coś takiego RazeSpyware - czy ktoś wie

[kobietaxyz]

Bardzo proszę o pomoc.Mój pulpit zamienił się w coś dziwnego: zrobił się cały
czerwony, a na środku na czarnym pasku pisze: Danger Spyware i po angielsku,
ze w moim komputerze wykryto spyware i że jeśli chce je usunąć to musze
kliknąc na link "RazeSpyware" i za 49,95 dolarów bedę mogła usunąc to coś. W
dodatku zaczał mi isę instalować razem z tym jakiś progra-strona "Carnival
Casino".
Zrobiłam do tej pory:
- przeskanowałam kompa MKS vir - skanerem online (było trochę trojanów,
które usunął),
- programem ad-ware 1.06r1 - coś tam usunął, ale nei do końca
- skanerem online pandy i z tego mam takie komunikaty:
Adware:adware/virmaid , Adware:adware/bravesentry, Adware:adware/centim ,
Adware:Adware/RazeSpyware, Adware:Adware/WinAD - zidentyfokował, ale nie
udało się tego usunąć

Co moge jeszcze zrobić aby się tego pozbyć. I jakie zagrożeneiniesie za sobą
to coś.
Słabo znam się na tych sprawach. Bardzo prosze o pomoc

[Gość: Kolobos]

Uzyj (robisz to co masz napisane pod Clean):
siri.urz.free.fr/Fix/SmitfraudFix_En.php
Log z usuniecia wklej na forum.

Nastepnie przeskanuj system przy pomocy ewido (link masz na google lub w
przyklejonym poscie).
Po wszystkim wklej log z hijackthis na forum.

wklajam loga aktualnego - jeszcze nic nei zrobiłam

[kobietaxyz]

Logfile of HijackThis v1.99.1
Scan saved at 13:13:08, on 2006-07-02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\YDPDICT\Watch.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Cyberlink\PowerCinema\PCMService.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\Program Files\Information Update\iu.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Documents and Settings\Maciej\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F3 - REG:win.ini: load=C:\YDPDict\watch.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Process Session Manager] pidserv.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program
Files\Cyberlink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06
\bin\jusched.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [Information Update] C:\Program Files\Information
Update\iu.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Process Session Manager] pidserv.exe
O4 - HKCU\..\Run: [Process Session Manager] pidserv.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program
files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program
files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program
files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program
files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program
files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program
files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {57644B44-A8C6-4CC9-8F9F-
D1D8C2B64F82} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {57644B44-A8C6-4CC9-
8F9F-D1D8C2B64F82} - (no file) (HKCU)
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) -
arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{493536C3-FACE-4339-B69D-9175E90AC73A}:
NameServer = 85.255.116.163,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBD83B6-593E-41A3-B626-07040FBF292D}:
NameServer = 85.255.116.163 85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.163
85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.163
85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.163
85.255.112.121
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. -
C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
C:\WINDOWS\system32\ZONELABS\vsmon.exe

[Gość: Kolobos]

Dlaczego uzywac Internet Explorer'a skoro masz piracki windows bez żadnych
aktualizacji?! Zainstaluj sobie Firefox lub Opere i nie uzywaj wiecej IE do
tego zamknij porty w wwwdc.exe (opis masz w przyklejonym poscie).

Odinstaluj:
Yahoo! Companion

Uzyj:
downloads.subratam.org/Fixwareout.exe
Log z usuwania wklej na forum.

W menadzerze zadan zakoncz:
C:\Program Files\Information Update\iu.exe <- katalog Information Update usun z
dysku.

W hijackthis usun:
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [Process Session Manager] pidserv.exe <- plik usun z dysku.
O4 - HKLM\..\Run: [Information Update] C:\Program Files\Information
Update\iu.exe
O4 - HKLM\..\RunServices: [Process Session Manager] pidserv.exe
O4 - HKCU\..\Run: [Process Session Manager] pidserv.exe
O9 - Extra button: Microsoft AntiSpyware helper - {57644B44-A8C6-4CC9-8F9F-
D1D8C2B64F82} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {57644B44-A8C6-4CC9-
8F9F-D1D8C2B64F82} - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{493536C3-FACE-4339-B69D-9175E90AC73A}:
NameServer = 85.255.116.163,85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBD83B6-593E-41A3-B626-07040FBF292D}:
NameServer = 85.255.116.163 85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.163
85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.163
85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.163
85.255.112.121

Po wszystkim wklej nowy log z hjt.
Oczywiscie wczesniej zrob to co napisalem w poprzednim poscie.

[kobietaxyz]

Dzięki za orady - troche mi zeszło, bo komputer po operacji Fixwareout
strasznie się zamulił i w końcu musiałam wyrzucić cały program Zone - łacznie z
programme antywirusowym, bo w ogole nei moglam nic zrobić na komputerez. Teraz
jest lepiej.

Ale ten czewrony pulpit i ta nazwa nawołująca do łaczenia się z RazeSpyware
nadal jest na pulpicie.


Program iu.exe zakończyłam i plik \Information Update\iu.exe wyrzuciłam

Wklejam to co mi wyszło po użyciu programu Fixwareout

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}
E39688EC2FAE-60C8-8934-D686-4573B8BD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\daolnwodi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\lavinraCputeS
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS
LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal

log po wszystkich zmianach zaproponowanych

[kobietaxyz]

Logfile of HijackThis v1.99.1
Scan saved at 15:56:10, on 2006-07-02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\YDPDICT\Watch.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Cyberlink\PowerCinema\PCMService.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Maciej\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F3 - REG:win.ini: load=C:\YDPDict\watch.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program
Files\Cyberlink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06
\bin\jusched.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program
files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program
files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program
files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program
files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program
files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program
files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) -
arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

brak zmian

[kobietaxyz]

Nie wiem jaki skutek miały te wszytkie dzialania, ale w kazdym bądź razie
pulpit dalje mam zamieniony i ten program, który to spowodował na pewno w
dlaszym ciagu jest w komputerze.

Co robić dalej - bardzo prosze o pomoc

[kobietaxyz]

Po tych wszystkich działaniach sprawdfziłam komputer programem ewido
Oto raport tego sparwdzenia:
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 16:59:15 2006-07-02

+ Scan result:



C:\WINDOWS\system32\{0A5DD185-C2EF-4CA3-846D-AF1AC1CF0325}.exe ->
Adware.Casino : Cleaned.
C:\WINDOWS\system32\{762255BF-198E-4E41-96A7-DD4CD48719EB}.exe -> Adware.Raze :
Cleaned.
HKU\S-1-5-21-823518204-1708537768-842925246-1003\Software\Microsoft\RAS
Autodial\Addresses\212.106.140.10\\Network -> Adware.WinFixer : Cleaned.
D:\System Volume Information\_restore{C838C675-8D59-46F9-91D9-2D25FE047278}\RP67
\A0079988.exe -> Dialer.Poland.a : Cleaned.
C:\WINDOWS\netGazeta.pl.exe -> Heuristic.Win32.Dialer : Cleaned.
D:\System Volume Information\_restore{BABFDA00-E191-4670-A659-3C545B16A7EC}\RP38
\A0008285.scr -> Heuristic.Win32.Dialer : Cleaned.
D:\System Volume Information\_restore{BABFDA00-E191-4670-A659-3C545B16A7EC}\RP38
\A0008286.scr -> Heuristic.Win32.Dialer : Cleaned.
D:\System Volume Information\_restore{BABFDA00-E191-4670-A659-3C545B16A7EC}\RP38
\A0008287.scr -> Heuristic.Win32.Dialer : Cleaned.
C:\Documents and Settings\Maciej\Ustawienia
lokalne\Temp\ImInstaller\IncrediMail\imloader.exe -> Not-A-
Virus.Downloader.Win32.ImLoader.c : Cleaned.
C:\WINDOWS\desktop.html -> Not-A-Virus.Hoax.Win32.Aflac.a : Cleaned.
C:\Documents and Settings\Maciej\Cookies\anyuser@ad.adocean[1].txt ->
TrackingCookie.Adocean : Cleaned.
C:\Documents and Settings\Maciej\Cookies\maciej@ad.adocean[1].txt ->
TrackingCookie.Adocean : Cleaned.
C:\Documents and Settings\Maciej\Ustawienia
lokalne\Temp\Cookies\maciej@ad.adocean[2].txt -> TrackingCookie.Adocean :
Cleaned.
C:\Documents and Settings\Maciej\Ustawienia
lokalne\Temp\Cookies\maciej@gde.adocean[2].txt -> TrackingCookie.Adocean :
Cleaned.
C:\Recycled\Dc133.txt -> TrackingCookie.Adocean : Cleaned.
C:\Recycled\Dc134.txt -> TrackingCookie.Adocean : Cleaned.
C:\Recycled\Dc157.txt -> TrackingCookie.Adocean : Cleaned.
C:\Recycled\Dc162.txt -> TrackingCookie.Adocean : Cleaned.
C:\Recycled\Dc163.txt -> TrackingCookie.Yieldmanager : Cleaned.


::Report end

Najbardziej mnei martwi, ze wykrył jakieś dialery.

Czy to moze oznaczać, ze na czas gdy łaczylam się z netem w celu pobrania
programów do spardzenia kompa i pisania na formum mogłam byc przekierowana na
płatne połączenia ?

oto log po zrobieniu wszystkich operacji

[kobietaxyz]

Logfile of HijackThis v1.99.1
Scan saved at 18:25:19, on 2006-07-02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\YDPDICT\Watch.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Cyberlink\PowerCinema\PCMService.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Maciej\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F3 - REG:win.ini: load=C:\YDPDict\watch.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program
Files\Cyberlink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06
\bin\jusched.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0
\ewido.exe" /minimized
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program
files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program
files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program
files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program
files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program
files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program
files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) -
arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBD83B6-593E-41A3-B626-07040FBF292D}:
NameServer = 85.255.116.163 85.255.112.121
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. -
C:\Program Files\ewido anti-spyware 4.0\guard.exe



Zaznaczam, że aktualnie widzę jakieś zmiany - tzn puplpit ise zminił jest teraz
szor i miga i nie mam już napisu o tym by kliknąc na łącze z RazeAdware

[Gość: Kolobos]

Dlaczego nie zrobilas tego:

> Uzyj (robisz to co masz napisane pod Clean):
> siri.urz.free.fr/Fix/SmitfraudFix_En.php
> Log z usuniecia wklej na forum.

To jest najwazniejsze!

Do tego dalej uzywasz Internet Explorer do ktorego nie masz żadnych
aktualizacji wiec zaraz znowu zarobaczysz system! Wiec lepiej zmien na
Firefox'a!

Do kasacji jeszcze to:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBD83B6-593E-41A3-B626-07040FBF292D}:
NameServer = 85.255.116.163 85.255.112.121

Za posrednictwem czego sie laczysz z netem? (jakie lacze).

[kobietaxyz]

z netem łacze się przez modem.

a myślłam, ze tamtego miałam juz nie robić.

Ściagnełam operę jako przeglądarkę - zarz ją zainstaluje

dzięki za pomoc

jak skończe wkleje loga

[neder]

z tego co zrozumiałam wywaliłaś antywirusa i firewall. To nie jest dobry pomysł.
pzdr

do Kolobosa i Negera

[kobietaxyz]

ten link, na który mam teraz kliknąć, a który polecasz coś nei działa w moim
komputerze

No tak - wyrzuciłam Zone, bo nie mogłam się połączyć z netem przez niego

Jutro chyba sformatuje komputer, bo widzę, ze usunięcie tego syfu nie jest
chyba mozliwe


Ewido ciągle pokazuje, ze mam adware.raze i adare.casino - aktualnei sa w
kwarantannie - cokolwiek to znaczy

Dzięki za porady co do przeglądarki internetowej - zmienię na inna


Dzięki w ogóle za porady

[Gość: Kolobos]

Ten link:
siri.urz.free.fr/Fix/SmitfraudFix_En.php ?

Sciagnij ten plik:
siri.geekstogo.com/SmitfraudFix.zip rozpakuj.
Opis uzycia:
Nacisnij F8 podczas startu systemu i wybierz tryb awaryjny.
Uruchom smitfraudfix.cmd Wybierz opcje 2
Na pytanie o czyszczenie rejestru odpowiedz tak i enter.
Pozniej wklejasz raport ktory sie utworzy C:\rapport.txt na forum.

Nie trzeba nic formatowac, to tylko spyware.
Pliki usun z kwarantanny, zreszta takie pliki nie sa juz aktywne wiec nie masz
sie czym martwic.

raport z czyszczenia SmitfraudFix

[kobietaxyz]

co za świteny program - zrobił mi ogromne ilości wolnego miejsca na dysku !!!!
mitFraudFix v2.65

Scan done at 23:11:15,71, 2006-07-02
Run from C:\Documents and Settings\Maciej\Pulpit\z forum\SmitfraudFix
OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\sites.ini Deleted
C:\WINDOWS\system32\casino.ico Deleted
C:\WINDOWS\system32\date.ico Deleted
C:\WINDOWS\system32\games.ico Deleted
C:\WINDOWS\system32\mobile.ico Deleted
C:\WINDOWS\system32\network.ico Deleted
C:\WINDOWS\system32\perfcii.ini Deleted
C:\WINDOWS\system32\pharm.ico Deleted
C:\WINDOWS\system32\pharm2.ico Deleted
C:\WINDOWS\system32\scanner.ico Deleted
C:\WINDOWS\system32\spam.ico Deleted
C:\WINDOWS\system32\spyware.ico Deleted
C:\Program Files\Virtual Maid\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

i log z hijack

[kobietaxyz]

aha - w końcu pozbyłam się tego pulitu

Logfile of HijackThis v1.99.1
Scan saved at 23:33:38, on 2006-07-02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\YDPDICT\Watch.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Cyberlink\PowerCinema\PCMService.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\Maciej\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F3 - REG:win.ini: load=C:\YDPDict\watch.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Cyberlink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBD83B6-593E-41A3-B626-07040FBF292D}: NameServer = 85.255.116.163 85.255.112.121
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe


Mam nadzieje, że wszytsko juz jest dobrze ?

[Gość: p2p]

> Mam nadzieje, że wszytsko juz jest dobrze ?

Nie jest - w dalszym ciagu nie sciagnelas aktualizacji.
update.microsoft.com/

[Gość: Kolobos]

Jeszcze to jest do kasacji:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBD83B6-593E-41A3-B626-07040FBF292D}:
NameServer = 85.255.116.163 85.255.112.121
To pozostalosc po wareout, ktory podmienia dnsy na jakies z ukrainy.
Zobacz czy fixwareout cos znajduje.
Zainstaluj tez antywirus.