Nic nowego - adware czy spyware


(Marc X) #1

objawy:

tapeta - jakas strona internetowa, ktora usunalem, wiec obecnie mam biale tlo, ale w wlasciwosci pulpitu sa zablokowane przez spyware.

Co jakis czas wyskakuja mi reklamy - strony czy jakies flashe...

Norton AV, Ad-ware 6 i Microsoft AntiSpyware (takie cos sobie wgralem) obecnie nic nie znajduja. A wczesniej mialem tego duzo wiecej m.in. spy aheriffa...

wiec wklejam log od Hi Jacka:

Logfile of HijackThis v1.99.1

Scan saved at 23:09:05, on 2005-12-14

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

D:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

D:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE

D:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

D:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\system32\rundll32.exe

D:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

E:\Z internetu\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [Ad-watch] D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download All by FlashGet - D:\PROGRA~1\FLASHGET\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - D:\PROGRA~1\FLASHGET\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe

O18 - Filter: text/html - {CFD7ADE4-2F6A-4118-9846-A1A0F3492422} - (no file)

O18 - Filter: text/plain - {CFD7ADE4-2F6A-4118-9846-A1A0F3492422} - (no file)

O20 - AppInit_DLLs: e6e7jv1eocgkr4ll.dll.dll.dll.dll.dll

O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\k6lqlg3516.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - D:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

co to O20, no file mozna wykasowac? w tym necie coraz wiekszy burdel :confused: thx


(Gutek) #2

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Pokazać nowy log :stuck_out_tongue:

Wpis R3 nie usuwasz hijackiem tylko usuniesz Registrar Lite, opis masz TUTAJ

Usuwanie VX2.BetterInternet i daj log nr 1 z narzędzia L2Mfix


(Marc X) #3

ciagle to siedzi :confused:

chyba cos nie tak zrobilem

a z L2mfix

L2mfix Beta 121205

Creating Account.

Polecenie zostao wykonane pomylnie.


Adding Administrative privleges. 

Checking for L2MFix account(0=no 1=yes): 

1

 Granting SeDebugPrivilege to L2MFIX ... successful

Checking for L2MFix account(0=no 1=yes): 

0

gdy edytuje recznie rejestr to po chwili wszystko wraca tak ja bylo

jeszcze pokombinuje


(Gutek) #4

usuń wpis hijckiem

prosiłem o log nr 1 z L2Mfix

l2mfix.png

wybierasz opcję 1. Run Find Log = odpowiednik tworzenia loga w FindIt. Patrz dalej na LOG NUMER 1. ZAWSZE tego loga macie utworzyć by mi pokazać - czy tak trudno jest przeczytać?


(Marc X) #5

wiec R3 juz nie ma (wczesniej go jakos przeoczylem i myslalem ze go usunalem) a usunalem go najpierw w Registrar Lite pozniej Hi jack...

rpaort z L2mfix:

1 raz spotkalme sie z takim uparciuchem :confused:


(Gutek) #6

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

FIX.REG = Plik zostaw na Pulpicie

>>>>> Otwórz Notatnik i wklej w nim:

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT = Plik umieść w ścieżce C:\WINDOWS

Uruchom Konsolę Odzyskiwania i komenda:

BATCH FIX.BAT

Dajesz mi nowego loga L2MFix robionego z opcji 1.