Spyware co z tym zrobić?

Dla specjalistów Bezpieczeństwo
#1

pomóżcie wyskakuje mi cały czas komunikat o znalezieniu “spyware” i kieruje mnie automatycznie na stronkę do ściągnięcia antyvirusa płatnego "IE Antivirus " .mam avasta ale on nic nie wykrywa i nie wiem czy to jest trojan czy nie.Co mam zrobić bo kompletnie się na tym nie znam przeglądałem juz forum i ściągnąłem już “HijackThis” i "Avenger"ale nie wiem nawet czego użyć proszę o pomoc i opisanie mi co po kolei robić :frowning:

#2

wklej logi z HiJackThis i combofix’a na poczatek

instrukcja krok po kroku

viewtopic.php?f=16&t=36654

#3

http://www.wklej.org/id/72a11d2486

#4

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Folder::

D:\Program Files\IEAntiVirus

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

#5

ComboFix 08-07-08.5 - Zlotko 2008-07-09 12:24:48.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.77 [GMT 2:00]

Running from: D:\Documents and Settings\Zlotko\Pulpit\ComboFix.exe

Command switches used :: D:\Documents and Settings\Zlotko\Pulpit\CFScript.txt.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

D:\Documents and Settings\Zlotko\Menu Start\Programy\IE AntiVirus 3.3.lnk

D:\Program Files\IEAntiVirus

D:\Program Files\IEAntiVirus\antivir.exe

D:\Program Files\IEAntiVirus\ieav.db2

D:\Program Files\IEAntiVirus\ieav.db3

D:\Program Files\IEAntiVirus\uninst.exe

D:\WINDOWS\system32\epsdrv.dll

.

((((((((((((((((((((((((( Files Created from 2008-06-09 to 2008-07-09 )))))))))))))))))))))))))))))))

.

2008-07-09 10:01 . 2008-07-09 10:01

2008-07-08 12:06 . 2008-07-08 12:06 22,528 --a------ D:\WINDOWS\system32\epson32.dll

2008-06-11 13:56 . 2008-06-14 20:01 273,024 --------- D:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 13:56 . 2008-06-14 20:01 273,024 --------- D:\WINDOWS\system32\DllCache\bthport.sys

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-09 10:30 --------- d-----w D:\Documents and Settings\Zlotko\Dane aplikacji\Skype

2008-06-25 05:09 --------- d-----w D:\Program Files\AskTBar

2008-06-20 22:46 --------- d-----w D:\Program Files\McDonaldsFairies

2008-06-13 13:26 --------- d-----w D:\Program Files\NAPI-PROJEKT

2008-05-28 15:19 --------- d-----w D:\Documents and Settings\Zlotko\Dane aplikacji\Azureus

2008-05-18 20:01 --------- d-----w D:\Documents and Settings\Zlotko\Dane aplikacji\Ahead

2008-05-18 20:01 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\LightScribe

2008-05-18 16:36 --------- d-----w D:\Program Files\Common Files\LightScribe

2008-05-18 16:35 --------- d-----w D:\Program Files\Common Files\Ahead

2008-05-18 16:19 --------- d-----w D:\Program Files\Nero

2008-05-18 16:19 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Nero

2008-05-18 06:54 --------- d-----w D:\Program Files\Conduit

2008-05-17 16:50 716,272 ----a-w D:\WINDOWS\system32\drivers\sptd.sys

2008-05-08 12:28 202,752 ------w D:\WINDOWS\system32\DllCache\rmcast.sys

2008-05-07 05:03 1,291,776 ----a-w D:\WINDOWS\system32\quartz.dll

2008-05-07 05:03 1,291,776 ------w D:\WINDOWS\system32\DllCache\quartz.dll

2008-04-17 10:46 18,432 ------w D:\WINDOWS\system32\DllCache\iedw.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“D:\WINDOWS\system32\ctfmon.exe” [2004-08-04 02:44 15360]

“Gadu-Gadu”=“D:\Program Files\Gadu-Gadu\gg.exe” [2007-07-09 09:39 2119104]

“Skype”=“D:\Program Files\Skype\Phone\Skype.exe” [2007-09-13 13:31 22880040]

“swg”=“D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2008-05-10 19:08 68856]

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe” [2006-12-23 18:05 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“avast!”=“D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-05-16 01:19 79224]

“SunJavaUpdateSched”=“D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe” [2008-02-22 04:25 144784]

“NeroFilterCheck”=“D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 15:40 155648]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“D:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 02:44 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“VIDC.YV12”= yv12vfw.dll

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“D:\Program Files\Gadu-Gadu\gg.exe”=

“D:\Program Files\Azureus\Azureus.exe”=

“D:\Program Files\Skype\Phone\Skype.exe”=

R1 aswSP;avast! Self Protection;D:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R2 aswFsBlk;aswFsBlk;D:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

S3 usbstor;Sterownik magazynu masowego USB;D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 01:08]

*Newly Created Service* - CATCHME

.

        • ORPHANS REMOVED - - - -

HKCU-Run-ares - D:\Program Files\Ares\Ares.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-09 12:29:54

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-07-09 12:32:57

ComboFix-quarantined-files.txt 2008-07-09 10:32:48

Pre-Run: 1,486,438,400 bajtów wolnych

Post-Run: 2,344,632,320 bajtów wolnych

90 — E O F — 2008-06-20 09:39:57

#6

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Folder::

D:\Program Files\AskTBar

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

#7

link

#8

Powinno być Ok, na koniec skan Dr. Web CureIt

D:\WINDOWS\system32\epson32.dll - plik przeskanuj na http://virusscan.jotti.org/

#9

dziękuje bardzo za pomoc przeskanowałem jeszcze Dr. Web Curelt i nie ma żadnego wirusa. Czy muszę jeszcze skanować osobno ten plik przez jotti czy już wystarczy?PS przynajmniej nauczyłem się wklejać linki na forum a mówią że wirus to tylko nieszczęście :lol: =D>

#10

Przeskanuj jak możesz :slight_smile:

#11

skan

#12

Nie które skanery w tym pliku wykryły wirusa więc moze usuń ten plik

#13

a nic mi z kompem się nie stanie ?