Dodaj do ulubionych

HELP!!!!! SPYWARE!!!!! ===>>> inside

IP: *.aster.pl 21.03.05, 20:19
Wielka prosba o pomoc. Zrobilem format C a to dziadostwo caly czas mi siedzi.
Spojrzcie prosze na tego loga. Po formacie C zrobilem scan Hijack This-em i
mam mniej wiecej to. Kto wie co z tym zrobic to bede wdzieczny za pomoc. Mam
na twardym prace magisterska zapisana. Nie moge zainstalowac Roxio czy Nero
zeby spalic ja na plytce bo procek mi caly czac smiga na 90-100% mimo ze nie
mam uruchomionego zadnego programu. ledwie ledwie cmi i nawet gg mi sie
zawiesza. yyyyy nie moge zrobic update`u (moge zapomniec o SP2) bo jak klikam
pasek startu i IE to czasami odmawia mi posluszenstwa i calkiem sie wiesza.
Pozostaje mi jedynie restart z palca. Poslaniec co chwila mi wyskakuje ze mam
47 critical items. Ponizej podaje loga. Jest jakis dziwnie krotki ale taki sie
zapisuje. Bede wdzieczny za pomoc!!!

Logfile of HijackThis v1.99.1
Scan saved at 18:35:13, on 2005-03-20
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Legia\Ustawienia lokalne\Temp\Katalog
tymczasowy 10 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class -
{08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Program Files\Adobe\Acrobat 6.0
CE\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\RunServices: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E83EE829-E413-48BF-9CE7-105393B63686}:
NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
C:\WINDOWS\System32\winpnp32.exe
Obserwuj wątek
    • Gość: ass Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.dip.t-dialin.net 21.03.05, 21:38
      Po instalacji Windowsa nie lacz sie z siecia tylko
      INSTALUJ FIREWALLA,ANTYWIRUSA i dopiero lacz sie z siecia.
      Dla porzadku zrob sobie jeszcze raz format i wykonaj te polecenia.
      I jeszcze jedno ,zainstaluj np.Firefoxa(przegladarke).
      No i oczywiscie jesli mozesz Windows Update.
      Twoj komputer jest "GOLY".
    • Gość: Kolobos Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.warszawa.sdi.tpnet.pl 21.03.05, 21:47
      Wylacz poslanca w:
      Start->Uruchom->services.msc->Mesenger lub Poslaniec->Wlasciwosci->tryb
      uruchomienia na reczny i zatrzymaj.

      Do tego jak juz zostalo napisane, firewall to podstawa.

      A co do loga to usun to:
      R3 - URLSearchHook: Search Class -
      O4 - HKLM\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
      O4 - HKLM\..\RunServices: [Registry Checkup System326a Monitor] Winregs326a.exe
      O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
      C:\WINDOWS\System32\winpnp32.exe
      • Gość: ass Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.dip.t-dialin.net 22.03.05, 00:19
        www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
    • Gość: paveu Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.neoplus.adsl.tpnet.pl 22.03.05, 08:33
      zobaczcie jeszcze to:

      Logfile of HijackThis v1.99.1
      Scan saved at 08:27:59, on 2005-03-22
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog
      tymczasowy 2 dla hijackthis.zip\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - Default URLSearchHook is missing
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
      \SPYBOT~1\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
      \dslmon.exe
      O4 - Global Startup: SpySubtract.lnk = C:\Program
      Files\interMute\SpySubtract\SpySub.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
      C:\Program Files\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
      O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
      C:\WINDOWS\System32\winpnp32.exe

      • Gość: ass Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.dip.t-dialin.net 22.03.05, 09:14
        Avast (antywirus)jest zle zainstalowany.
        Czytasz wogole odpowiedzi??????
        Zmien przegladarke.
        • Gość: paveu Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.neoplus.adsl.tpnet.pl 22.03.05, 10:08
          Czytam, czytam i dzis bede robil format. Wiekszosc programow juz mam na plytce.

          Jak to zle zainstalowany? Szkufa jak to sie stalo?
          • Gość: piecyk gazowy Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.tpnet.pl / *.tpnet.pl 22.03.05, 10:19
            Nie formatuj.

            Usuń wpisy w trybie awaryjnym:

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

            R3 - Default URLSearchHook is missing

            O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashMaiSv.exe" /service (file missing)
            O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashWebSv.exe" /service (file missing)

            O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
            C:\WINDOWS\System32\winpnp32.exe


            Wklej nowego loga.
            • Gość: paveu Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.neoplus.adsl.tpnet.pl 22.03.05, 11:26
              Jestem teraz w pracy i nic nie zrobie. Wieczorem bede w domu to usiade przy
              kompie. Okolo 20 wkleje loga. A tego

              O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
              > C:\WINDOWS\System32\winpnp32.exe

              blokuje mi kiero. Probowalem go usunac w trybie awaryjnym hijackiem ale po fix
              checked i ponownym scanie caly czas wyskakuje. Poza tym w podanym folderze go
              nie ma. Korzystajac z wyszukaj tez nic nie znajduje. Niby jest ale go nie ma.

              Poza tym w trybie awaryjnym przeskanowalem calego twardego po 3 razy adawarem (1
              malware znalazl), avastem-gruntownie(2 trojany), spybotem (1 alexa),
              cwshrederem (czysto) a na koniec hijackiem (widzicie wyzej loga z dzisiejszego
              dnia).

              aha i za kazdym razem robie regule w kiero dla blokowania tego winpnp32 i za
              kazdym razem przy ponownym restarcie i laczeniu z siecia wyskakuje mi nowe
              zapytanie. I znowy robie regule na blokade. Ze trzy razy musze powtarzac bo
              kiero sie upomina. ten winpnp32 to jakies polaczenie wychodzace.

              pozdro Szakale i do wieczora

              jezeli macie jakies pytania to dawac.
            • Gość: paveu Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.neoplus.adsl.tpnet.pl 22.03.05, 21:28
              dobra Piecyk na gaz. Zrobilem to co chciales i co dalej. Chyba jednak ten format
              mi zostaje bo jak sie dusi tak sie dusi caly czas. No i ten winpnp32 caly czas
              wylazi mi w scanie a kazales go wywalic. chociaz teraz przy laczeniu z siecia
              kiero nie upominal sie o niego. zobacz tego loga i pomoz jezeli masz jakis
              pomysl. okna ledwie ledwie mi sie przesuwaja jak zlapie je lewym na pasku.

              Logfile of HijackThis v1.99.1
              Scan saved at 21:16:11, on 2005-03-22
              Platform: Windows XP (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 (6.00.2600.0000)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\Explorer.EXE
              C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog
              tymczasowy 5 dla hijackthis.zip\HijackThis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
              C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
              O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
              C:\PROGRA~1\SPYBOT~1\SDHelper.dll
              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
              C:\WINDOWS\System32\msdxm.ocx
              O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
              O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
              O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
              O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
              800-840\dslmon.exe
              O4 - Global Startup: SpySubtract.lnk = C:\Program
              Files\interMute\SpySubtract\SpySub.exe
              O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
              C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
              O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashServ.exe
              O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
              C:\Program Files\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
              O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner -
              C:\WINDOWS\System32\winpnp32.exe

              • Gość: Kolobos Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.icm.edu.pl / *.icm.edu.pl 22.03.05, 21:33
                Sciagnij killbox:
                www.downloads.subratam.org/KillBox.zip
                rozpakuj, uruchom, wklej sciezke do pliku:
                C:\WINDOWS\System32\winpnp32.exe
                zaznacz remove on reboot i plik powinien zniknac, jak nie to zrob to samo w
                trybie awaryjnym.
                • Gość: paveu Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.neoplus.adsl.tpnet.pl 22.03.05, 21:45
                  napisales zeby zrobic to:
                  "zaznacz remove on reboot"

                  a w killboxie nie ma takiej opcji. Sa tylko
                  - Standard file kill
                  - Delete on reboot
                  - Replace on reboot

                  Czyli który?
                  • Gość: Kolobos Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.icm.edu.pl / *.icm.edu.pl 22.03.05, 21:49
                    Delete on reboot :-)
                    • Gość: paveu Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.neoplus.adsl.tpnet.pl 22.03.05, 22:10
                      niestety wychodzi w logu caly czas ten plik

                      i kufa nie laduje mi sie ogolna strona forum. koles podeslal mi link na gg do
                      tego topica.

                      forum.gazeta.pl/forum/0,0.html <<<<<====== zaladowala mi sie biala strona
                      • Gość: ass Re: HELP!!!!! SPYWARE!!!!! ===>>> ins IP: *.dip.t-dialin.net 23.03.05, 00:33
                        Nagraj sobie na dyskietce(CD):
                        Antywirusa,Firewalla i wazne dane dla Ciebie a reszte znasz:
                        forum.gazeta.pl/forum/72,2.html?f=430&w=21931032&a=21933936

Nie masz jeszcze konta? Zarejestruj się


Nakarm Pajacyka