Spy Sheriff - nowa wersja? Jak usunąć?

Dla specjalistów Bezpieczeństwo
#1

Cześć,

Jestem tu pierwszy raz więc proszę o wyrozumiałość.

Na dodatek jestem lamerem komputerowym i używam sprzętu jak blondynka samochodu, więc nie wymagajcie zbyt wiele, ja natomiast prosiłbym o tłumaczenie jak średnio inteligentnemu szympansowi.

Załapałem syfa.

Zwie się Spy Sheriff.

Użyłem z sześciu programów antywirusowych. Dopiero XoftSpy wykrył i pokasaował kilka rzeczy. Nie rozmnaża mi się już jak drożdże, niemniej w pasku koło zegara pozostała ikonka i świnia beka sobie do mnie co jakiś czas. Już myślałem, że to tylko niemiłe wspomnienie po syfie, ale dzisiaj w temporary znalazłem plik exe (zapomniałem nazwy) który miałem wcześniej chyba wszędzie. Wyrwałem chwasta.

Błądząc po omacku zainstalowałem dwa programy do czyszczenia rejestru i wyciąłem w pień ze 150 linijek (komp dostał takiego kopa, że go nie poznaję :smiley: ) Na koniec skląłem syfa jak szefc, obraziłem Pana Boga myślą uczynkiem i zaniedbaniem, opadły mi ręce i chcąc nie chcąc zainstalowałem Hijacka. Loga wkleiłem na http://www.hij******* po czym wysłałem w kosmos wszystko co było wątpliwe. Teraz mój log jest zieloniutki jak studolarówka. Ikonka czka nadal wrrrrrr

Mam przy okazji jeszcze jedną sprawę:

Wg instrukcji na jakiejś stronie chciałem usprawnić swój komputer i w kluczach rejestru pozmieniałem np aby po każdym zamknięciu przeglądarki czyścił mi się folder temporary, albo system zamiast w 20 sek zamykał w 5. Działało to jakiś czas i zdechło- gdzie jest przyczyna?

Logfile of HijackThis v1.99.1

Scan saved at 12:59:22, on 2006-01-09

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Arcade\PCMService.exe

C:\WINDOWS\system32\hkcmd.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\hp\Pulpit\Hijack\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{628893CC-C93E-4230-8EDF-536DE989E20E}: NameServer = 194.204.152.34 217.98.63.164

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
#2

W logu nic nie widać. Daj silent runners

#3 
Na dodatek jestem lamerem komputerowym i używam sprzętu jak blondynka samochodu, więc nie wymagajcie zbyt wiele, ja natomiast prosiłbym o tłumaczenie jak średnio inteligentnemu szympansowi.

Złączono Posta _: 09.01.2006 (Pon) 14:17_To powyżej nie napisałem bo jestem dowcipny…

"Silent Runners.vbs", revision 42, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]

"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]

"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]

"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]

"preload" = "C:\Windows\RUNXMLPL.exe" ["Wistron"]

"PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]

"PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]

"PCMService" = ""C:\Program Files\Arcade\PCMService.exe"" ["CyberLink Corp."]

"MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]

"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]

"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]

"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]

"eRecoveryService" = "C:\Windows\System32\Check.exe" ["acer Inc."]

"ePowerManagement" = "C:\Acer\ePM\ePM.exe boot" ["Acer Value Labs, Taiwan"]

"EPM-DM" = "c:\acer\epm\epm-dm.exe" ["Acer Inc"]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]

"{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0}" = "EPM-PO Shell Extension"

  -> {CLSID}\InProcServer32\(Default) = "epm-po.dll" ["Acer Labs USA"]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState



Enabled Screen Saver:

---------------------


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\scrnsave.scr" [MS]



Startup items in "hp" & "All Users" startup folders:

----------------------------------------------------


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"Adobe Gamma Loader.exe" -> shortcut to: "C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]



Enabled Scheduled Tasks:

------------------------


"XoftSpy" -> launches: "C:\Program Files\XoftSpy\XoftSpy.exe -t" ["ParetoLogic Inc."]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Toolbars, Explorer Bars, Extensions:

------------------------------------


Extensions (Tools menu items, main toolbar menu buttons)


HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Console"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]


{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


Notebook Manager Service, anbmService, "C:\Acer\eManager\anbmServ.exe" ["OSA Technologies Inc."]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]



Print Monitors:

---------------


HKLM\System\CurrentControlSet\Control\Print\Monitors\

Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 20 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

  took 7 seconds.

---------- (total run time: 46 seconds)
#4

Daj screena tego upierdka ponieważ nie widac jego. Jak zrobić screena - http://forum.dobreprogramy.pl/viewtopic.php?t=46412

#5

Jestem zły. Zły na wszystko i wszystkich. Wkurza mnie to, że kupując sprzęt za kilka tysięcy złotych nie działa on jak należy i trzeba uczyć się bardzo poważnej instrukcji. Nie, to nie jest śmieszne, bo gdybym musiał znać programowanie (wewnętrzne) telewizora, pralki, lodówki i wszystkiego dookoła to już wolałbym się przenieść na bezludną wyspę.

Straciłem trzy doby na usuwanie syfa i musiałem wiele się nauczyć. Niestety mózg nie ma funkcji del a niestety jak twardziel ma ograniczoną pojemność. Dobra- wystarczy, zbije za dwa talerze i mi przejdzie.

Chyba pozbyłem się go. Gdzieś przeczytałem o programie ewido anti-malware. Zainstalowałem, uaktualniłem. Znalazł z 5 obiektów w tym biblioteki dynamiczne (cokolwiek do diabła to znaczy) dll i jakieś ciasteczka (kto wymyślił tą nazwę???). Usunąłem siekierą łby i… cisza. Nie czka, ikonka zniknęła.

W temacie pisałem o nowej wersji, ponieważ u mnie nie było ekranu, tapety, czy czegoś w tym rodzaju. Podczas otwierania IE wskakiwała mi ich strona mimo, że w opcjach ustawione były google. No i ta czkająca ikonka w zasobniku. Po sprawdzeniu okazało się, że jest wszedzie; Na dzień dobry w menu start, poźniej w programach, w program files, temp, temporary internet files, windows, windows/system32 i na dodatek po usunięciu czegoś czy nawet większości wszystko odrastało. Na piechotę powyrywałem co się dało, następnie przejechałem XoftSpy- znalazł kilka obiektów i wyciął je ale ikonka w zasobniku czkała. Zrobiłem loga wkleiłem, poprawiłem - ikonka czkała. Teraz przejechałem

ewido anti-malware i mam niby spokój. Za jakiś czas zerknę w program files i wszystkie temp’y czy znowu coś nie siedzi.

Po co to piszę? Bo miesiąc temu kumpel miał klasycznego sheriffa, takiego jak tutaj w większości jest opisany. U mnie był inny choć miał tą samą nazwę. Ewolułuje gadzina.

MOJA PROŚBA:

Pomóżcie mi przyspieszyć kompa. Nie jest wolny, ale nie jestem zwolennikiem wszelakich upiększaczy. Im więcej wyłączę tym lepiej. Np. czy plik win.ini musi startować? Bez sensu, bo znalazlem w nim jakiś wpis z DOOMa w ktorego klikalem przez tydzien pół roku temu. No i co z tym szybszym zamykaniem windows? Dlaczego mimo poprawnego wpisu w kluczu rejestru poprawka nie działa?

#6

Optymalizacja XP: http://www.searchengines.pl/phpbb203/in … topic=5989