CWS_NS3 pomocy !!
Spy swepper znajduje mi cos takiego jak CWS_NS3i XXXX.exe dzialajacy i dwa adwary z ta samo nazwą .
Po usunieciu zmow sie pojawia ale z innym .exe.
nic poza swepperem go nie znajduje .po uruchomieniu zmienia strone startowa i wrzuca spamy . co z tym zrobic ??
Po usunieciu zmow sie pojawia ale z innym .exe.
nic poza swepperem go nie znajduje .po uruchomieniu zmienia strone startowa i wrzuca spamy . co z tym zrobic ??
Odpowiedzi: 6
Dodam jeszcze, źe jeśli występują owe pozycje w Tasku ( te które podał Tobie EL NINO musisz je wyłączyć aby usunąć z HDD, wyszukując pliki do usunięcia zaznacz wyszukiwanie ukrytych plików i folderów.
Wylacz przywracanie systemu, zaznacz i usun co podal mscr@by. Wyszukaj na dysku i usun pliki:
javaam32.exe
mfcng.exe
winfx32.dll
gjbqk.dll
To samo z rejestru.
Zerknij rowniez do tematu obok (autorka websterman) i sciagnij sobie narzedzie do radzenia sobie z plikiem sp.htlm
javaam32.exe
mfcng.exe
winfx32.dll
gjbqk.dll
To samo z rejestru.
Zerknij rowniez do tematu obok (autorka websterman) i sciagnij sobie narzedzie do radzenia sobie z plikiem sp.htlm
Fix :
D:WINDOWSmfcng.exe
D:WINDOWSsystem32javaam32.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://D:WINDOWSgjbqk.dll/sp.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://D:WINDOWSgjbqk.dll/sp.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://gjbqk.dll/index.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://D:WINDOWSgjbqk.dll/sp.html#96676
O2 – BHO: (no name) – {B6EFF8ED–FE91–D486–61D0–EF55DD5220AC} – D:WINDOWSsystem32winfx32.dll
O4 – HKLM..Run: [mfcng.exe] D:WINDOWSmfcng.exe
O4 – HKLM..RunOnce: [javaam32.exe] D:WINDOWSsystem32javaam32.exe
log
Logfile of HijackThis v1.97.7
Scan saved at 14:25:30, on 2004–06–29
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:WINDOWSSystem32smss.exe
D:WINDOWSsystem32winlogon.exe
D:WINDOWSsystem32services.exe
D:WINDOWSsystem32lsass.exe
D:WINDOWSSystem32ibmpmsvc.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSSystem32svchost.exe
D:WINDOWSsystem32spoolsv.exe
D:WINDOWSSystem32atievxx.exe
D:Program FilesPanda SoftwarePanda Antivirus PlatinumFirewallPavFires.exe
D:Program FilesPanda SoftwarePanda Antivirus Platinumpavsrv51.exe
D:Program FilesPanda SoftwarePanda Antivirus PlatinumAVENGINE.EXE
D:WINDOWSExplorer.EXE
D:WINDOWSSystem32 p4mon.exe
D:Program FilesWinampwinampa.exe
D:PROGRA~1ThinkPadUTILIT~1 phkmgr.exe
D:Program FilesPanda SoftwarePanda Antivirus PlatinumAPVXDWIN.EXE
D:Program FilesWebrootSpy SweeperSpySweeper.exe
C:Program FilesGadu–Gadugg.exe
D:Program FilesPanda SoftwarePanda Antivirus PlatinumpavProxy.exe
D:WINDOWSmfcng.exe
D:WINDOWSsystem32javaam32.exe
D:Program FilesInternet ExplorerIEXPLORE.EXE
D:Documents and SettingskianoUstawienia lokalneTempKatalog tymczasowy 10 dla hijackthis.zipHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://D:WINDOWSgjbqk.dll/sp.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://D:WINDOWSgjbqk.dll/sp.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://gjbqk.dll/index.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://D:WINDOWSgjbqk.dll/sp.html#96676
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – D:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {B6EFF8ED–FE91–D486–61D0–EF55DD5220AC} – D:WINDOWSsystem32winfx32.dll
O4 – HKLM..Run: [TrackPointSrv] tp4mon.exe
O4 – HKLM..Run: [WinampAgent] D:Program FilesWinampwinampa.exe
O4 – HKLM..Run: [TpHotkey] D:PROGRA~1ThinkPadUTILIT~1 phkmgr.exe
O4 – HKLM..Run: [SCANINICIO] "D:Program FilesPanda SoftwarePanda Antivirus PlatinumInicio.exe"
O4 – HKLM..Run: [APVXDWIN] "D:Program FilesPanda SoftwarePanda Antivirus PlatinumAPVXDWIN.EXE" /s
O4 – HKLM..Run: [mfcng.exe] D:WINDOWSmfcng.exe
O4 – HKCU..Run: [SpySweeper] D:Program FilesWebrootSpy SweeperSpySweeper.exe /0
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKLM..RunOnce: [javaam32.exe] D:WINDOWSsystem32javaam32.exe
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
przy czym : O4 – HKLM..Run: [mfcng.exe] D:WINDOWSmfcng.exe ten plik po usunieciu i po reboocie pojawia sie pod inna nazwa
po otworzeniu explorera zmiena strone startowa
i tak swweper znajduje cws_ns3– np.javaam32.exe
i adware found :cws_ns3
adware found :cws_ns3 hijacker
pliki xxxx32.exe sa ciagle zmienane
Logfile of HijackThis v1.97.7
Scan saved at 14:25:30, on 2004–06–29
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:WINDOWSSystem32smss.exe
D:WINDOWSsystem32winlogon.exe
D:WINDOWSsystem32services.exe
D:WINDOWSsystem32lsass.exe
D:WINDOWSSystem32ibmpmsvc.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSSystem32svchost.exe
D:WINDOWSsystem32spoolsv.exe
D:WINDOWSSystem32atievxx.exe
D:Program FilesPanda SoftwarePanda Antivirus PlatinumFirewallPavFires.exe
D:Program FilesPanda SoftwarePanda Antivirus Platinumpavsrv51.exe
D:Program FilesPanda SoftwarePanda Antivirus PlatinumAVENGINE.EXE
D:WINDOWSExplorer.EXE
D:WINDOWSSystem32 p4mon.exe
D:Program FilesWinampwinampa.exe
D:PROGRA~1ThinkPadUTILIT~1 phkmgr.exe
D:Program FilesPanda SoftwarePanda Antivirus PlatinumAPVXDWIN.EXE
D:Program FilesWebrootSpy SweeperSpySweeper.exe
C:Program FilesGadu–Gadugg.exe
D:Program FilesPanda SoftwarePanda Antivirus PlatinumpavProxy.exe
D:WINDOWSmfcng.exe
D:WINDOWSsystem32javaam32.exe
D:Program FilesInternet ExplorerIEXPLORE.EXE
D:Documents and SettingskianoUstawienia lokalneTempKatalog tymczasowy 10 dla hijackthis.zipHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://D:WINDOWSgjbqk.dll/sp.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://D:WINDOWSgjbqk.dll/sp.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://gjbqk.dll/index.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://D:WINDOWSgjbqk.dll/sp.html#96676
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – D:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {B6EFF8ED–FE91–D486–61D0–EF55DD5220AC} – D:WINDOWSsystem32winfx32.dll
O4 – HKLM..Run: [TrackPointSrv] tp4mon.exe
O4 – HKLM..Run: [WinampAgent] D:Program FilesWinampwinampa.exe
O4 – HKLM..Run: [TpHotkey] D:PROGRA~1ThinkPadUTILIT~1 phkmgr.exe
O4 – HKLM..Run: [SCANINICIO] "D:Program FilesPanda SoftwarePanda Antivirus PlatinumInicio.exe"
O4 – HKLM..Run: [APVXDWIN] "D:Program FilesPanda SoftwarePanda Antivirus PlatinumAPVXDWIN.EXE" /s
O4 – HKLM..Run: [mfcng.exe] D:WINDOWSmfcng.exe
O4 – HKCU..Run: [SpySweeper] D:Program FilesWebrootSpy SweeperSpySweeper.exe /0
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKLM..RunOnce: [javaam32.exe] D:WINDOWSsystem32javaam32.exe
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
przy czym : O4 – HKLM..Run: [mfcng.exe] D:WINDOWSmfcng.exe ten plik po usunieciu i po reboocie pojawia sie pod inna nazwa
po otworzeniu explorera zmiena strone startowa
i tak swweper znajduje cws_ns3– np.javaam32.exe
i adware found :cws_ns3
adware found :cws_ns3 hijacker
pliki xxxx32.exe sa ciagle zmienane
KIANO :
Zastosuj się najpierw do rad zawartych w przyklejonym topic`u dotyczącym strony startowej.
Gdyby to nie pomogło podaj log z Hijack this do analizy.
Zastosuj się najpierw do rad zawartych w przyklejonym topic`u dotyczącym strony startowej.
Gdyby to nie pomogło podaj log z Hijack this do analizy.
Wyprobuj program CWShredder.
I moze do tego reszte antyspyweare'ow (archiwum)
I moze do tego reszte antyspyweare'ow (archiwum)
Strona 1 / 1