HELP!!!!! SPYWARE!!!!! ===>>> inside

[Gość: paveu]

Wielka prosba o pomoc. Zrobilem format C a to dziadostwo caly czas mi siedzi.
Spojrzcie prosze na tego loga. Po formacie C zrobilem scan Hijack This-em i
mam mniej wiecej to. Kto wie co z tym zrobic to bede wdzieczny za pomoc. Mam
na twardym prace magisterska zapisana. Nie moge zainstalowac Roxio czy Nero
zeby spalic ja na plytce bo procek mi caly czac smiga na 90-100% mimo ze nie
mam uruchomionego zadnego programu. ledwie ledwie cmi i nawet gg mi sie
zawiesza. yyyyy nie moge zrobic update`u (moge zapomniec o SP2) bo jak klikam
pasek startu i IE to czasami odmawia mi posluszenstwa i calkiem sie wiesza.
Pozostaje mi jedynie restart z palca. Poslaniec co chwila mi wyskakuje ze mam
47 critical items. Ponizej podaje loga. Jest jakis dziwnie krotki ale taki sie
zapisuje. Bede wdzieczny za pomoc!!!

Logfile of HijackThis v1.99.1
Scan saved at 18:35:13, on 2005-03-20
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Legia\Ustawienia lokalne\Temp\Katalog
tymczasowy 10 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class -
{08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Program Files\Adobe\Acrobat 6.0
CE\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\RunServices: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E83EE829-E413-48BF-9CE7-105393B63686}:
NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
C:\WINDOWS\System32\winpnp32.exe

[Gość: ass]

Po instalacji Windowsa nie lacz sie z siecia tylko
INSTALUJ FIREWALLA,ANTYWIRUSA i dopiero lacz sie z siecia.
Dla porzadku zrob sobie jeszcze raz format i wykonaj te polecenia.
I jeszcze jedno ,zainstaluj np.Firefoxa(przegladarke).
No i oczywiscie jesli mozesz Windows Update.
Twoj komputer jest "GOLY".

[Gość: Kolobos]

Wylacz poslanca w:
Start->Uruchom->services.msc->Mesenger lub Poslaniec->Wlasciwosci->tryb
uruchomienia na reczny i zatrzymaj.

Do tego jak juz zostalo napisane, firewall to podstawa.

A co do loga to usun to:
R3 - URLSearchHook: Search Class -
O4 - HKLM\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKLM\..\RunServices: [Registry Checkup System326a Monitor] Winregs326a.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
C:\WINDOWS\System32\winpnp32.exe

[Gość: ass]

www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx

[Gość: paveu]

zobaczcie jeszcze to:

Logfile of HijackThis v1.99.1
Scan saved at 08:27:59, on 2005-03-22
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog
tymczasowy 2 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
\dslmon.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program
Files\interMute\SpySubtract\SpySub.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
C:\Program Files\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
C:\WINDOWS\System32\winpnp32.exe

[Gość: ass]

Avast (antywirus)jest zle zainstalowany.
Czytasz wogole odpowiedzi??????
Zmien przegladarke.

[Gość: paveu]

Czytam, czytam i dzis bede robil format. Wiekszosc programow juz mam na plytce.

Jak to zle zainstalowany? Szkufa jak to sie stalo?

[Gość: piecyk gazowy]

Nie formatuj.

Usuń wpisy w trybie awaryjnym:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - Default URLSearchHook is missing

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
C:\WINDOWS\System32\winpnp32.exe


Wklej nowego loga.

[Gość: paveu]

Jestem teraz w pracy i nic nie zrobie. Wieczorem bede w domu to usiade przy
kompie. Okolo 20 wkleje loga. A tego

O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
> C:\WINDOWS\System32\winpnp32.exe

blokuje mi kiero. Probowalem go usunac w trybie awaryjnym hijackiem ale po fix
checked i ponownym scanie caly czas wyskakuje. Poza tym w podanym folderze go
nie ma. Korzystajac z wyszukaj tez nic nie znajduje. Niby jest ale go nie ma.

Poza tym w trybie awaryjnym przeskanowalem calego twardego po 3 razy adawarem (1
malware znalazl), avastem-gruntownie(2 trojany), spybotem (1 alexa),
cwshrederem (czysto) a na koniec hijackiem (widzicie wyzej loga z dzisiejszego
dnia).

aha i za kazdym razem robie regule w kiero dla blokowania tego winpnp32 i za
kazdym razem przy ponownym restarcie i laczeniu z siecia wyskakuje mi nowe
zapytanie. I znowy robie regule na blokade. Ze trzy razy musze powtarzac bo
kiero sie upomina. ten winpnp32 to jakies polaczenie wychodzace.

pozdro Szakale i do wieczora

jezeli macie jakies pytania to dawac.

[Gość: paveu]

dobra Piecyk na gaz. Zrobilem to co chciales i co dalej. Chyba jednak ten format
mi zostaje bo jak sie dusi tak sie dusi caly czas. No i ten winpnp32 caly czas
wylazi mi w scanie a kazales go wywalic. chociaz teraz przy laczeniu z siecia
kiero nie upominal sie o niego. zobacz tego loga i pomoz jezeli masz jakis
pomysl. okna ledwie ledwie mi sie przesuwaja jak zlapie je lewym na pasku.

Logfile of HijackThis v1.99.1
Scan saved at 21:16:11, on 2005-03-22
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog
tymczasowy 5 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program
Files\interMute\SpySubtract\SpySub.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
C:\Program Files\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
C:\WINDOWS\System32\winpnp32.exe

[Gość: Kolobos]

Sciagnij killbox:
www.downloads.subratam.org/KillBox.zip
rozpakuj, uruchom, wklej sciezke do pliku:
C:\WINDOWS\System32\winpnp32.exe
zaznacz remove on reboot i plik powinien zniknac, jak nie to zrob to samo w
trybie awaryjnym.

[Gość: paveu]

napisales zeby zrobic to:
"zaznacz remove on reboot"

a w killboxie nie ma takiej opcji. Sa tylko
- Standard file kill
- Delete on reboot
- Replace on reboot

Czyli który?

[Gość: Kolobos]

Delete on reboot :-)

[Gość: paveu]

niestety wychodzi w logu caly czas ten plik

i kufa nie laduje mi sie ogolna strona forum. koles podeslal mi link na gg do
tego topica.

forum.gazeta.pl/forum/0,0.html <<<<<====== zaladowala mi sie biala strona

[Gość: ass]

Nagraj sobie na dyskietce(CD):
Antywirusa,Firewalla i wazne dane dla Ciebie a reszte znasz:
forum.gazeta.pl/forum/72,2.html?f=430&w=21931032&a=21933936