pokonac spywere :/ Opcje

[goped]

heh, zlapalem gdzies jakiegos spywere. zespsul mi obsluge dzwiekow(nic nie gra i wyskakuja bledy), gg(co chwile wyskakuje error7(nie wiem co to)) i kilka innych programow. do tego co chwile okienka w IE i pod about:blank, mam strone z linkami itp. a nie da sie zmienic i musze miec about:blank jako startowa. siedzialem caly dzien i lipa. wiem skad przyszedl i kiedy, dzieki anti-spywere microsoftu wiem gdzie jest ta strona ktora sie pokazuje i moge usunac. niestety, sam robak jest niewiadomo gdzie. kiedy usune lub zmienie ta strone to on tworzy nastepny plik taki sam na nowo o innej nazwie i zmienia ustawienia IE. nie znalazly go, a nawet nie znalazly jego rezultatow programy: mks vir online(www.bezpieczenstwo.onet.pl), AVG 6, ad-aware personal, microsoft anti-spywere. ja znalazlem sam rezultaty a programy nie, wiec zapomniec o tym ze znajda tego robaka ktory kieruje. co zrobic z tym koksem? format nie wchodzi w rachube.thx bye bye.

tutaj macie linka, do rezultatu. jest nim plik dll ktory zawiera kod strony, ale nie wiem czemu nie chcialo mi go tu wkleic :/ spywere

[shizo]

Daj loga z HijackThis. i Nazwę tego spyware. Jakie błędy wyskakują. UPDATE: Przeskanuj także CWSHredder, bo to mi wygląda na tego trojana.

Ten post edytował shizo 18.01.2005, 08:30:58

[goped]

Kod

Logfile of HijackThis v1.99.0
Scan saved at 01:07:16, on 2005-01-18
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Raxco\PerfectDisk\PDSched.exe
D:\WINDOWS\msoo32.exe
D:\WINDOWS\winsv.exe
D:\Program Files\Microsoft AntiSpyware\gcasServ.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\Tlen.pl\tlen.exe
D:\Program Files\Gadu-Gadu2\gg.exe
C:\tomka\tomka1\hack\uap.exe
D:\PROGRA~1\DAP\DAP.EXE
D:\Program Files\WinRAR\WinRAR.exe
D:\DOCUME~1\goped\LOCALS~1\Temp\Rar$EX00.703\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\dcnmo.dll/sp.html#10002
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\system32\dhlql.dll/sp.html#10002
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\system32\gkbkk.dll/sp.html#10002
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\system32\gkbkk.dll/sp.html#10002
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\dcnmo.dll/sp.html#10002
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32\gkbkk.dll/sp.html#10002
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\system32\gkbkk.dll/sp.html#10002
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.170.208.59:3128
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {51E4EE45-BA40-57B4-3B08-F74C8989B6D2} - D:\WINDOWS\system32\ipvc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [crxu.exe] D:\WINDOWS\system32\crxu.exe
O4 - HKLM\..\Run: [5CF.tmp] D:\DOCUME~1\goped\LOCALS~1\Temp\5CF.tmp.exe 1 10001
O4 - HKLM\..\Run: [winsv.exe] D:\WINDOWS\winsv.exe
O4 - HKLM\..\Run: [sais] d:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunOnce: [msoo32.exe] D:\WINDOWS\msoo32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /none
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu2\gg.exe" /tray
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\PROGRA~1\DAP\DAP.EXE
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range:  (HKLM)
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {B4F32846-56DD-4CF5-94FD-17DE1A12E9EB} (CounterX Class) - http://t058.com/cabtest/counter.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {F96D229F-129A-43B5-9B51-B7820E1BF2D3} (GameControl2 Control) - http://www.miastoplusa.pl/applets/GameControl104.cab
O23 - Service: Ati HotKey Poller - Unknown - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG6 Service - GRISOFT s.r.o - D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - D:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Netropa NHK Server - Unknown - D:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: Network Security Service - Unknown - D:\WINDOWS\netng32.exe (file missing)

[sztosz]

Zapraszan na www.hijackthis.de wklej sobie loga tam i zobaczysz ile masz syfu. Bo za duzo tego zeby omawiac tu

Ten post edytował sztosz 18.01.2005, 12:04:13

[goped]

nie wszystko jest syfem, ale wiekszosc niestety :/

[Seth]

Zainstaluj Ad-aware oraz Spy Bot'a - uaktualnij bazy i odpal.

[goped]

juz dawno to robilem, na poczatku , ale spoko, HijackThis sobie juz poradzil i wywalil gada :] thx for all pozdro :] bye bye

[sztosz]

Chyba gady, bo tam kilka było

Ten post edytował sztosz 18.01.2005, 22:02:31

[Chewolf]

Może to Ot ale mi bardzo pomógł Giant AntiSpyware ... komputer z windows xp poprostu sie grzebał tak że nie można było pracować... teraz chodzi szybciutko i elegancko

[kubatron]

A ja tak zapytam, skanuje programem Ad-Aware i SpyBot komputer, i mam problemy z uruchomieniem komputera, system WinXP i musze czekac jakies 5 min na załadowanie sie komputera :/ pisze mi Trwa uruchamianie systemu... a botów nie mam ani wirusów co może być przyczyną?

[sztosz]

Zapchane usługi, słaby sprzet, ogólne zasmiecenie, niespójny rejestr z mnóstwem smieci, rózne żeczy.

[sirrus]

Tak apropo - jest już betka tego Microsoftowego narzędzia do "radzenia sobie" z spyware. Ktoś już może testował?

[sztosz]

Jak na razie beta, widziałem screena ze msconfig wykrywal jako spyware

[shizo]

Już jest ofivjalna wersja na WindowsUpdate

[Chewolf]

Tak apropo - jest już betka tego Microsoftowego narzędzia do "radzenia sobie" z spyware. Ktoś już może testował?

To jest to samo co Giant Antispyware , tylko ze nie wiem czy Microsoft to wykupil czy kazał sobie zlecić wydanie wersji pod jego logiem. Musze przyznać że dobrze wybrali :-).

[escaflowne]

On December 16, 2004, Microsoft announced its acquisition of GIANT Company Software, Inc. [...]

Microsoft kupił Giant Company. I przy okazji stał się właścicielem całkiem adekwatnej do swej wielkości domeny

Microsoft AntiSpyware to niezły software, ale muszą jeszcze popracować przynajmniej nad dwiema rzeczami:
- prędkością uruchamiania
- zamulaniem całego kompa, kiedy aplikacja działa w tle

[goped]

ja testowalem, znalazl robaki i wszystkie wywalil :] no oprocz tego jednego :]