Jak pozbyć się szpiegów?

Jak pozbyć się szpiegów, których wykrywa Ad-Aware? Usuwanie za pomocą Ad-Aware nic nie daje, nawet usuwanie szpiegowskich wpisów za pomocą Hi-Jacka. Te same wracają po pewnym czasie.

Usuwaj w trybie awaryjnym i wyłączaj na ten czas przywracanie systemu.

Czyść po usuwaniu rejestr programem jv16 powertools. Masz go na http://www.dobreprogramy.pl

Spróbuj usunąć je recznie

Potrzebuję trochę więcej wiedzy. Uruchomiłem tryb awaryjny przy pomocy jakiegoś przycisku (chyba F5), ale co robić dalej? Gdzie te śmieci siedzą, skąd je usunąć?

Zazwyczaj trb awaryjny uruchamiasz tak:

BTW jaki masz system opreacyjny?

Ad-Aware powinien Ci pokazywać ścieżkę, gdzie rezydują te śmieci.

To są śmieci różnego rodzaju, niektóre to wpisy rejestru, inne to pliki. Spróbuj tymi programami co robiłeś tylko w awaryjnym. Ręcznie się zajedziesz jeśli jest ich dużo, no i możesz przeoczyć. Poza tym piszesz, że po czasie wracają - może odwiedzasz te same strony i ładują ci się znowu? Jeśli nie masz programu antyszpiegowskiego działającego stale w tle to jest niemal pewne że tak to się odbywa.

Mam Win 2000. Tryb awaryjny działa przez F5.

Czy na podstawie tego loga potrafisz powiedzieć, gdzie szpieg rezyduje?

Logfile of HijackThis v1.99.0

Scan saved at 14:40:56, on 2005-03-24

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINNT\System32\sistray.EXE

C:\WINNT\System32\khooker.exe

C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\SPRINT~1.0\Sprint\CAgent.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe

C:\Program Files\ScannerU\AM32.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mojastrona.com.pl/prasa/index.shtml

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [siS Tray] C:\WINNT\System32\sistray.EXE

O4 - HKLM…\Run: [siS KHooker] C:\WINNT\System32\khooker.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 “EPSON Stylus C42 Series” /O5 “LPT1:” /M “Stylus C42”

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0\Sprint\CAgent.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe

O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{F26996E6-07F7-47FC-B442-CB2E8FCB6571}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Usługa administracyjna Menedżera dysków logicznych - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe (file missing)

Ja w logu nie widzę nic szkodliwego…

Kosmetycznie możesz skasować to:

Może pokaż loga z Ad-Aware, co wykryło.

Na pewno to jest szpieg: O17 - HKLM\System\CCS\Services\Tcpip…{F26996E6-07F7-47FC-B442-CB2E8FCB6571}: NameServer = 194.204.152.34 217.98.63.164

To nie jest szpieg :x

To prawidłowy wpis DNS-ów Neostrady!

http://www.searchengines.pl/phpbb203/in … opic=15989

nie plec.Nie wolno tego usuwac.To jest jego IP-zaden szpieg

mozesz to usunac

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

a to mnie zastanawia

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

Dzięki za tę podpowiedź, bo go za każdym razem usuwałem Hi-Jackiem.

Na razie Ad-Aware nic nie pokazuje, bo usunąłem szpiegów. Pojawią się (te same) za jakiś czas. Wówczas podeślę loga.

Czy mam to usunąć?

a to mnie zastanawia

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

Możesz.