Spyware

marcin_kar · 23 Marzec 2005 05:41

Pomocy włączam kompa i jakiś syf mi w opperze wyskakuje!

detektyw · 23 Marzec 2005 05:48

daj loga z HiJackThis 8)

winnipool · 23 Marzec 2005 05:54

Co rozumiesz poprzez syf w operze? Jakieś strony dziwne wyskakują czy jakieś komunikaty?

Damian · 23 Marzec 2005 06:05

Wyczyść cookies i tymczasowe pliki internetowe, potem daj loga z HijackThis jak mówi detektyw.

marcin_kar · 23 Marzec 2005 08:01

Logfile of HijackThis v1.99.1

Scan saved at 09:01:06, on 2005-03-23

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\WINDOWS\CNYHKey.exe

C:\WINDOWS\StopHid.exe

C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

C:\Program Files\WDC\SetIcon.exe

C:\WINDOWS\system32\gah95on6.exe

C:\windows\system32\sysdxvid.exe

C:\windows\system32\eshmqpd.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\PROGRA~1\COMMON~1\immo\immom.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\PROGRA~1\COMMON~1\immo\immoa.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\system32\rundll32.exe

C:\windows\system32\calc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Documents and Settings\v\Pulpit\e-mule\emule.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Opera\Opera.exe

C:\Documents and Settings\v\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.pol.chello.pl/ssi/welcome/welcome.php?

url=home

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0

CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll

O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\system32\trgen.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - (no file)

O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\system32\dsktrf1.dll

O4 - HKLM…\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM…\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM…\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM…\Run: [CHotkey] mHotkey.exe

O4 - HKLM…\Run: [CNYHKey] CNYHKey.exe

O4 - HKLM…\Run: [stopHid] StopHid.exe

O4 - HKLM…\Run: [CreativeMouse] C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [setIcon] \Program Files\WDC\SetIcon.exe

O4 - HKLM…\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe

O4 - HKLM…\Run: [sysdxvid] c:\windows\system32\sysdxvid.exe /nocomm

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [farmmext] C:\WINDOWS\farmmext.exe

O4 - HKLM…\Run: [eshmqpd] c:\windows\system32\eshmqpd.exe

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU…\Run: [immo] C:\PROGRA~1\COMMON~1\immo\immom.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

http://security.symantec.com/sscv6/Shar … vSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/Shar … /cabsa.cab

O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} (Java Runtime Environment 1.4.2) -

O17 - HKLM\System\CCS\Services\Tcpip…{986C81BA-787A-4D7B-817F-6FD4F5C70E47}: NameServer =

62.179.1.60,62.179.1.61,213.46.243.88

O17 - HKLM\System\CS1\Services\Tcpip…{986C81BA-787A-4D7B-817F-6FD4F5C70E47}: NameServer =

62.179.1.60,62.179.1.61,213.46.243.88

O17 - HKLM\System\CS2\Services\Tcpip…{986C81BA-787A-4D7B-817F-6FD4F5C70E47}: NameServer =

62.179.1.60,62.179.1.61,213.46.243.88

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)

O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network

Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network

Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network

Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Kamcia_18 · 23 Marzec 2005 11:28

(wylacz przywracanie systemu)

w trybie awaryjnym

INFO: (w HijackThis)

przed wykasowaniem wpisow zrob BACKUP - kopie zapasowa

kasujesz TAK:

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll

O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll

O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\system32\trgen.dll

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - (no file)

O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\system32\dsktrf1.dll

[znasz zostawiasz /NIE/ kasacja!!] - brak INFO:

O4 - HKLM…\Run: [stopHid] StopHid.exe

O4 - HKLM…\Run: [CreativeMouse] C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

[znasz zostawiasz /NIE/ kasacja!!] - brak INFO:

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe

O4 - HKLM…\Run: [sysdxvid] c:\windows\system32\sysdxvid.exe /nocomm

[znasz zostawiasz /NIE/ kasacja!!] - brak INFO:

O4 - HKLM…\Run: [farmmext] C:\WINDOWS\farmmext.exe

[Transponder parasite updater/installer]

O4 - HKLM…\Run: [eshmqpd] c:\windows\system32\eshmqpd.exe

O4 - HKCU…\Run: [immo] C:\PROGRA~1\COMMON~1\immo\immom.exe

[znasz zostawiasz /NIE/ kasacja!!] - brak INFO:

1.) sciagnij CWShredder 2.3, szczepionke G DATA

http://cwshredder.net/bin/CWShredder.exe

http://dobreprogramy.pl/index.php?dz=2&t=73&id=846

INFO:

przeskanuj nimi w trybie awaryjnym z wylacz. kablem sieciowym

—>>>

reset kompa tryb normal

2.) UPDATE PestPatrola i skanujesz nim partycje systemowa

przeskanuj takze ETD_Security lub Ad-Aware

http://forum.dobreprogramy.pl/viewtopic … highlight=

3.) skan skanerami AV

//IE//

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

–Softwin (BitDefender)–

http://www.bitdefender.com/scan/licence.php

//alternatywna przegladarka//

–Trend Micro (PC-cillin)–

http://housecall.trendmicro.com/houseca … t_corp.asp

kuz5 · 23 Marzec 2005 12:15

Pogróbione pliki usuń ręcznie z dysku.

Usuń jeszcze to:

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)