Jak pozbyć się szpiegów?

ryszard · 24 Marzec 2005 13:36

Jak pozbyć się szpiegów, których wykrywa Ad-Aware? Usuwanie za pomocą Ad-Aware nic nie daje, nawet usuwanie szpiegowskich wpisów za pomocą Hi-Jacka. Te same wracają po pewnym czasie.

Damian · 24 Marzec 2005 13:43

Usuwaj w trybie awaryjnym i wyłączaj na ten czas przywracanie systemu.

Czyść po usuwaniu rejestr programem jv16 powertools. Masz go na http://www.dobreprogramy.pl

kuz5 · 24 Marzec 2005 13:45

Spróbuj usunąć je recznie

ryszard · 24 Marzec 2005 14:04

Potrzebuję trochę więcej wiedzy. Uruchomiłem tryb awaryjny przy pomocy jakiegoś przycisku (chyba F5), ale co robić dalej? Gdzie te śmieci siedzą, skąd je usunąć?

boczi · 24 Marzec 2005 14:06

Zazwyczaj trb awaryjny uruchamiasz tak:

Searchengines.pl/picasso:

Jak zastartować do trybu awaryjnego? Są dwie metody: 1. Przez klawisz F8 (lub F5): W momencie kiedy komputer się resetuje i ma jeszcze czarny ekran klikamy nieustannie i bardzo szybko w klawisz F8. Na starszych kompach ta metoda może się nie sprawdzić gdyż klawisz F8 może być wyłączony lub może być przypisany inny. Np. jeśli komuś po kliknięciu w F8 wyskoczy wybór urządzenia bootującego to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny prawdopodobnie jest F5. Problem z metodą F8 polega na strzelaniu w ten klawisz WE WŁAŚCIWYM MOMENCIE: na czarnym ekranie ale nie za wcześnie (inaczej wystąpi błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie Normalnym). 2. Przez narzędzie systemowe MSCONFIG. Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się nie powieść jeśli na kompie jest śmieć gdyż wiele śmieci w pierwszej kolejności blokuje msconfig właśnie! Wniosek: nie działa F8 to msconfig, nie działa msconfig to F8.

BTW jaki masz system opreacyjny?

Ad-Aware powinien Ci pokazywać ścieżkę, gdzie rezydują te śmieci.

Faral · 24 Marzec 2005 14:11

To są śmieci różnego rodzaju, niektóre to wpisy rejestru, inne to pliki. Spróbuj tymi programami co robiłeś tylko w awaryjnym. Ręcznie się zajedziesz jeśli jest ich dużo, no i możesz przeoczyć. Poza tym piszesz, że po czasie wracają - może odwiedzasz te same strony i ładują ci się znowu? Jeśli nie masz programu antyszpiegowskiego działającego stale w tle to jest niemal pewne że tak to się odbywa.

ryszard · 24 Marzec 2005 14:12

Mam Win 2000. Tryb awaryjny działa przez F5.

ryszard · 24 Marzec 2005 14:13

Czy na podstawie tego loga potrafisz powiedzieć, gdzie szpieg rezyduje?

Logfile of HijackThis v1.99.0

Scan saved at 14:40:56, on 2005-03-24

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINNT\System32\sistray.EXE

C:\WINNT\System32\khooker.exe

C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\SPRINT~1.0\Sprint\CAgent.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe

C:\Program Files\ScannerU\AM32.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mojastrona.com.pl/prasa/index.shtml

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [siS Tray] C:\WINNT\System32\sistray.EXE

O4 - HKLM…\Run: [siS KHooker] C:\WINNT\System32\khooker.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 “EPSON Stylus C42 Series” /O5 “LPT1:” /M “Stylus C42”

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0\Sprint\CAgent.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe

O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{F26996E6-07F7-47FC-B442-CB2E8FCB6571}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Usługa administracyjna Menedżera dysków logicznych - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe (file missing)

boczi · 24 Marzec 2005 14:16

Ja w logu nie widzę nic szkodliwego…

Kosmetycznie możesz skasować to:

Może pokaż loga z Ad-Aware, co wykryło.

ryszard · 24 Marzec 2005 14:20

Na pewno to jest szpieg: O17 - HKLM\System\CCS\Services\Tcpip…{F26996E6-07F7-47FC-B442-CB2E8FCB6571}: NameServer = 194.204.152.34 217.98.63.164

kuz5 · 24 Marzec 2005 14:21

To nie jest szpieg :x

boczi · 24 Marzec 2005 14:23

To prawidłowy wpis DNS-ów Neostrady!

http://www.searchengines.pl/phpbb203/in … opic=15989

musg · 24 Marzec 2005 14:28

nie plec.Nie wolno tego usuwac.To jest jego IP-zaden szpieg

mozesz to usunac

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

a to mnie zastanawia

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

ryszard · 24 Marzec 2005 14:29

Dzięki za tę podpowiedź, bo go za każdym razem usuwałem Hi-Jackiem.

ryszard · 24 Marzec 2005 14:33

Na razie Ad-Aware nic nie pokazuje, bo usunąłem szpiegów. Pojawią się (te same) za jakiś czas. Wówczas podeślę loga.

ryszard · 24 Marzec 2005 14:39

Czy mam to usunąć?

a to mnie zastanawia

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

boczi · 24 Marzec 2005 14:40

Możesz.