dwa cele:

• unieszkodliwić spyware;

• umożliwić przywrócenie, w razie problemów z kompem.

Zrobilem HIJacka:

Logfile of HijackThis v1.98.2

Scan saved at 18:30:56, on 2004-11-17

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\YDP\YdpDict\Watch.exe

C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

C:\Program Files\The Bat!\thebat.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

D:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/82.179.166.192/search.php?v=6&aff=169805

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:/82.179.166.192/index.php?v=6&aff=169805

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

O1 - Hosts: 82.179.166.192 new-search.net

O1 - Hosts: 82.179.166.190 x-google.net

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM…\Run: [WindowsRegKeys update] winsysi.exe

O4 - HKLM…\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM…\Run: [wpkontakt] C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe -autostart

O4 - HKLM…\RunServices: [WindowsRegKeys update] winsysi.exe

O4 - HKCU…\Run: [WindowsRegKeys update] winsysi.exe

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [WITaj!] C:\Program Files\WITaj!\Wit2000.exe /jeden

O4 - Startup: PowerGG.lnk = C:\Program Files\Gadu-Gadu\PowerGG.exe

O4 - Startup: The Bat!.LNK = C:\Program Files\The Bat!\thebat.exe

O4 - Startup: WITaj! 2000.lnk = C:\Program Files\WITaj!\Wit2000.exe

O4 - Global Startup: Aktywacja Testera.lnk = C:\Program Files\YDP\YdpDict\Watch.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:osuxyz.mht! http://213.158.119.18/auto/loudklite.chm::/bridge-c46.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll

O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

Pobierasz programy wymienione na dole.

Wyłącz przywracanie systemu.

Startujesz komp. w trybie awaryjnym.

Za pomocą HT usuń ( naciśnij Fix checked)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/82.179.166.192/search.php?v=6&aff=169805

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:/82.179.166.192/index.php?v=6&aff=169805 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net* 

O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts

O1 - Hosts: 82.179.166.192 new-search.net

O1 - Hosts: 82.179.166.190 x-google.net 

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) 

O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe 

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe 

O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe

O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:osuxyz.mht!http://213.158.119.18/auto/loudklite.chm::/bridge-c46.cab O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

Znajdz na dysku plik trojana winsysi.exe

Szukaj w pliach ukrytych . Jak ma proces to ubij.

Usuwasz go.

Uruchamiasz programy które załatwią sprawę definitywnie.

1. CWShredder Version 2.0

Pestpatrol

instrukcja

Pobierasz do niego najnowsze bazy danych

WinPatrol 8.0

Na zakładce Opcje klikasz Pokaż plik HOSTS… Otworzy sie w notatniku.

Usuwasz wszysko za wyjątkiem 127.0.0.1 localhost.

Resetujesz kompa i sprawdzasz jak działa.

PHYLBY ty piszesz o tym moim LOGU??? Sory ale ja w tych sprawach kompletnie sie nie znam!

HT = HijackThis

Chcesz prościej >>>> wywal kompa przez okno. Sorry to trzeba przejśc , inaczej trojany zostaną.

To nic skomplikowanego.

Czy mam 100% pewnosc ze komp bedzie nirmalnie dzialal jak po usuwam to wszystko??? CZY TZREBA TO ROBIC W TRYBIE AWARYJNYM???

Możesz robić w trybie normalnym ale będziesz miał kłopoty z usunięciem niektórych wpisów. Tak że lepiej posłuchaj Phylbego i zrób to w awaryjnym.

Przed dokonaniem operacji kasowania wskazane jest również wyłączyć przywracanie systemu w celu uniknięcia powrotu “śmiecia” do naszego systemu.