Spyware, czy wirus? Tak , czy owak:pomocy!!

29.06.04, 19:38
Od paru dni prześladuje mnie program Home search, niby z Microsoftu, ale
dziwny, bo upierdliwy .Najpierw zainstalował się jako strona startowa , potem
zaczął mi przerywać pisanie maili (pojawiało się okno, klawiatura przestawała
działać). Ale prawdziwe kuku pojawiło się dzisiaj, gdy próbowaliśmy się ,
całą rodziną tego drania pozbyć. Nie pomaga nic:ani klikanie na narzędzia i
próba ustawienia znowu googli jako str. startowa, ani przywracanie systemu,
ani wywalanie go , on s...kot wciąż wraca.Czy jest tu ktoś, kto mógłby mi
pomóc????
    • sorta Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 29.06.04, 19:45
      Witam. Bardzo polecam strone www.mks.com.pl i tam jest odnosnik do
      skanera online. wtedy zainstaluje sie nam na dysku antywirus, ktory rowniez
      wykrywa spyware itp.... Radze to sprobowac...
      Pozdrawiam

      Terem smile)) Na pomoc wezwałam tego niby madrego bo był pod reka ale juz
      gdzies polazł gdyby nie wystarczyło smile)
    • bodzio49 Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 29.06.04, 19:52
      Znam tego s-kota he,he. Też napsuł mi krwi. Nie tylko wyłączał klawiaturę ale
      też chyba monitor. Żadne programy spyware nie ruszają bydlęcia. Instaluje się w
      katalogach Windowsa podszywając się pod normalne programy.
      Ja bałem się wycinać sam, więc i Tobie nie będę próbował pomagać. Poprosiłem
      firmowego informatyka do domu i on zrobił to szybciutko.
    • kiteye Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 29.06.04, 20:40
      Polecam lekture tego artykulu
      www.searchengines.pl/phpbb203/index.php?showtopic=15130
      A przedtem wyposazenie sie w programik HijackThis s tego linku
      www.spychecker.com/download/download_hijackthis.html
      Pozdrawiam i zycze powodzenia
      • warum Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 29.06.04, 21:02
        Hmm?sad(( Poczytalam, przerazilam sie,ze tez to mam/ a moze mialam? bo wczoraj
        dopadla mnie bardzo powazna awaria komputerow w pracy/ i teraz mysle,ze
        liczydlo powinno byc wpisane w obowiazkowe wyposazenie biura, a zakaz noszenia
        zegarka - wrecz sprawdzany na wejsciu.
      • bodzio49 Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 29.06.04, 21:17
        Witaj kiteye. Chyba pierwszy raz tutaj, nie licząc albumu smile
        Może jesteś specem od kompów?
    • terem Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 29.06.04, 21:43
      Dzięki, kochani, jutro lece do informatyka, i nie spocznę, póki mi tego bydlaka
      nie odinstaluje.Ale, co ciekawe, bydlę się w ogóle dzisiaj nie odzywa. Czyżby
      coś wyczuło???To mi się wydaje grożne,a jeśli jutro zechce zjeść mój monitor,
      to niech się dobrze zastanowi! Czuję, ze mam w sobie moc wiedżmy, drżyjcie ,
      hakerzy!!
      • skynews Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 29.06.04, 22:00

        Przeskanuj komputer programem HijackThis v1.97.7 i wstaw tutaj na forum
        Logfile of HijackThis(kiteye podal/podala link)
        Odpisze Ci co trzeba wykasowac i po problemie.
      • wywrot53 Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 30.06.04, 00:30
        Terem szkoda kasy na informatyka.
        Zrób tak jak mówi Skynews.
        Niektórym z nas pomógł i zadziałałosmile))
        • ada296 Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 30.06.04, 00:34
          Terem posłuchaj Wywrot
          a właściwie to posłuchaj Sky
          On wie co mówi
          i naprawdę pomaga - w każdym razie mi pomógł smile))

          pozdrawiam
    • terem Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 30.06.04, 18:42
      Dzięki za rady, ale janie mam tego programu do skanowania.Skąd go wziąć?T.
      • terem Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 30.06.04, 18:55
        Skynews, oto logfile:

        Logfile of HijackThis v1.97.7
        Scan saved at 18:49:53, on 2004-06-30
        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Norton AntiVirus\navapsvc.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\javabl.exe
        C:\WINDOWS\System32\carpserv.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
        C:\WINDOWS\System32\hphmon04.exe
        C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
        C:\Program Files\Microsoft Hardware\Mouse\point32.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
        C:\WINDOWS\apito.exe
        C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
        C:\WINDOWS\System32\RUNDLL32.EXE
        C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe
        C:\Program Files\MediaKey\Versato.exe
        C:\Program Files\Realtek\Rtl8180\RtlWake.exe
        C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
        C:\Program Files\MediaKey\OSD.EXE
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Documents and Settings\Sarenka\Moje dokumenty\HijackThis.exe
        C:\Program Files\Messenger\msmsgs.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        www.infoseek.pl/
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\irjvw.dll/sp.html#96676
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        res://irjvw.dll/index.html#96676
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
        res://irjvw.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\irjvw.dll/sp.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        res://irjvw.dll/index.html#96676
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
        res://C:\WINDOWS\irjvw.dll/sp.html#96676
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
        Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
        O2 - BHO: (no name) - {7AADB064-A5E8-89CE-8C2D-97FBBFCEDB99} -
        C:\WINDOWS\system32\sdkar.dll
        O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
        Files\Norton AntiVirus\NavShExt.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
        C:\Program Files\Norton AntiVirus\NavShExt.dll
        O4 - HKLM\..\Run: [CARPService] carpserv.exe
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
        \spool\drivers\w32x86\3\hpztsb07.exe
        O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
        O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11
        \hphinstall\UniPatch\hphupd04.exe"
        O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-
        Packard\HP Share-to-Web\hpgs2wnd.exe
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
        \NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [POINTER] point32.exe
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
        Shared\ccApp.exe"
        O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
        Shared\ccRegVfy.exe"
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03
        \bin\jusched.exe
        O4 - HKLM\..\Run: [c489066e942224912173e89f985a54d9] C:\Program Files\Internet
        Explorer\c489066e942224912173e89f985a54d9.exe
        O4 - HKLM\..\Run: [0cBX] C:\docume~1\muminek\ustawi~1\temp\0cBX.exe
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [Intense Registry Service] IntEdReg.exe /CHECK
        O4 - HKLM\..\Run: [apito.exe] C:\WINDOWS\apito.exe
        O4 - HKCU\..\Run: [Versato] "C:\Program Files\MediaKey\MagicRun.exe"
        O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
        O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
        \NVMCTRAY.DLL,NvTaskbarInit
        O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-
        Gadu\gg.exe" /tray
        O4 - HKLM\..\RunOnce: [javabl.exe] C:\WINDOWS\javabl.exe
        O4 - HKLM\..\RunOnce: [ipsb.exe] C:\WINDOWS\system32\ipsb.exe
        O4 - HKLM\..\RunOnce: [apprr32.exe] C:\WINDOWS\system32\apprr32.exe
        O4 - HKLM\..\RunOnce: [msiy32.exe] C:\WINDOWS\system32\msiy32.exe
        O4 - HKLM\..\RunOnce: [netxw.exe] C:\WINDOWS\netxw.exe
        O4 - HKLM\..\RunOnce: [sdkjt32.exe] C:\WINDOWS\system32\sdkjt32.exe
        O4 - HKLM\..\RunOnce: [mshh.exe] C:\WINDOWS\mshh.exe
        O4 - HKLM\..\RunOnce: [atlti32.exe] C:\WINDOWS\atlti32.exe
        O4 - HKLM\..\RunOnce: [javaem32.exe] C:\WINDOWS\javaem32.exe
        O4 - HKLM\..\RunOnce: [crtm.exe] C:\WINDOWS\crtm.exe
        O4 - HKLM\..\RunOnce: [ieby32.exe] C:\WINDOWS\system32\ieby32.exe
        O4 - HKLM\..\RunOnce: [apicl.exe] C:\WINDOWS\apicl.exe
        O4 - HKLM\..\RunOnce: [apiom32.exe] C:\WINDOWS\apiom32.exe
        O4 - HKLM\..\RunOnce: [javahe32.exe] C:\WINDOWS\javahe32.exe
        O4 - HKLM\..\RunOnce: [mfchb32.exe] C:\WINDOWS\system32\mfchb32.exe
        O4 - HKLM\..\RunOnce: [sdkad32.exe] C:\WINDOWS\sdkad32.exe
        O4 - HKLM\..\RunOnce: [winxj32.exe] C:\WINDOWS\system32\winxj32.exe
        O4 - HKLM\..\RunOnce: [syswy.exe] C:\WINDOWS\system32\syswy.exe
        O4 - HKLM\..\RunOnce: [sysxb32.exe] C:\WINDOWS\sysxb32.exe
        O4 - HKLM\..\RunOnce: [mfccv.exe] C:\WINDOWS\system32\mfccv.exe
        O4 - HKLM\..\RunOnce: [appqz32.exe] C:\WINDOWS\system32\appqz32.exe
        O4 - HKLM\..\RunOnce: [apppt.exe] C:\WINDOWS\system32\apppt.exe
        O4 - HKLM\..\RunOnce: [sdkgq.exe] C:\WINDOWS\system32\sdkgq.exe
        OGET /cafe/cafe/2534/2534253/122272.jpg HTTP/1.1
        Connection: Keep-Alive, Calypso-Control
        Host: cafe.gazeta.pl
        User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.7) Gecko/20040614 Firefox/0.9
        Accept: image/png,*/*;q=0.5
        Accept-Language: pl,en-us;q=0.7,en;q=0.3
        Accept-Charset: ISO-8859-2,utf-8;q=0.7,*;q=0.7
        Keep-Alive: 300
        Referer: cafe.gazeta.pl/cafe/1593743,47094,0,P_ANONS,1206878.html?str=5
        • skynews Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 01.07.04, 10:26

          Wyłącz we właściwościach Twojego połączenia do Internetu
          Udostępnianie plików i drukarek Panel Sterowania - Sieć.

          Za dużo programow startuje automatycznie wraz ze startem komputera pracujac w
          tle mimo ze nie sa używane.To nie musi byc.

          Kliknij Start - Wprowadzic - wpisz polecenie: msconfig - ok - start systemu
          i deaktywuj wszystkie haczyki oprocz dotyczacych myszki,klawiatury i programu
          antywirusowego.
          Wystartuj komputer ponownie,wazne.
          Tym sposobem nie kasujemy zadnych programow tylko zapobiegamy ich ciaglej pracy
          w tle - konkretny program bedzie nadal funkcjonowal gdy klikniemy na jego symbol.

          Wystartuj ponownie HijackTHis wykonaj Scan i zaznacz te pozycje:

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          res://C:\WINDOWS\irjvw.dll/sp.html#96676
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          res://irjvw.dll/index.html#96676
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
          res://irjvw.dll/index.html#96676
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          res://C:\WINDOWS\irjvw.dll/sp.html#96676
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          res://irjvw.dll/index.html#96676
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
          res://C:\WINDOWS\irjvw.dll/sp.html#96676
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

          O4 - HKLM\..\Run: [0cBX] C:\docume~1\muminek\ustawi~1\temp\0cBX.exe

          O4 - HKLM\..\Run: [apito.exe] C:\WINDOWS\apito.exe
          O4 - HKCU\..\Run: [Versato] "C:\Program Files\MediaKey\MagicRun.exe"
          O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

          O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
          \NVMCTRAY.DLL,NvTaskbarInit

          Po zaznaczeniu wykonaj FIX CHECKED i OK. Wysrartuj komputer ponownie.

          W Opcjach Internetowych usuń wszystkie Tymczasowe pliki Internetowe i Cooki's.

          Z Logfile mozna wykasowac znacznie wiecej wpisow,ktore zwalniaja Twoj komputer.
          Odinstaluj w Panelu sterowania Dodaj/Usuń programy - wszystkie
          programy, co do których nie masz pewności, że są Ci potrzebne.

          Wykonaj ponownie programem HijackThis Scan i ponownie zamiesc tutaj w forum
          Logfile z ostatniego skanowania,wowczas bede Ci mogl napisac co ostatecznie
          jeszcze musi byc wykasowane.
          • terem Re: Spyware, czy wirus? Tak , czy owak:pomocy!! 01.07.04, 18:02
            Niestety, nie pomogło. Usunięte pliki powróciły (większość z nich)sad

            Logfile of HijackThis v1.97.7
            Scan saved at 17:59:54, on 2004-07-01
            Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\Program Files\Norton AntiVirus\navapsvc.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\apikk.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Realtek\Rtl8180\RtlWake.exe
            C:\WINDOWS\system32\d3eb.exe
            C:\Program Files\Hijack This\HijackThis.exe

            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
            res://C:\WINDOWS\irjvw.dll/sp.html#96676
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            res://irjvw.dll/index.html#96676
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
            res://irjvw.dll/index.html#96676
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
            res://C:\WINDOWS\irjvw.dll/sp.html#96676
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
            res://irjvw.dll/index.html#96676
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
            res://C:\WINDOWS\irjvw.dll/sp.html#96676
            O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
            Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
            O2 - BHO: (no name) - {7AADB064-A5E8-89CE-8C2D-97FBBFCEDB99} -
            C:\WINDOWS\system32\sdkar.dll
            O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
            Files\Norton AntiVirus\NavShExt.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\System32\msdxm.ocx
            O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
            C:\Program Files\Norton AntiVirus\NavShExt.dll
            O4 - HKLM\..\Run: [d3eb.exe] C:\WINDOWS\system32\d3eb.exe
            O4 - HKLM\..\RunOnce: [d3ld32.exe] C:\WINDOWS\system32\d3ld32.exe
            O4 - HKLM\..\RunOnce: [atluj.exe] C:\WINDOWS\system32\atluj.exe
            O4 - HKLM\..\RunOnce: [sysil.exe] C:\WINDOWS\sysil.exe
            O4 - HKLM\..\RunOnce: [nethz.exe] C:\WINDOWS\system32\nethz.exe
            O4 - HKLM\..\RunOnce: [appff32.exe] C:\WINDOWS\appff32.exe
            O4 - HKLM\..\RunOnce: [mssz.exe] C:\WINDOWS\mssz.exe
            O4 - HKLM\..\RunOnce: [apikk.exe] C:\WINDOWS\system32\apikk.exe
            O4 - Global Startup: Norton AntiVirus 2003.lnk = C:\Program Files\Common
            Files\Symantec Shared\NMain.exe
            O4 - Global Startup: RtlWake.lnk = ?
            O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
            C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
            O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
            O9 - Extra button: Messenger (HKLM)
            O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
            O14 - IERESET.INF: START_PAGE_URL=www.vobis.pl/
            O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
            download.macromedia.com/pub/shockwave/cabs/director/sw.cab
            O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
            imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
            O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
            a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/abarth/us/win/QuickTimeInstaller.exe
            O16 - DPF: {69432678-2906-2705-1128-068943397621} -
            O16 - DPF: {8EF27A70-DD04-11D6-B7F6-00A0C9CD5F8A} -
            www.quikshield.com/qshsetup.exe
            O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) -
            www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{9440BB56-2FF5-4BB7-89A2-666AA00649BF}:
            NameServer = 194.204.159.1,194.204.152.34

Inne wątki na temat:
Pełna wersja