Zarażenie Spyware.Possible_Website_Hijack


(trubul.as999) #1

Witam. Skanowałem właśnie komputer Spyware Doctorem, gdy w pliku host znalazł Spyware.Possible_Website_Hijack. Nie da się go wziąć na kwarantannę ani usunąć. Google dużo nie pomogło :frowning:

Jak się pozbyć tego spyware?

PS. Nie wiem, czy był już ten temat. Jak był, to proszę dać link :slight_smile:


(deFco247) #2

Jeśli chodzi o plik C:\WINDOWS\system32\drivers\etc\hosts ,

to wystarczy otworzyć go w Notatniku i zmienić go, aby wyglądał dokładnie tak:

# Copyright (c) 1993-1999 Microsoft Corp.

#

# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP

# w systemie Windows.

# Ten plik zawiera mapowania adresów IP na nazwy komputerów

# Każdy wpis powinien być w osobnej linii.

# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie 

# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone

# co najmniej jedną spacją

#

# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych

# liniach lub po nazwie komputera, oznaczając je symbolem '#'.

#

# Na przykład:

#

# 102.54.94.97 rhino.acme.com # serwer źródłowy

# 38.25.63.10 x.acme.com # komputer kliencki x


127.0.0.1 localhost

(trubul.as999) #3

Nie jestem pewien, czy to ten plik (podczas skanowania plików hosts pojawiła się ta informacja), ale być może.

Zrobię tak, jak powiedziałeś. :slight_smile:

-- Dodane 06.06.2009 (So) 17:03 --

Tak, to ten plik (przeskanowałem go jednorazowo i znalazł 2 infekcje)

-- Dodane 06.06.2009 (So) 17:06 --

Próbowałem, ale pokazuje przy zapisywaniu, że plik jest tylko do odczytu.

-- Dodane 06.06.2009 (So) 17:08 --

PS. Jeszcze pokazuje się:

"Nie można utworzyć pliku C:\WINDOWS\system32\drivers\etc\hosts

Upewnij się, czy ścieżka i nazwa pliku są poprawne"

:?

-- Dodane 07.06.2009 (N) 17:01 --

Eh... Ja głupi :smiley:

Jak tylko do odczytu, to tylko do odczytu... Odznaczyłem opcję TYLKO DO ODCZYTU i się dało :slight_smile: Spyware usunięty.

Dzięki deFco247 za pomoc.


(Laura 91) #4

Ja też mam identyczny problem ale chodzi chyba o inny plik.Oczywiście mogę się mylić,bo nic z tego loga nie rozumiem.

Podaję linka.Możecie mi jakoś pomóc?

http://wklej.org/id/105627/?zawin=0


(trubul.as999) #5

Czy po skanowaniu Spyware Doctorem pokazuje się, że komputer jest zainfekowany Spyware.Possible_Website_Hijack? (chodzi mi dokładnie o tą infekcję).

-- Dodane 14.06.2009 (N) 16:31 --

PS. Po przejrzeniu loga, zauważyłem, że masz 2 antywirusy. Odinstaluj jeden (jeśli Kasperesky jest już odinstalowany, to usuń szczątki).

http://dobreprogramy.pl/index.php?dz=2& ... eeker+1.55 - tym usuń szczątki w rejestrze i przeczyść rejestr.

http://www.ccleaner.com/download/downloading - tym wyczyść komputer.

A szczątki po Kasperskym możesz usunąć ręcznie :slight_smile:

"c:\program files\Kaspersky Lab

c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files"

PPS. Wszystkie rzeczy, które ściągnęłaś ze strony freeze.com, usuń. To niebezpieczna strona, przeładowana wirusami. Ma powiązania ze stroną ezthemes.com (pod żadnym pozorem nic z niej nie ściągaj ani nie wchodź - na wszelki wypadek), która zawiera ok. 36000 wirusów i spywarów (najbardziej zawirusowana strona, jaką widziałem). Jakby co, przeskanuj komputer jakimś antywirusem (Norton może być).

Jakby moje argumenty Cię nie przekonywały, to:

http://www.siteadvisor.com/sites/freeze ... cale=pl-PL

http://www.mywot.com/scorecard/freeze.com (tylko nie wiem, czy ta 2 strona się uruchomi, bo mają problem z serwerem)

http://www.siteadvisor.com/sites/ezthem ... cale=pl-PL


(96jasio96) #6

Mógłbyś mi powiedzieć gdzie widzisz Kasperskiego ??

:arrow: Pobierz The Avenger

Skopiuj do niego :

Kliknik The%20Avenger.JPG


(trubul.as999) #7

http://wklej.org/id/105627/?zawin=0

rząd 60. i 61.

A tak przy okazji(bo nie wiem).

Co to to C:\FOUND.000

C:\FOUND.001

C:\FOUND.010


(96jasio96) #8

C:\FOUND.001 i takie tam to microsoft.public.security.virus


(deFco247) #9

post2202311.html#p2202311


(Laura 91) #10

Dzięki wielkie wam obu za pomoc!

A więc trubul.as999

"Czy po skanowaniu Spyware Doctorem pokazuje się, że komputer jest zainfekowany Spyware.Possible_Website_Hijack? (chodzi mi dokładnie o tą infekcję)."

Tak,to ta infekcja (x2) ; znalazł ją Spyware Doctor.

Kasperskiego już wcześniej odinstalowałam i usunęłam ręcznie szczątki.Ściągnęłam też 2 programy,o których pisałeś.

W RegSeeker dałam "Auto Clean" to chyba usunęło wszystko...?

"PPS. Wszystkie rzeczy, które ściągnęłaś ze strony freeze.com, usuń. To niebezpieczna strona, przeładowana wirusami. Ma powiązania ze stroną ezthemes.com (pod żadnym pozorem nic z niej nie ściągaj ani nie wchodź - na wszelki wypadek), która zawiera ok. 36000 wirusów i spywarów (najbardziej zawirusowana strona, jaką widziałem). Jakby co, przeskanuj komputer jakimś antywirusem (Norton może być)."

Niestety masz rację,chciałam ściągnąć tapetę z Freeze.com,razem z tapetą ściągnęło mi się chyba 3 programy i jeszcze parę skrótów na pulpit.Były to np.programy antywirusowe,których nazw nigdy wcześniej nie widziałam^^ od razu to usunęłam ale widocznie zdążyło się wcześniej zainfekować.

P.S. Twoje argumenty mnie przekonują xD

jasio96:

Pobrałam program,zrobiłam wszystko jak napisałeś i usunęłam ręcznie ten plik.

Tu masz raport z usuwania,chyba wszystko jest w porządku :wink: Zrobię jeszcze skan Doctorem Spyware.

_________________________________________________

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Folder "C:\FOUND.000" deleted successfully.

Folder "C:\FOUND.001" deleted successfully.

Folder "C:\FOUND.010" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


(deFco247) #11

Laura91 , jeśli masz ten sam problem z tym samym plikiem C:\WINDOWS\system32\drivers\etc\hosts ,

to zrób to samo, co napisałem tutaj w swym pierwszym poście. :roll:


(Laura 91) #12

Nie,chodziło mi właśnie o to,że też mam problem z tym Spyware ale raczej nie z tym plikiem. Jeszcze nie skończyłam skanu ale wszystko wydaje się być już ok.

-- Dodane 15.06.2009 (Pn) 0:23 --

Chole*ka,jest jeszcze gorzej :smiley:

deFco247 , Skanowałam ten plik (C:\WINDOWS\system32\drivers\etc\hosts) i jest czysto.

Niestety dalej się pojawia Spyware.Possible_Website_Hijack, do tego doszedł mi Trojan.Zapchast!sd6 i

Trojan-PWS.Bancos.PWN (oba trojany w System Volume Information-ale udało mi się je usunąć, czy mam wyłączyć przywracanie systemu??)

I skąd one się w ogóle wzięły? Przed ściąganiem tych programów i usuwaniem Freeze.com tego nie było.


(96jasio96) #13

Załóż swój wątek a w nim :arrow: Daj logi z ComboFix i HijackThis

Pamiętaj o kolejności !


(Laura 91) #14

Ok.Jak najlepiej zatytułować mój wątek?


(96jasio96) #15

A bo ja wiem ... Np. "Problem ze Spyware - Logi z ComboFix i HijackThis"


(Laura 91) #16

No tak,inteligentne pytanie:) ale dzięki za pomoc,ściągnę HijackThis i założę.