Niechciane Spyware

Piskor · 24 Maj 2008 10:09

W poszukiwaniu odpowiedzi na problem, natknąłem się już na tym forum na podobne jak mój przypadki. Lecz nie chcąc wzorować się na odpowiedziach dla innych (ponieważ nie mam pewności czy mam identyczny problem) postanowiłem założyć temat. Od wczoraj jestem “nękany” non stop pojawiającymi się informacjami o znajdujących się podobno na moim komputerze virusach, o próbie ataku przez internet. Wyświetlają się komunikaty o tym, że jeśli nie chcę by kradziono moje dane i odkryto kompromitujące treści powinienem zakupić spyware, od razu jestem przenoszony na stronę z możliwością jego zakupu. A wszystko to dzieje się samoczynnie, mogę się tylko przyglądać jak mój komputer “zamula” się od przypływu tego wszystkiego. W dodatku na pulpicie pojawiają się ikony o nazwach: “Error Cleaner”, “Privacy Protector”, “Spyware & Malware protection”, gdy na nie kliknę uruchamia mi się strona z możliwością zakupu SpyWare… Co jakiś czas wyświetla mi się komunikat “Windows Security Alert… Windows has detected an Internet attempt…” co uniemożliwia mi korzystanie z komputera. Znajomy powiedział żebym zajrzał tutaj i umieścił swój log z HijackThis (pierwszy raz stykam się z tym programem).

O to on:

http://wklej.org/id/c0528afd12

huber2t · 24 Maj 2008 10:13

fix w hijackthis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O2 - BHO: Gamburg provider - {0CA10898-7F98-4709-A479-B8134AB3D9F3} - bnsock.dll (file missing) O2 - BHO: LabelCommand module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\LabelCommand\LabelCommand.dll O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O2 - BHO: QXK Olive - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll O3 - Toolbar: gktxaspm - {0983040A-984F-4BEF-BEBE-D3D3342D3954} - C:\WINDOWS\gktxaspm.dll O4 - HKCU…\Run: [GoD] “C:\Program Files\GoD\GoD.exe” /tray O21 - SSODL: gnowmebk - {BF64F909-4DCE-4370-AF2D-072BC207A934} - C:\WINDOWS\gnowmebk.dll O21 - SSODL: pxgdslro - {173139B1-B608-46E5-AD03-B3C28F10CC91} - C:\WINDOWS\pxgdslro.dll

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\nldfmtappdm.dll

C:\WINDOWS\gktxaspm.dll

C:\WINDOWS\gnowmebk.dll

C:\WINDOWS\pxgdslro.dll

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Piskor · 24 Maj 2008 10:19

Niestety, wyświetla mi się błąd: “Instalacja nie powiodła się.”

huber2t · 24 Maj 2008 10:24

Podaj komunikat tego błędu

Piskor · 24 Maj 2008 10:25

Właśnie podałem: “Instalacja nie powiodła się” i tylko tyle.

huber2t · 24 Maj 2008 10:26

Spróbuj podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

Piskor · 24 Maj 2008 10:32

To również nic nie daje, ten sam błąd. A nazwę mogę tylko zmienić jak już pobiorę.

huber2t · 24 Maj 2008 10:34

zixuj to co podałem i

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\nldfmtappdm.dll

C:\WINDOWS\gktxaspm.dll

C:\WINDOWS\gnowmebk.dll

C:\WINDOWS\pxgdslro.dll

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Podaj log z Deckard’s System Scanner

Piskor · 24 Maj 2008 10:45

huber2t · 24 Maj 2008 11:52

Usuń te pliki ręcznie i daj log z Deckard’s System Scanner

Piskor · 25 Maj 2008 16:25

Udało mi się z tym Combofixem więc umieszczam loga, nie jestem pewien, ale on chyba zajął się usunięciem rzeczy, które odpowiadały za te niechciane komunikaty.

Log:

http://wklej.org/id/82d82e7a0b

Leon1 · 25 Maj 2008 17:12

Otwórz notatnik i wklej

File:: C:\WINDOWS\epse.exe C:\WINDOWS\mdtgkswr.exe Folder:: C:\Program Files\KvmSecure Driver:: {DEF85C80-216A-43ab-AF70-1665EDBE2780} gAGP440p Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] “{0983040A-984F-4BEF-BEBE-D3D3342D3954}”=- [-HKEY_CLASSES_ROOT\clsid{0983040a-984f-4bef-bebe-d3d3342d3954}] [-HKEY_CLASSES_ROOT\gktxaspm.1] [-HKEY_CLASSES_ROOT\TypeLib{3B1BB93D-8DA6-4F13-87D8-2501003E2236}] [-HKEY_CLASSES_ROOT\gktxaspm] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “swg”=- “CSmileys”=- “GoD”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WinampAgent”=- “BearShare”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “gnowmebk”=- “pxgdslro”=-

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Piskor · 25 Maj 2008 18:27

Czy to konieczne? Problemy już zniknęły, ale jeśli można jeszcze zauważyć coś niepokojącego to zrobię ten log.

huber2t · 25 Maj 2008 18:29

Wykonaj to co polecił Leon$ gdyż syf nie został do końca usunięty

Piskor · 27 Maj 2008 19:12

Zgodnie z zaleceniami daję log z Combofixa na podstawie instrukcji Leon$

http://wklej.org/id/b289954218

Leon1 · 27 Maj 2008 19:21

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

Piskor · 27 Maj 2008 19:45

Zrobiłem wszystko oprócz skanowania przez kaspersky online scanner, ponieważ muszę najpierw ściągnąć niemało ważącą instalkę wobec tego czy mogę zeskanować komputer moim Avastem a następnie dać raport pochodzący z jego skanowania?

Leon1 · 27 Maj 2008 20:15

Avast przy Kasperskim to pikuś

Avasta masz zainstalowanego i widzisz że nie daje rady

Piskor · 8 Lipiec 2008 13:14

Minęło sporo czasu podczas, którego mój komputer dawał mi się we znaki, jednak nie były to na tyle uciążliwe przyczyny, bym od razu zastosował się do otrzymanych na forum porad. W końcu postanowiłem zrobić ten skan Kasperskym. Wykryło 11 virusów i 14 zainfekowanych plików. Log jest bardzo długi ze względu na ilość przeskanowanych obiektów. Tu jest LOG jako strona offline: http://www.speedyshare.com/788477219.html

Proszę powiedzcie jakie mam podjąć kroki w celu oczyszczenia komputera. Wcześniejszy skan Avastem nic nie wykrył…

huber2t · 8 Lipiec 2008 13:27

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Administrator\Ustawienia lokalne\Tempboome20.exe

C:\Documents and Settings\RODZINA\Pulpit\Craagle 1.8.exe

C:\Documents and Settings\RODZINA\Pulpit\Mati\VDownloader.exe

C:\Documents and Settings\RODZINA\Ustawienia lokalne\Tempboome20.exe

C:\Downloads\SecureInstall_LOFS020701Inst.exe

C:\My Downloads\Benny Benassi.mp3

C:\My Downloads\lohan bossy.mp3

C:\Program Files\BitDownload\ZM\minime.exe

C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll

C:\WINDOWS\system32\mscftp.dll


Folders to delete:

C:\Program Files\Antivirus 2008 PRO

C:\Program Files\MyGlobalSearch

C:\System Volume Information\_restore{62AD23C3-114E-4702-81BD-813AED55DACB}\RP411

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt