Niechciane antywspyware...

06.11.06, 09:41
Złapałem paskudnego spyware,a.Z logu HJ nic nie wynika,kiedy próbuję się
polączyć z MKS vir online, albo Pandą i zrobić skan, po otwarciu okienka w
MKS w lewym rogu pokazuje się czerwony krzyżyk, na pasku informacja ze jest
gotowe ale skaner nie staruje, w ogóle go nie widać. Z Pandą jest
podobnie,wpisuję adres emailowy,kraj, klikam - skanuj i nic.Kiedy udało mi
się rozpocząc skanowanie Trend Micro , po rozpoczęciu 3 etapu- wyrzucania „
złych wpisów”, nagle pojawiła się informacja ze system zostanie zamknięty za
60 sekund. Podobnie stało się, kiedy ściągnąłem demo z MKS i próbowałem
uruchomić. Dodatkow to cholerstwo zablokowało mi połączenie z Internetem.
Odzyskałem je po odinstalowaniu MKS.Co jakiś czas wyskakuje mi okienko, że
komputer jest zainfekowany,mam kliknąć w pojawiający się w dolnym pasku żółty
trójkąt z wykrzyknikiem,wtedy jestem kierowany na stronę np. :
antivirusgolden, albo pesttrap i pokazuje się propozycja zainstalowania
antyspywara itp. Oczywiście tego nie robię, zamykam okienko, wyskakuje
obrazek z ofertą poszukania flirtu z panienkami ( nie jest to strona
porno..!! ), to też zamykam i tak co mniej więcej 5 minut od nowa. Nie mogę
otworzyć kompa w trybie awaryjnym ( Windows XP Professional ),i tak
spróbować wejść na MKS VIR. Co robić ? Jak w ogóle uruchomić ten tryb
awaryjny ??? i wywalić to ścierwo ?
    • Gość: Kolobos Re: Niechciane antywspyware... IP: *.escom.net.pl 06.11.06, 12:01
      > Złapałem paskudnego spyware

      Jakiego? Nazwa pliku i lokalizacja.

      > Z logu HJ nic nie wynika

      Dla Ciebie moze i tak, ale wklej go na forum.
      • gilu33 Re: Niechciane antywspyware...podaje log 06.11.06, 17:36
        Logfile of HijackThis v1.99.1
        Scan saved at 17:31:48, on 2006-11-06
        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\system32\WgaTray.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\VideoKeyCodec\isamonitor.exe
        C:\Program Files\VideoKeyCodec\pmsngr.exe
        C:\Program Files\Winamp\winampa.exe
        C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
        C:\Program Files\Keyboard Driver\OEMDriver.exe
        C:\Program Files\QuickTime\qttask.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\VideoKeyCodec\pmmon.exe
        C:\Program Files\VideoKeyCodec\isamini.exe
        C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
        C:\Program Files\WinRAR\WinRAR.exe
        C:\DOCUME~1\AGILOW~1\USTAWI~1\Temp\Rar$EX00.818\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.gazeta.pl/
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        gazeta.pl
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
        gazeta.pl
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - (no file)
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
        Files\Java\jre1.5.0_06\bin\jusched.exe
        O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
        O4 - HKLM\..\Run: [KBDriver] C:\Program Files\Keyboard Driver\OEMDriver.exe
        O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
        -atboottime
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealPlayer\realplay.exe"
        /RunUPGToolCommandReBoot
        O17 - HKLM\System\CCS\Services\Tcpip\..\{A1DB738C-5C53-46CD-9404-22CFD1BDF9E6}:
        NameServer = 194.204.159.1,194.204.152.34
        O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
        O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
        O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
        - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
        O23 - Service: iPodService - Apple Computer, Inc. - C:\Program
        Files\iPod\bin\iPodService.exe
        O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common
        Files\Sony Shared\AVLib\MSCSPTISRV.exe
        O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common
        Files\Sony Shared\AVLib\PACSPTISVR.exe
        O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program
        Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
        O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation -
        C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

        W program files mam program -Video Key Kodec, którego nie mogę odinstalować za
        nic w świecie.O trybie awaryjnym juz pisałem, jak inaczej otworzyc ten tryb ? i
        czy log jest O.K.?

        • gilu33 Re: Niechciane antywspyware...podaje log 06.11.06, 17:40
          w trakcie wysyłania niechciany gość znowu się "pokazał' informując ze mam wirusa
          win32.MT.RS i na to jest lekarstwo w postaci antivirusa antivirgolden.Zamknąłem
          oczywiście okienko.
          • wiewia1 Re: Niechciane antywspyware...podaje log 06.11.06, 19:06
            siri.urz.free.fr/Fix/SmitfraudFix.zip

            Użyj tego programu z opcji wybierając opcje nr 2(clean) raport z usuwania wklej na forum bedzie na dysku C:raport.txt. najlepiej w trybie awaryjnym Metoda przez klawisz F8. rozumiem nie działa to zrób tak


            Start >>> Uruchom >>> msconfig >>> w zakładce BOOT.INI zaznacz /SAFEBOOT:




        • Gość: Kolobos Re: Niechciane antywspyware...podaje log IP: *.escom.net.pl 06.11.06, 19:03
          Uzyj: siri.urz.free.fr/Fix/SmitfraudFix_En.php robisz to co masz opisane pod Clean, log z usuwania wklej na forum.
          Do tego zamknij porty przy pomocy wwdc + skan przy pomocy ewido oraz AntiVir PE.

          W hjt usun:
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
          O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - (no file)
          O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
          O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
          • gilu33 Re: Niechciane antywspyware...podaje log 06.11.06, 23:28
            chyba sie udało!wywaliłem w HJ jak podałeś, w trybie awaryjnym wywaliłem
            videokeykodec,ale wczesniej przez ponad 2 godziny skaner online z bitdefender
            czyścił kompa.O dziwo,ten skaner przeszedł.Wyciął dużo wpisów,miałem : trojan
            downoloader zlob AW,exploit win32 WMF-PFV, i trojan downloaderFixer0.ponizej log
            z HJ :
            Logfile of HijackThis v1.99.1
            Scan saved at 23:21:11, on 2006-11-06
            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\system32\WgaTray.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Winamp\winampa.exe
            C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
            C:\Program Files\Keyboard Driver\OEMDriver.exe
            C:\Program Files\QuickTime\qttask.exe
            C:\Program Files\Messenger\msmsgs.exe
            C:\Program Files\hijackthis_199\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.gazeta.pl/
            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
            gazeta.pl
            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
            gazeta.pl
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
            O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
            O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
            Files\Java\jre1.5.0_06\bin\jusched.exe
            O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
            O4 - HKLM\..\Run: [KBDriver] C:\Program Files\Keyboard Driver\OEMDriver.exe
            O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
            O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
            -atboottime
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealPlayer\realplay.exe"
            /RunUPGToolCommandReBoot
            O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
            %windir%\bdoscandel.exe (file missing)
            O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
            {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
            O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
            download.bitdefender.com/resources/scan8/oscan8.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{A1DB738C-5C53-46CD-9404-22CFD1BDF9E6}:
            NameServer = 194.204.159.1,194.204.152.34
            O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
            O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
            - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
            O23 - Service: iPodService - Apple Computer, Inc. - C:\Program
            Files\iPod\bin\iPodService.exe
            O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common
            Files\Sony Shared\AVLib\MSCSPTISRV.exe
            O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common
            Files\Sony Shared\AVLib\PACSPTISVR.exe
            O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program
            Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
            O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation -
            C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

            dziekuję !!
            • Gość: Kolobos Re: Niechciane antywspyware...podaje log IP: *.escom.net.pl 06.11.06, 23:55
              Miales wkleic log z usuwania przy pomocy programu, ktory podalem (nawet w dwoch postach masz to napisane) wiec po co wklejasz log z hjt?
              Program, ktory podalem usunalby wszystko sam bez problemu.





              • gilu33 Re: Niechciane antywspyware...podaje log 07.11.06, 21:20
                ściągnąłem i próbowałem otworzyć ten programik,po rozpakowaniu i dwukrotnym
                kliknieciu na dany folder ( z instrukcji ..) mam komunikat,że program nie może
                znaleźć ścieżki do właściwego pliku,itp.To jak mam to rozpakować zeby zadziałało
                ??? przy okazji przesyłam loga z HJ:
                Logfile of HijackThis v1.99.1
                Scan saved at 21:00:54, on 2006-11-07
                Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\system32\spoolsv.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\system32\WgaTray.exe
                C:\Program Files\Winamp\winampa.exe
                C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
                C:\Program Files\Keyboard Driver\OEMDriver.exe
                C:\Program Files\QuickTime\qttask.exe
                C:\WINDOWS\system32\ctfmon.exe
                C:\WINDOWS\system32\wuauclt.exe
                C:\WINDOWS\system32\wscntfy.exe
                C:\Program Files\WinRAR\WinRAR.exe
                C:\DOCUME~1\ADMINI~2\USTAWI~1\Temp\Rar$EX00.347\HijackThis.exe

                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl/
                R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                gazeta.pl
                R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
                gazeta.pl
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                Files\Java\jre1.5.0_06\bin\jusched.exe
                O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
                O4 - HKLM\..\Run: [KBDriver] C:\Program Files\Keyboard Driver\OEMDriver.exe
                O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
                O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
                -atboottime
                O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
                O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
                %windir%\bdoscandel.exe (file missing)
                O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
                {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
                O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
                download.bitdefender.com/resources/scan8/oscan8.cab
                O17 - HKLM\System\CCS\Services\Tcpip\..\{A1DB738C-5C53-46CD-9404-22CFD1BDF9E6}:
                NameServer = 194.204.159.1,194.204.152.34
                O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
                O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
                - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
                O23 - Service: iPodService - Apple Computer, Inc. - C:\Program
                Files\iPod\bin\iPodService.exe
                O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common
                Files\Sony Shared\AVLib\MSCSPTISRV.exe
                O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common
                Files\Sony Shared\AVLib\PACSPTISVR.exe
                O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program
                Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
                O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation -
                C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

                HJ otwiera się za każdym razem, ten nowy nie !
                • Gość: Kolobos Re: Niechciane antywspyware...podaje log IP: *.escom.net.pl 07.11.06, 21:21
                  Wylacz antywirus zeby nie blokowal plik process.exe czy jaki tam jest.
                  • gilu33 Re: Niechciane antywspyware...podaje log 07.11.06, 21:49
                    wylaczyłem zaporę w windowsie,nic nie pomaga,tzn, dalej pokazuje ze zapora jest
                    włączona mimo że w okienku kliknąłem wyłącz.Spróbowałem teraz ze skanerem i to
                    samo. W okienku skanera pojawia sie czerwony krzyżyk, mimo że witryna dałem na
                    zaufane.A poza tym pojawia sie3 co chwile komunikat : zainstaluuj adobe flash
                    player 9 ? czy to ma związek z formantami activex ?
                    • Gość: Kolobos Re: Niechciane antywspyware...podaje log IP: *.escom.net.pl 07.11.06, 21:59
                      Sprobuj tak wylaczyc zapore:
                      net stop SharedAccess

                      W opcjach internetowych przywroc wszystko do ustawien domyslnych.
                      Zainstaluj adobe flash player9 oraz najnowsza jave.
                      • gilu33 Re: Niechciane antywspyware...podaje log 07.11.06, 22:02
                        net stop SharedAccess.. gdzie ? w regedit ?
                      • gilu33 Re: Niechciane antywspyware...podaje log 07.11.06, 22:07
                        mama jave :J2SE 5.0 update 2 i 6, czy musze cos jeszcze dodać ?
                  • gilu33 Re: Niechciane antywspyware...podaje log 07.11.06, 22:00
                    wreszcie uruchomiłem drugi skaner,podaje log :
                    SmitFraudFix v2.119

                    Scan done at 21:53:00,66, 2006-11-07
                    Run from C:\Documents and Settings\administratorr\Pulpit\SmitfraudFix
                    OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
                    Fix run in normal mode

                    »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
                    !!!Attention, following keys are not inevitably infected!!!

                    SrchSTS.exe by S!Ri
                    Search SharedTaskScheduler's .dll

                    »»»»»»»»»»»»»»»»»»»»»»»» Killing process


                    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

                    GenericRenosFix by S!Ri


                    »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


                    »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


                    »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

                    Registry Cleaning done.

                    »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
                    !!!Attention, following keys are not inevitably infected!!!

                    SrchSTS.exe by S!Ri
                    Search SharedTaskScheduler's .dll


                    »»»»»»»»»»»»»»»»»»»»»»»» End

                    cały czas meczy mnie Adobe flash player 9 co mam z tym zrobić ???
                    • Gość: Kolobos Re: Niechciane antywspyware...podaje log IP: *.escom.net.pl 07.11.06, 22:11
                      Masz zainstalowac..., a net... masz wpisac w uruchom.
                      • gilu33 Re: Niechciane antywspyware...podaje log 07.11.06, 22:15
                        wpisuję cała komendę w uruchom,na ułamek sekundy pojawia sie czarne..okienko i
                        znika..?
                        • Gość: Kolobos Re: Niechciane antywspyware...podaje log IP: *.escom.net.pl 07.11.06, 22:18
                          Tak ma byc.
Pełna wersja