Problem z fałszywą tapetą SPYWARE (antivirus xp 2008)


(Juve2490) #1

Dzieki za pomoc wczensiej:D... ale wkleilem zly log a teraz wstawie poprawny :smiley: ...

Mam problem z fałszywą tapetą wyskakuje mi niebieskie okienko i napis SYPWAER , nie mam nic w ustawieniach pulpitu i za każdym włączeniem komputera pojawia się ta tapeta z napisem WARNINING SPYWARE,wczesniej zainstalowalem jakiegos antivir 2008 ale juz go usunalem , została mi tylko ta cholerna tapeta : / ... proszę o pomoc

a to jest mój log :

http://wklej.org/id/989/


(arapo) #2

To fakt masz infekcję, ale poczekaj na fachową poradę. Póki co poszerz swoją wiedzę o tej infekcji z tej strony.

http://www.searchengines.pl/index.php?s ... ntry369153


(huber2t) #3

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\lphcpotj0el8p.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Juve2490) #4

Przeciągam i upuszczam ikonkę, ale nie powstaje żaden log. WYswietla mi sie komunikat: combofix has detected the presence of rootkit activity and needs to reboot the machine. Komputer resetuje się i nie ma zadnych zmian. Prosze o poomoc :shock:


(Kambor4) #5

Masz tego rootkita, który powoduje interakcję z narzędziem DSS. Na oko załączę też pliki DLL, które z tą infekcją mogą występować.

Pobierz ---> The Avenger

Wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\drivers\tdssserv.sys

C:\WINDOWS\system32\tdssadw.dll 

C:\WINDOWS\system32\tdssl.dll

C:\WINDOWS\system32\tdssserf.dll

C:\WINDOWS\system32\tdssmain.dll

C:\WINDOWS\system32\tdssinit.dll

C:\WINDOWS\system32\tdsslog.dll

C:\WINDOWS\system32\tdssservers.dat


Registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tdssserv.sys

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdssserv.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata

HKLM\SOFTWARE\tdss


Drivers to delete:

tdssserv

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Potem spróbuj uruchomić ComboFixa.

=============

K.


(Juve2490) #6

Oto raport:

http://wklej.org/id/1052/

prosze o dalsze instrukcje!! [-o<


(Leon$) #7

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 uruchom dwuklikiem daj log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

:slight_smile:


(Juve2490) #8

http://wklej.org/id/1068/

Oto dalszy log,prosze o pomoc co dalej yO :idea:


(Leon$) #9

Jak ty to dziwnie wkleiłeś można oczopląsu dostać

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

lub

Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& ... It!+4.44.5

:slight_smile:


(Juve2490) #10

To jest raport: http://wklej.org/id/1117/

i co teraz? czy mam wybrac opcję Wyslij (podane pliki do analizy) ?? :?:


(Kambor4) #11

Pobierz ---> The Avenger

Wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\WChPiPC-C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1ons3lqr.default\Cache\6EEB5D20d01 

C:\Documents and Settings\WChPiPC-C\Dane aplikacji\Gadu-Gadu\backup\_cache\banner.htm 

C:\Documents and Settings\WChPiPC-C\Dane aplikacji\Gadu-Gadu\backup\_cache\sbanner.htm 	

C:\Documents and Settings\WChPiPC-C\Gadu-Gadu\_cache\banner.htm

C:\Documents and Settings\WChPiPC-C\Gadu-Gadu\_cache\sbanner.htm 

C:\Documents and Settings\WChPiPC-C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1ons3lqr.default\Cache\7F935764d01 

C:\Documents and Settings\WChPiPC-C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1ons3lqr.default\Cache\98DDC1E8d01 

C:\Documents and Settings\WChPiPC-C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1ons3lqr.default\Cache\C15334BCd01 

C:\Documents and Settings\WChPiPC-C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1ons3lqr.default\Cache\F3234D89d01 

C:\Documents and Settings\WChPiPC-C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1ons3lqr.default\Cache\F3262D89d01 

C:\Documents and Settings\WChPiPC-C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\1ons3lqr.default\Cache\FD70B10Ad01 

C:\Program Files\EA GAMES\The Sims 2\Places\Moje obrazy\lowe\love137.gif 

C:\Program Files\Opera\profile\cache4\opr0SQ2Q.htm 

C:\WINDOWS\Downloaded Program Files\porno.exe

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

====================

K.


(Juve2490) #12

djarta , już to wczesniej robiłeem :stuck_out_tongue:

Co zrobic teraz z tym kasperskim? :?:


(Juve2490) #13

jestem micio !:):*


(Kambor4) #14

Zrobiłeś to samo co ja Ci podałem?Jeśli to zrobiłeś to następny scan kasperskym dla pewnośći :wink:

===========

K.


(Juve2490) #15

http://wklej.org/id/1135/ - log z avengera :slight_smile: No i ? Już ?


(Leon$) #16

czy ty czytać nie umiesz?

zrób to co podał i nie marudź

nie widzisz co było wcześniej usuwane Avangerem a co teraz

[-X


(Kambor4) #17

Zrób moją czynność!

===================

K.