w32.spybot.worm - co z tym zrobić ?

IP: *.neoplus.adsl.tpnet.pl 18.07.04, 23:15
Proszę o pomoc - nie wiem co z tym zrobić.
    • kalinowski11 Re: w32.spybot.worm - co z tym zrobić ? 19.07.04, 08:29
      securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html
      Jeśli masz XP włącz jego firewalla :

      www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
      Masz jakiś antywirus na stałe ? Jeśli nie to :

      Zainstaluj program antywirusowy do domowego użytku AVAST4 Home.
      Jest to bezpłatny program antywirusowy po polsku.

      Wersję polską możesz ściągnąć stąd :

      www.avast.com/i_idt_1016.html

      Przed instalacją zarejestruj się tu :

      www.avast.com/i_kat_207.php?lang=ENG
      Dzięki rejestracji otrzymasz mailem klucz rejestracyjny,
      który umożliwi przez rok bezpłatną aktualizacje bazy wirusów.

      Potem zajrzyj tutaj :

      www.windowsupdate.com/
      Wyłącz przywracanie systemu :

      support.microsoft.com/default.aspx?scid=kb;pl;310405
      Przeskanuj system siągniętym Avastem .

      Przeskanuj jeszcze system Ad-aware , który
      znajduje i likwiduje różne "paskudztwa" .

      download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=buton
      dobreprogramy.pl/index.php?dz=2&t=39&id=151&t=39
      Przed pierwszym użyciem ustaw Ad-aware w sposób pokazany tutaj :

      ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
      1. Ściągnij , zainstaluj , uruchom .
      2. "sprawdż uaktualnienie"
      3. "połącz"
      4. po wczytaniu ewentualnych aktualizacji "zakończ"
      5. "uruchom"
      6. "dalej"
      7. po skanowaniu "zakończ" , lub "dalej" jeżeli program coś
      znajdzie .
      8. zaznacz znalezione "pozycje"
      9. "dalej"
      10.program spyta , czy usunąć zaznaczone obiekty - "tak" .

      Jeżeli nie pomogło , ściągnij poniższy program . HijackThis
      pokaże co "siedzi" w Twoim kompie .

      209.133.47.12/~merijn/files/HijackThis.exe
      www.majorgeeks.com/downloadget.php?id=3155&file=3&evp=3304750663b552982a8baee6434cfc13

      1.Ściągnij , uruchom .
      2.Scan .
      3.Save Log .
      4.Zapisany log "skopiuj na myszkę" , wklej do posta i wyślij
      na forum . Może jakaś "dobra dusza" się nad Tobą zlituje ;)
      5.W wypadku gdy chcemy coś skasować , otwieramy Hijacka jeszcze
      raz , klikamy Scan , zaznaczamy co chcemy skasować i klikamy
      Fix checked . Z OPCJI KASOWANIA KORZYSTAMY PO KONSULTACJI NA FORUM .

      Pozdrawiam .
      • Gość: gk22 Re: w32.spybot.worm - co z tym zrobić ? IP: *.neoplus.adsl.tpnet.pl 19.07.04, 09:07
        uruchomiłem komputer w trybie awaryjnym, po czym zeskanowałem przy pomocy
        Norton AV który wykrył i usunął zainfekowane pliki. Obecnie ani NAV, ani ad-
        aware oraz skaner on line Panda AV nie wykrywają żadnych infekcji. Czy znaczy
        to, że wszystko OK ??
        • kalinowski11 Re: w32.spybot.worm - co z tym zrobić ? 19.07.04, 09:09
          Mam nadzieję ,że tak :) ale wklej jeszcze log z hijacka .
          • Gość: gk22 Re: w32.spybot.worm - co z tym zrobić ? IP: *.neoplus.adsl.tpnet.pl 19.07.04, 09:36
            czy to chodzi o to :


            Logfile of HijackThis v1.98.0
            Scan saved at 09:32:08, on 2004-07-19
            Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\System32\Ati2evxx.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
            C:\Program Files\Norton Personal Firewall\NISUM.EXE
            C:\Program Files\Bluetooth Software\bin\btwdins.exe
            C:\Program Files\Norton Personal Firewall\ccPxySvc.exe
            C:\PROGRA~1\NORTON~2\NORTON~1\GHOSTS~2.EXE
            C:\WINDOWS\system32\Ati2evxx.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Norton AntiVirus\navapsvc.exe
            C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
            C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
            C:\WINDOWS\System32\svchost.exe
            C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
            C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
            C:\Program Files\Common Files\Symantec Shared\ccApp.exe
            C:\Program Files\Logitech\iTouch\iTouch.exe
            C:\WINDOWS\System32\NPRTOECT.exe
            C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
            C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
            C:\WINDOWS\System32\wjservb.exe
            C:\WINDOWS\System32\ctfmon.exe
            C:\Program Files\Messenger\msmsgs.exe
            C:\Program Files\Bluetooth Software\BTTray.exe
            C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe
            C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
            C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
            C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
            C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
            C:\WINDOWS\System32\HPZipm12.exe
            C:\Program Files\Wanadoo\EspaceWanadoo.exe
            C:\Program Files\Wanadoo\ComComp.exe
            C:\Program Files\Wanadoo\Watch.exe
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\WINDOWS\System32\snlogsvc.exe
            C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Temp\Katalog tymczasowy 1
            dla hijackthis.zip\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.wp.pl/
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
            Plus wita Cie w Internecie
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
            O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
            Files\Norton AntiVirus\NavShExt.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\System32\msdxm.ocx
            O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
            C:\Program Files\Norton AntiVirus\NavShExt.dll
            O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
            O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
            Panel\atiptaxx.exe
            O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
            O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
            O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
            Shared\ccApp.exe"
            O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
            Shared\ccRegVfy.exe"
            O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program
            Files\Logitech\iTouch\iTouch.exe
            O4 - HKLM\..\Run: [Norton anti-virus] NPRTOECT.exe
            O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton
            SystemWorks\Norton Ghost\GhostStartTrayApp.exe
            O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
            O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05
            \bin\jusched.exe
            O4 - HKLM\..\Run: [asdfaaa] C:\WINDOWS\System32\wjservb.exe
            O4 - HKLM\..\RunServices: [Norton anti-virus] NPRTOECT.exe
            O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
            O4 - HKCU\..\Run: [Norton anti-virus] NPRTOECT.exe
            O4 - HKCU\..\Run: [Microsoft Windows Update] wupdate.exe
            O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
            O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
            O4 - HKCU\..\Run: [Microsoft Updete] wuamgrd.exe
            O4 - Global Startup: BTTray.lnk = ?
            O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
            \DSLMON.exe
            O4 - Global Startup: hp psc 1000 series.lnk = ?
            O4 - Global Startup: hpoddt01.exe.lnk = ?
            O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
            res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
            O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\Bluetooth
            Software\btsendto_ie_ctx.htm
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
            C:\WINDOWS\System32\msjava.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
            00401C608501} - C:\WINDOWS\System32\msjava.dll
            O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
            C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
            O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -
            C:\Program Files\Bluetooth Software\btsendto_ie.htm
            O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-
            5C8D4460577F} - C:\Program Files\Bluetooth Software\btsendto_ie.htm
            O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
            Class) - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
            O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
            www.pandasoftware.com/activescan/as5/asinst.cab
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            skaner.mks.com.pl/SkanerOnline.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{856110BF-26A3-402B-B9B0-B1039A34E635}:
            NameServer = 194.204.152.34 217.98.63.164

            • kalinowski11 Re: w32.spybot.worm - co z tym zrobić ? 19.07.04, 09:44
              Na ile się w tym orientuję to wszystko jest ok . Może Netsec póżniej jeszcze
              zerknie :)

              Pozdrawiam .
              • amj77 Re: w32.spybot.worm - co z tym zrobić ? 19.07.04, 11:11
                kalinowski11 napisał:

                > Na ile się w tym orientuję to wszystko jest ok . Może Netsec póżniej jeszcze
                > zerknie :)
                >
                > Pozdrawiam .
                >


                Ooojj, Kalinowski, tyle pozycji przeoczyłeś... ;-)
                • kalinowski11 Re: w32.spybot.worm - co z tym zrobić ? 19.07.04, 14:47
                  Człowiek się uczy całe życie :)
            • netsec Re: w32.spybot.worm - co z tym zrobić ? 19.07.04, 10:10
              Gość portalu: gk22 napisał(a):

              > czy to chodzi o to :
              >
              > Logfile of HijackThis v1.98.0
              > Scan saved at 09:32:08, on 2004-07-19
              > Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
              > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

              Wyłącz przywracanie systemu (tylko XP i Me)
              support.microsoft.com/default.aspx?scid=kb;pl;310405
              W Panelu Sterowania => Opcje Internetowe => Tymczasowe pliki Internetowe
              Usuń pliki(zaznacz całość off line) i Usuń pliki cooki.

              Zamknij wszystkie okna przeglądarki Internet Exploreri Uruchom ponownie HijackTHis.Wykonaj SCAN i zaznacz dokładnie te pozycje:

              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
              Plus wita Cie w Internecie
              O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
              O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05
              \bin\jusched.exe
              O4 - HKLM\..\Run: [asdfaaa] C:\WINDOWS\System32\wjservb.exe
              O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
              O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
              O4 - HKCU\..\Run: [Microsoft Windows Update] wupdate.exe
              O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
              O4 - HKCU\..\Run: [Microsoft Updete] wuamgrd.exe
              O4 - Global Startup: BTTray.lnk = ?
              O4 - HKCU\..\Run: [Norton anti-virus] NPRTOECT.exe
              O4 - HKLM\..\RunServices: [Norton anti-virus] NPRTOECT.exe


              Po zaznaczeniu wykonaj FIX CHECKED i OK.

              Uruchom komputer ponownie.

              Odszukaj i usuń pliki snlogsvc.exe, wjservb.exe, wuam.exe, wupdate.exe, wuamgrd.exe, NPRTOECT.exe
              Upewnij się, że w Opcje Folderów => Widok
              masz włączone pokazywanie ukrytych plików i folderów.

              Zaktualizuj Nortona aktualizacją Off-line
              securityresponse.symantec.com/avcenter/download/us-files/20040718-016-i32.exe
              i jeszcze raz przeskanuj wszystkie dyski.

              Dodatkowo przeskanuj system Ad-aware z opcjami opisanymi tu
              ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
              Zaktualizuj system w WindowsUpdate.

              Po wszystkim włącz przywracanie systemu.
              • Gość: gk22 Re: w32.spybot.worm - co z tym zrobić ? IP: *.neoplus.adsl.tpnet.pl 19.07.04, 14:10
                dziękuję za szczegółowe instrukcje.

Pełna wersja