Problem ze Spyware Pomocy


(Rocco 22) #1

Wiecie może jak usunąć Spyware? Włancza mi się jeszcze od razu jak wejde do przeglądarki jakaś stronka Search for... a nie jej w rejestrze a i we właściwościach Explorera a mimo to się włacza. pomóżcie bo nie mogę na kompie pracować


(Ks Kamilp Nr 8) #2

Skan:


(Golden Finger) #3

Saviola ! post OT :arrow: Kosz

Użytkownik ma 1 post , więcej rozwagi i delikatności, mogłeś to inaczej rozegrać np. napisać powyższe ale także wskazać temat.

Pozdrawiam 8)


(system) #4

OK, spoko Golden Finger. To nie była wcale ostra zagrywka wobec nowego usera :!: Zobacz na wypowiedź:

To nie była wypowiedź nadto złośliwa :wink:


(Rocco 22) #5

Bo jest w języku angielskim a z tym u mnie trudno


(Golden Finger) #6

Ok, zastosuj programy podane przez Jamaica

Pozdrawiam 8)


(Rocco 22) #7

ten programik pznajdował takie tam różne rzeczy nacisnąłem żeby naprawił. Programik to zrobił ale Spyware dalej wyskakuje jak włącze przeglądarke i ta stronka Search for.. tak samo


(Golden Finger) #8

Który?

Zastosuj wszystkie 3 ale nie jednocześnie :stuck_out_tongue:

Pozdrawiam 8)


(Trebron) #9

Zmieniłeś stronę startową przeglądarki?? Jeśli nie, to nawet po usunięciu Spyware'a moze ci się on automatycznie ściągnąć i zainstalować

Zmień stronę startową START => Panel Sterowania => Opcje internetowe :smiley: .


(Marsmo) #10

Witaj Iro! :slight_smile:

Podejrzewam, że jakkolwiek b. słuszna rada Trebrona - może w tym temacie nie wystarczyć. Raczej ten manewr się wykonuje, gdy chcemy sami najzupełniej pokojowo zmienić preferencje co do startowej. Moim zdaniem spyware to chyba niezbyt udane określenie, jest to zwykły Trojan Start Page, wyjątkowo namolny zresztą.

Jak juz działałeś Spybotem (czy znalazłeś już wreszcie wejście w polską obsługę, bo ponoć miałeś problemy?), to uruchom go w wersji advanced mode, następnie Narzędzia-> Przeglądarka stron. Tam skutecznie w kazdym wpisie zmienisz "natręta" na właściwą stronę. Niestety nie ma tam opcji usuń. Ale to jest bez znaczenia. Programem Hijack (zaproponowanym przeze mnie na końcu) wyeliminujesz te wpisy ostatecznie.

Jeżeli to nic nie pomoże (chociaz bezwzględnie powinno), to "przeczesz" komp programem CW Shredder http://www.dobreprogramy.pl/index.php?dz=2&t=55&id=657 proponowanym Ci przez Jamaicę.

Kolejna podpowiedź dotyczy programu Hijack This, zeskanuj komputer i wklej loga na tym forum. Koledzy z "Dobrych programów" powiedzą Ci, które wpisy odfajkować i usunąć.

Po tych numerach powinienieś mieć spokój. :slight_smile:


(Rocco 22) #11

CWShredder 1.57.0

  • Spybot Search & Destroy 1.3

  • Ad-aware 6.0 build 181

i nic nie pomogło

a także mks_vir

i nawet po rejestrach latałem i szukałem coś odnośnie spyware

Dalej pojawia się stronka SEARCH FOR... i wyskakuje spyware do ściągnięcia

Zrobiłem tak jak mówiłeś i ściągnąłem hijack this

i oto co mi wyświetlił

Logfile of HijackThis v1.97.7

Scan saved at 12:45:31, on 2004-06-27

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\CTsvcCDA.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\nvsvc32.exe

c:\apache\APACHE.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

c:\apache\APACHE.EXE

C:\WINNT\System32\MsPMSPSv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {FF694A5E-309C-4A9B-A784-3FB314DF841A} - C:\WINNT\system32\kcilcb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &iSearch The Web - res://C:\WINNT\System32\toolbar_.dll/SEARCH.HTML

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O13 - WWW. Prefix: http://

O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN.cab

O16 - DPF: {80B410C0-BADA-11D4-8308-0080C8D7ED4A} (GINTHOUSAND Class) - http://gryonline.wp.pl/files/tysiac_2_0_0_6.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37903.3777314815

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GINSNOOKER Class) - http://gryonline.wp.pl/files/snooker_2_0_0_6.cab

(Marsmo) #12

Iro - nie podobają mi się wszystkie wpisy w R1 i R0 - mające powiązania z TEMP-em, jak również dość dziwne jest 013 i do tego jeszcze z aktywnym linkiem www (wolałam nie klikać).

Na początek wejdź do folderu TEMP i usuń całą zawartość (i oby Cię nie czekała niespodzianka, że jakiegoś pliku nie można usunąć - bo to będzie jeszcze inna bajka).

Po wyczyszczeniu TEMP, zrób scana z Hijack-a ponownie i wklej go tu.

Absolutnie jeszcze nic nie usuwaj ze scanu, zobaczymy co bedzie po wyczyszczeniu TEMP-a.

Czekaj cierpliwie, jak na forum wpadnie PHYLBY, bo On ma te scany z Hijack-a w "małym palcu". :lol:

Najgorsze jest to, że ja nie widzę, byś gdziekolwiek miał poprawny wpis ze stroną startową, czyli to o co nam chodzi. Przez TEMP nie ma normalnych wpisów.


(Adarek) #13

do usunięcia:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sp.html 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O8 - Extra context menu item: &iSearch The Web - res://C:\WINNT\System32\toolbar_.dll/SEARCH.HTML

Zabić proces kcilcb.dll jak jest i wywalić ( Jak nie można to w trybie awaryjnym, chyba że wiesz co to jest)

O2 - BHO: (no name) - {FF694A5E-309C-4A9B-A784-3FB314DF841A} - C:\WINNT\system32\kcilcb.dll

Wyłącz z autostartu office , zbędny

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Dodatek do przeglądarki jak nie instalowałes to .... aut.

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll 

O13 - WWW. Prefix: http://

Ps . Ktoś kiedyś mi nie wierzył że na friko.pl można załapać wirka.

Nie pamiętam teraz kto .

Poczytajcie sobie czwarty topic od góry

http://forum.pcmaniak.pl/ftopic8585.php

Ale to tak na marginesie jako ciekawostkę i przestrogę. :smiley:


(Rocco 22) #14

Zaraz po tym jak usłyszałem o programiku Hijack this od razu go ściągnąłem i wykonałem instrukcje które były na tej stronce czyli: Scan, później zrzuciłem to na forum i później Fix Checked i proble ze stronką startową ustąpił (jak na razie). Teraz jak przeczytałem to co mi napisaliście zrobiłem ponowny scan i nie wiem czy potrzebnie wtedy naciskałem Fix Checked bo nie mam już tych wpisów co wtedy tylko

Logfile of HijackThis v1.97.7

Scan saved at 23:19:45, on 2004-06-27

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\CTsvcCDA.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\nvsvc32.exe

c:\apache\APACHE.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

c:\apache\APACHE.EXE

C:\WINNT\System32\MsPMSPSv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Windo\install\HijackThis.exe


O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

Więc nie wiem jak powyłanczać te wpisy R1 i tak dalej oraz procesy skoro nigdzie ich nie widzę. Jak jeszcze nie straciliście do mnie cierpliwości to pordźcie, bo ja w te klocki jestem co najwyżej tępy ale szybko się uczę.

Właśnie doszedłem jak z rejestrów wywalić te ścieżki i po odszukaniu faktycznie były tam powpisywane adresy tych stronek co się mi włanczały. Pousuwałem te adresy i zostały tylko HTTP:// i dalej pusto. Nie wiem czy dobrze zrobiłem?


(Adarek) #15

Jest OK Dobrze zrobiłeś .Log czysty . :smiley:


(Das) #16

To osobiście bym zostawił:

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll [plugin nakładany przez IE nie zagraża systemowi]

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab[scanre Pandy on-line może sie przydać userowi..musi od początku przejśc droge instalacyjna procesu on-line]

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3777314815 [Patch]

Widziałem klucz gier on-line..ale to jest zbedne.

Phyllby reszta :spoko:


(Adarek) #17

dAs -znasz jakiedoś linka o tym pluingu ? (NPDocBox.dll )

Jedni to usuwaję- drudzy nie.

Pozdrawiam :slight_smile:


(Cubusek) #18

witam mam dokładnie ten sam problem co iro . Search for... i te sprawy . Użyłem programy hijack . Prosze powiedzcie co z tego moge usunac .

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Trend Micro\Internet Security\pccguide.exe

C:\Program Files\Trend Micro\Internet Security\PCClient.exe

C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\mnmsrvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Trend Micro\Internet Security\tmproxy.exe

C:\Program Files\Trend Micro\Internet Security\PccPfw.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\wincmd\WINCMD32.EXE

E:\internet - download\PCCILLIN\english\Setup\program files\Trend Micro\PC-cillin\PCCIOMON.exe

C:\Program Files\Gadu-Gadu\gg.exe

c:\hijack\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Animus\USTAWI~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Animus\USTAWI~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Animus\USTAWI~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Animus\USTAWI~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Animus\USTAWI~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Animus\USTAWI~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = http://www.onet.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {FADC34B0-CEF6-492D-BCA5-65A987B4C4C8} - C:\WINDOWS\System32\ohhg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"

O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"

O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run

O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [BPMInit] BpmInit.exe C:\PROGRA~1\ALCATech\BPM-ST~1

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.48.49/g_bin/eng/snooker_2_0_0_20.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{95A7A2E3-3F53-4E7F-B2A2-FE00ED7CE288}: NameServer = 192.168.1.1,192.168.1.200

O18 - Filter: text/html - {CFBF16EA-1F56-4D53-A339-F0F1DA8EAA68} - C:\WINDOWS\System32\ohhg.dll

O18 - Filter: text/plain - {CFBF16EA-1F56-4D53-A339-F0F1DA8EAA68} - C:\WINDOWS\System32\ohhg.dll

dzieki za jakiekolwiek info


(Adarek) #19

Usuń

Zbij proces ohhg.dll i usuń

Jesli nie wiesz co to jest to usuń.

Do usunięcia jeszcze