Mam nastepujacy problem (komputer w firmie - chodzi na WinMe)

Po uruchomieniu wyskakuje okienko:

Error #317 - Microsoft Windows Security Warning

Your windows is corrupted with spyware virus.

You must patch your PC urgently to protect your system

Private info is accesed by ports:

-8080

-3128

You can patch your PC for free now and delete allspyware viruses

Click OK to choose and download spyware removal using AntiSPY

OK -> po czym wyskakuje stronka: http://antispy.globolook.com

W miedzyczasie laduje sie IE ze strona startowa http://www.hotoffers.info/195/

(czy sie OK nacisnie czy nie)

Na komputerze zainstalowany jest AVG i Avast dodatkowo sprawdzalem CWShredder i HijackThis oraz paroma programikami (Ad-adware6personal itd) i nic.

Nawet po Fixie w HijackThis strony startowej i ponownym Scanie strona startowa jest taka jak przed fixem

Z loga nic innego nie widac oprocz tej strony

Oto log:

Logfile of HijackThis v1.99.1

Scan saved at 11:12:46, on 2005-03-25

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SYMTRAY.EXE

C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE

C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISSERV.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISUM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\PROGRAM FILES\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\WINDOWS\SYSTEM\HPZTSB03.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\ICSMGR.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE

C:\PROGRAM FILES\NORTON INTERNET SECURITY\IAMAPP.EXE

C:\PROGRAM FILES\GRISOFT\AVG7\AVGCC.EXE

C:\PROGRAM FILES\GRISOFT\AVG7\AVGEMC.EXE

C:\PROGRAM FILES\GRISOFT\AVG7\AVGAMSVR.EXE

C:\PROGRAM FILES\BORLAND\INTERBASE\BIN\IBGUARD.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\PROGRAM FILES\BORLAND\INTERBASE\BIN\IBSERVER.EXE

C:\PROGRAM FILES\SPAMIHILATOR\SPAMIHILATOR.EXE

C:\PROGRAM FILES\IOMEGA\TOOLS\IOWATCH.EXE

C:\PROGRAM FILES\IOMEGA\TOOLS\IMGICON.EXE

C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE

C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE

C:\WINDOWS\SYSTEM\PDFSAVER.EXE

C:\Program Files\Norton SystemWorks\Norton CleanSweep\Monwow.exe

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINCMD\WINCMD32.EXE

E:\INSTALE\NOWY FOLDER\HIJACKTHIS.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/195/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.40.2:8080

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SelfHostUtil] C:\WINDOWS\selfhost.exe /L

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE

O4 - HKLM\..\Run: [InterBaseGuardian] C:\Program Files\Borland\InterBase\bin\ibguard.exe

O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\SymTray.exe "Norton SystemWorks"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Program Files\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE

O4 - HKLM\..\RunServices: [nisserv] C:\Program Files\Norton Internet Security\NISSERV.EXE

O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe

O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - Startup: Iomega Watch.lnk = C:\Program Files\Iomega\Tools\IOWATCH.EXE

O4 - Startup: Iomega Startup Options.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE

O4 - Startup: Iomega Disk Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE

O4 - Startup: Refresh.lnk = C:\Program Files\Iomega\Tools\REFRESH.EXE

O4 - Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe

O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Program Files\Norton SystemWorks\Norton CleanSweep\csinsm32.exe

O4 - Startup: SymfoniaŽ PDF.lnk = C:\WINDOWS\SYSTEM\PDFSaver.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

Wydzielono z innego tematu.

przeskanuj dysk Ad-Aware:

http://dobreprogramy.pl/index.php?dz=2&id=107&t=55

i SpyBotem:

http://dobreprogramy.pl/index.php?dz=2&id=188&t=55

usuń syf i wklej ponownie loga 8)

• lazikar dzieki.

• detektyw 997 jak juz pisalem:

"Na komputerze zainstalowany jest AVG i Avast dodatkowo sprawdzalem CWShredder i HijackThis oraz paroma programikami (Ad-adware6personal itd) i nic."

Komputer jest w firmie wiec raczej teraz nie mam do niego dostepu

Tutaj masz instrukcje jak sie tego pozbyć

Tak tylko to info wyskakuje srednio co 5 min i w tym samym czasie otwiera sie przegladarka z http://www.hotoffers.info/195/

a po nacisnieciu OK wchodzi na stronke http://antispy.globolook.com gdzie jest pelno reklam

Masz dokładny opis jak sie tego pozbyć więc o co ci chodzi

Tylko ciekawe gdzie??

Wchodziles na ta strone?? Tam zawsze pisze ze masz zainfekowany komp a wogole to strona z reklamami (http://antispy.globolook.com)

Pozatym info pojawia sie co jakis czas i zawsze w tym samym czasie jest otwierana przegladarka z podmieniona strona startowa.

Nawet po poprawce w rejestrze SPage w ciagu 1-2sek znowu jest ustawiane to badziewie.

Ad-adware nic nie wykryl - CWShredder tez nie a log z HijackThis wkleilem

Pod linkiem który podałem dwa posty wyżej :? :?

:oops: przeoczylem ze to link :oops:

o wlasnie o to mi chodzilo. We wtorek przetestuje. Merci