Jestem w niebezpieczeństwie!


(paranoise) #1

Na pulpicie zamiast tapety pokazuje mi się taki oto spam:

WARNING!

YOU'RE IN DANGER!

ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.

Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could broke your life!

SECURE YOURSELF RIGHT NOW!

Removal instructions

Mam spybota i ad-aware, ale nie pomogają poza tym mam jeszcze z kilka spywar'ów które nie chcą się usunąć. Czy ktoś może już miał coś podobnego? Najśmieszniejsze jest to że ten wielgachny link na pulpicie prowadzi do jakiegoś programu anty-spamowego, niestety płatnego.


(Minio Dp) #2

Zapodaj log z Hijacka.


(Canaletto) #3

pierwszy raz slysze o czymś takim


(Qbek50) #4

sprawdź autostart. To na pewno jakiś plik ci się włącza. Zlokalizuj go i usuń. A na dodatek przejedź dysk Ad-Aware i SpyBot S&D.


(adpawl) #5

W trybie awaryjnym...

C:\Windows\Web

Kasujesz pliki: desktop.html + obrazki ponumerowane kolejno od i_01.gif do i_20.gif

C:\Windows

jeżeli są, to kasujesz pliki:

mstasks1.exe

mstasks2.exe

mstasks3.exe

mstasks4.exe

desktop.exe

system.exe

seksdialer.exe

secure32 -> fałszywy plik notatnika

secure.html

Potem wchodzisz: Panel Sterowania -> Ekran ->Pulpit ->Dostosuj Pulpit -> Sieć Web

Zaznaczasz i odchaczykowujesz pozycję prawdopodobnie "Security" (może być inna)

ten warYJat korzysta z ActiveDesktop'a...

daj loga z Hijack'a


(Minio Dp) #6

Pobierasz z tąd HijackThis. Uruchamiasz, klikasz " Do A system scan log file, program robi scan, loga zapisujesz i wklejasz na forum. Specjaliści powiedzą ci co masz wywalic i będzie ok :wink:


(Figc) #7

:hahaha: ale CANALETTO pisał o problemie paranoise bo HiJacka kilkakrotnie sam już proponował !!


(Canaletto) #8

BANITA trafne spostrzeżenie:):slight_smile:


(Minio Dp) #9

Widocznie źle zrozumiałem :oops: :oops: Sorki :lol:


(paranoise) #10

Logfile of HijackThis v1.99.0

Scan saved at 19:06:50, on 2005-01-12

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\DeskAd Service\DeskAdServ.exe

C:\Tlen\tlen.exe

C:\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\DeskAd Service\DeskAdKeep.exe

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Opera\Opera.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\cidaemon.exe

C:\foobar2000\foobar2000.exe

C:\Documents and Settings\Tomasz Marszelewski\Pulpit\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com

O1 - Hosts: 127.0.0.3 x.full-tgp.net

O1 - Hosts: 127.0.0.3 counter.sexmaniack.com

O1 - Hosts: 127.0.0.3 autoescrowpay.com

O1 - Hosts: 127.0.0.3 http://www.autoescrowpay.com

O1 - Hosts: 127.0.0.3 http://www.awmdabest.com

O1 - Hosts: 127.0.0.3 http://www.sexfiles.nu

O1 - Hosts: 127.0.0.3 awmdabest.com

O1 - Hosts: 127.0.0.3 sexfiles.nu

O1 - Hosts: 127.0.0.3 allforadult.com

O1 - Hosts: 127.0.0.3 http://www.allforadult.com

O1 - Hosts: 127.0.0.3 http://www.iframe.biz

O1 - Hosts: 127.0.0.3 iframe.biz

O1 - Hosts: 127.0.0.3 http://www.newiframe.biz

O1 - Hosts: 127.0.0.3 newiframe.biz

O1 - Hosts: 127.0.0.3 http://www.vesbiz.biz

O1 - Hosts: 127.0.0.3 vesbiz.biz

O1 - Hosts: 127.0.0.3 http://www.pizdato.biz

O1 - Hosts: 127.0.0.3 pizdato.biz

O1 - Hosts: 127.0.0.3 http://www.aaasexypics.com

O1 - Hosts: 127.0.0.3 aaasexypics.com

O1 - Hosts: 127.0.0.3 http://www.virgin-tgp.net

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe

O4 - HKCU..\Run: [WITaj!] rem -- Anulowane uruchamianie programu WITaj! 2000

O4 - HKCU..\Run: [Komunikator] C:\Tlen\tlen.exe

O4 - HKCU..\Run: [spybotSD TeaTimer] C:\Spybot - Search & Destroy\TeaTimer.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\IrfanView\Ebay\Ebay.htm

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 213.159.117.202

O15 - Trusted IP range: (HKLM)

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://iframedollars.biz/tb/loader2.ocx

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


(Figc) #11

ale syf!! stary gdzie ty masz jakiegoś antywira!! i same stronki XXX się odwiedzało!!

masz jakieś zabezpieczenia [:D] znaczy się... antywira i firewalla :roll:


(adpawl) #12

paranoise napisał:

Tak, tak... już ja znam tych SpryCIULI...

Najpierw piszą TroJany i inne SyfY ...a potem odpłatnie oferują deinstalator tego badziewia. Tylko, że po pewnym czasie "dziwnym trafem" problem się powtarza... Coś mi to przypomina... :^o

***************

Wszystko w awaryjnym wywalić...

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.1:8080

R3 - Default URLSearchHook is missing

O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com

O1 - Hosts: 127.0.0.3 x.full-tgp.net

O1 - Hosts: 127.0.0.3 counter.sexmaniack.com

O1 - Hosts: 127.0.0.3 autoescrowpay.com

O1 - Hosts: 127.0.0.3 http://www.autoescrowpay.com

O1 - Hosts: 127.0.0.3 http://www.awmdabest.com

O1 - Hosts: 127.0.0.3 http://www.sexfiles.nu

O1 - Hosts: 127.0.0.3 awmdabest.com

O1 - Hosts: 127.0.0.3 sexfiles.nu

O1 - Hosts: 127.0.0.3 allforadult.com

O1 - Hosts: 127.0.0.3 http://www.allforadult.com

O1 - Hosts: 127.0.0.3 http://www.iframe.biz

O1 - Hosts: 127.0.0.3 iframe.biz

O1 - Hosts: 127.0.0.3 http://www.newiframe.biz

O1 - Hosts: 127.0.0.3 newiframe.biz

O1 - Hosts: 127.0.0.3 http://www.vesbiz.biz

O1 - Hosts: 127.0.0.3 vesbiz.biz

O1 - Hosts: 127.0.0.3 http://www.pizdato.biz

O1 - Hosts: 127.0.0.3 pizdato.biz

O1 - Hosts: 127.0.0.3 http://www.aaasexypics.com

O1 - Hosts: 127.0.0.3 aaasexypics.com

O1 - Hosts: 127.0.0.3 http://www.virgin-tgp.net

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe

O4 - HKCU..\Run: [WITaj!] rem -- Anulowane uruchamianie programu WITaj! 2000

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\IrfanView\Ebay\Ebay.htm

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 213.159.117.202

O15 - Trusted IP range: (HKLM)

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://iframedollars.biz/tb/loader2.ocx

*****************

Zainstaluj sobie SP2, dobrego antywirusa, firewall też wskazany i jeszcze Window Worm Door Cleaner'a użyj


(dRAGSTER!) #13

instrukcja usuniecia pokrywa sie juz troche z radami danymi wczesniej ale tu jest wszystko http://www.wiruspc.pl/forum/default.php -pozycja 145


(adpawl) #14

Heh... :smiley:

  1. Primo - poprawny adres to: http://www.wiruspc.pl/forum/default.php?tablename=wpcforum

  2. Secondo - pozycja 145 ... Szczęśliwego Nowego Roku ?? (w chwili pisania tego postu)

To jest Forum! więc numeracja się zmienia... :smiley: :o :smiley:

BTW

Serek, zerknij na 5 post od gUry :wink:


(Chees) #15

właściwości ekranu-->zakładka pulpit-->dostosuj pulpit-->sieć web-->i tam odptaszkuj wszystko co jest zaznaczone i kliknij ok :wink:


(paranoise) #16

A co to jest ten ps2? No i jeszcze jeden taki mały szczegół... Skąd mogę sciągnąć painta?


(Damian) #17

Że co prosze!!??

Toć przecie masz go domyślnie w Windowsie :smiley:

Start>>>akcesoria>>>paint


(adpawl) #18

Nie ps2 tylko SP2! ServicePack 2 (zestaw uaktualnień) - możesz pobrać tu: http://www.microsoft.com/poland/windowsxp/sp2/default.mspx

Painta możesz doinstalować z płyty...


(Romek1990) #19

Tez mialem kiedys takie cos :frowning:


(Marekpratnicki) #20

ja kilka razy!! tylko pomoglo mi format c: :x