DANGER: SPYWARE na pulpicie

dzisiaj w moim komputerze dzieja sie straszne rzeczy. mam nadzije ze bedziecie wyrozumiali i pomozecie, bo wlasciwie nei wiem do kogo sie zwrocic. na CZERWONYM pulpicie mam czarna ramke z napisem DANGER: SPYWARE a pod tym jakies angielskie namawiania do kupienia jakiegos zabezpieczenia albo sciagniecia dema. szczerze mowic, slabo u mnie z angielskim, wiec moze sama nie wiem...
na to wyswietlaja sie dwie ramki "please select your country" i wylaczyc moge je po dluzyszym staraniu,ale to tez na chwile. poza tym nie wyswietla sie lista po nacisnieciu prawego przycisku. a strona startowa to: http://213.159.117.134/index.php (moze lepiej a to nie wchodzic)
zrobilam juz skoanowanie dwoma programami antywirusowymi, ktore wykrywly i zneutralizowaly jakies wiry.
czy moze ktos to mial i wie jak zwalczyc? bo szczerze mowic to ja nei za bardzo znam sie na komputerach. bardzo bym byla wdzieczna za pomoc.
jak ktos bylby chetny, to moj nr gg podany

i jeszcze ta stronka mi sie wlacza..
http://daosearch.com/free.php?id=186

Bobi_robert:
@zaba285, nie chce Cie rozczarowywać, ale ten link pada w kazdym temacie dot. czerwonej tapety.
Czemu w tym akurat go nie było – ano dlatego, ze problemu juz nie ma.

wiem o tym, źe pada w kaźdym podobnym temacie, ale to źe go tu podałem chyba nikomu nie zaszkodzi, problem jest tam dobrze opisany, a ja chciałem tylko pomóc, dziwie się, źe masz o to pretensje

zaba285

Dodano: 13.04.2005 16:04:01

@zaba285, nie chce Cie rozczarowywać, ale ten link pada w kazdym temacie dot. czerwonej tapety.
Czemu w tym akurat go nie było – ano dlatego, ze problemu juz nie ma.

Bobi

Dodano: 13.04.2005 15:10:15

Tu jest wszystko :arrow:
http://www.searchengines.pl/phpbb203/index.php?showtopic=31936

zaba285

Dodano: 12.04.2005 22:34:28

Czyźbyś wiedział o czymś, czego ja nie wiem? ;)
Nie studiuje jego historii, ale...

Ad@$

Dodano: 11.04.2005 22:12:50

Ad@$:
Reszta syf taki, źe szkoda gadać

A pitolisz :wink:
Syfu juz dawno nie ma, no moze został ukryty Haxdoor, ktory zdradził sie tym ze komputer resetuje.
Inaczej go widac nie było.
Jeden z jego plików na STOPie sie zdradził.
W kazdym badz razie wieczorem bedzie "glanc"

Bobi

Dodano: 11.04.2005 18:54:34

Ale ten log nie jest Twoj :P
Moźe masz racje, ale Tlena zawsze moźna na nowo wciepnąć do autostartu. Reszta syf taki, źe szkoda gadać

Ad@$

Dodano: 11.04.2005 18:04:03

Pytajniki to raczej nie Wszystkie, u mnie tez zaznacza Oprogramowanie do Neostrady – jako Pytajnik i co tez mam usunac Adasiu:>

rayan

Dodano: 10.04.2005 18:25:48

Kupa syfu. Wejdź na hijackthis.de i wklej Usuń wszystkie z system32 i wraz z tymi pytajnikami

Ad@$

Dodano: 10.04.2005 14:35:24

Logfile of HijackThis v1.99.0
Scan saved at 11:37:18, on 2005–04–10
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\Gadu–Gadu\gg.exe
C:\Documents and Settings\test\Ustawienia lokalne\Temp\Katalog tymczasowy 5 dla hijackthis.zip\HijackThis.exe

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 – HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 – HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = "%1" /S
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 – BHO: URLLink Class – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:\Program Files\NewDotNet\newdotnet6_38.dll (file missing)
O2 – BHO: SpywareGuard Download Protection – {4A368E80–174F–4872–96B5–0B27DDD11DB2} – D:\SpywareGuard\dlprotect.dll
O2 – BHO: (no name) – {4FC95EDD–4796–4966–9049–29649C80111D} – (no file)
O2 – BHO: (no name) – {A99E1618–98EC–98F3–7B56–50D9B27636B8} – C:\DOCUME~1\test\DANEAP~1\ONCECL~1\Inforef.exe
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 – HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 – HKLM\..\Run: [RealJukeboxSystray] D:\RealJukebox\tsystray.exe
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 – HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup –s
O4 – HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 – HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 – HKLM\..\Run: [Bib City Info Window] C:\Documents and Settings\All Users\Dane aplikacji\Soft drv bib city\Forkkind.exe
O4 – HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKLM\..\Run: [Pei] C:\WINDOWS\System32\Juk.exe
O4 – HKLM\..\Run: [Disk Keeper] C:\DOCUME~1\test\USTAWI~1\Temp\keep.exe
O4 – HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{084442CF–DD93–43CE–8777–47D2E86896BF}\SVCHOST.EXE
O4 – HKLM\..\Run: [Ukl] C:\WINDOWS\System32\Oqk.exe
O4 – HKLM\..\Run: [Jlt] C:\WINDOWS\System32\Mou.exe
O4 – HKLM\..\Run: [Htt] C:\WINDOWS\System32\Nsr.exe
O4 – HKLM\..\Run: [Aoj] C:\WINDOWS\System32\Bst.exe
O4 – HKLM\..\Run: [Vra] C:\WINDOWS\System32\Krj.exe
O4 – HKLM\..\Run: [Ihl] C:\WINDOWS\Hse.exe
O4 – HKLM\..\Run: [Hdq] C:\WINDOWS\Fhh.exe
O4 – HKLM\..\Run: [Gch] C:\WINDOWS\Qon.exe
O4 – HKLM\..\Run: [Ejj] C:\WINDOWS\Pks.exe
O4 – HKLM\..\Run: [Hfn] C:\WINDOWS\System32\Mca.exe
O4 – HKLM\..\Run: [Mot] C:\WINDOWS\System32\Sfs.exe
O4 – HKLM\..\Run: [Ssg] C:\WINDOWS\System32\Tat.exe
O4 – HKLM\..\Run: [Otm] C:\WINDOWS\System32\Dij.exe
O4 – HKLM\..\Run: [Ncb] C:\WINDOWS\System32\Cpd.exe
O4 – HKLM\..\Run: [Pga] C:\WINDOWS\System32\Hqm.exe
O4 – HKLM\..\Run: [Kso] C:\WINDOWS\Fir.exe
O4 – HKLM\..\Run: [Mqv] C:\WINDOWS\System32\Veg.exe
O4 – HKLM\..\Run: [Ucu] C:\WINDOWS\Tsn.exe
O4 – HKLM\..\Run: [Jhb] C:\WINDOWS\System32\Aeb.exe
O4 – HKLM\..\Run: [Dbu] C:\WINDOWS\System32\Qsi.exe
O4 – HKLM\..\Run: [Eqv] C:\WINDOWS\Qkd.exe
O4 – HKLM\..\Run: [Qdp] C:\WINDOWS\System32\Uct.exe
O4 – HKLM\..\Run: [Ofm] C:\WINDOWS\Sfh.exe
O4 – HKLM\..\Run: [Lfl] C:\WINDOWS\System32\Iid.exe
O4 – HKLM\..\Run: [Bve] C:\WINDOWS\System32\Fvh.exe
O4 – HKLM\..\Run: [Gai] C:\WINDOWS\System32\Hqh.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Komunikator] D:\tlen\tlen.exe
O4 – HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe –quiet
O4 – HKCU\..\Run: [BASE FREE] C:\DOCUME~1\test\DANEAP~1\COALVG~1\WaveRoad.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "D:\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKCU\..\Run: [Pei] C:\WINDOWS\System32\Juk.exe
O4 – HKCU\..\Run: [Ukl] C:\WINDOWS\System32\Oqk.exe
O4 – HKCU\..\Run: [Jlt] C:\WINDOWS\System32\Mou.exe
O4 – HKCU\..\Run: [Htt] C:\WINDOWS\System32\Nsr.exe
O4 – HKCU\..\Run: [Aoj] C:\WINDOWS\System32\Bst.exe
O4 – HKCU\..\Run: [Vra] C:\WINDOWS\System32\Krj.exe
O4 – HKCU\..\Run: [Ihl] C:\WINDOWS\Hse.exe
O4 – HKCU\..\Run: [Hdq] C:\WINDOWS\Fhh.exe
O4 – HKCU\..\Run: [Gch] C:\WINDOWS\Qon.exe
O4 – HKCU\..\Run: [Ejj] C:\WINDOWS\Pks.exe
O4 – HKCU\..\Run: [Hfn] C:\WINDOWS\System32\Mca.exe
O4 – HKCU\..\Run: [Mot] C:\WINDOWS\System32\Sfs.exe
O4 – HKCU\..\Run: [Ssg] C:\WINDOWS\System32\Tat.exe
O4 – HKCU\..\Run: [Otm] C:\WINDOWS\System32\Dij.exe
O4 – HKCU\..\Run: [Ncb] C:\WINDOWS\System32\Cpd.exe
O4 – HKCU\..\Run: [Pga] C:\WINDOWS\System32\Hqm.exe
O4 – HKCU\..\Run: [Kso] C:\WINDOWS\Fir.exe
O4 – HKCU\..\Run: [Mqv] C:\WINDOWS\System32\Veg.exe
O4 – HKCU\..\Run: [Ucu] C:\WINDOWS\Tsn.exe
O4 – HKCU\..\Run: [Jhb] C:\WINDOWS\System32\Aeb.exe
O4 – HKCU\..\Run: [Dbu] C:\WINDOWS\System32\Qsi.exe
O4 – HKCU\..\Run: [Eqv] C:\WINDOWS\Qkd.exe
O4 – HKCU\..\Run: [Qdp] C:\WINDOWS\System32\Uct.exe
O4 – HKCU\..\Run: [Ofm] C:\WINDOWS\Sfh.exe
O4 – HKCU\..\Run: [Lfl] C:\WINDOWS\System32\Iid.exe
O4 – HKCU\..\Run: [Bve] C:\WINDOWS\System32\Fvh.exe
O4 – HKCU\..\Run: [Jab] C:\WINDOWS\Cnk.exe
O4 – HKCU\..\Run: [Gai] C:\WINDOWS\System32\Hqh.exe
O4 – Startup: SpywareGuard.lnk = D:\SpywareGuard\sgmain.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: PS2 Keyboard English Edition.lnk = ?
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 – Extra button: (no name) – {CD67F990–D8E9–11d2–98FE–00C0F0318AFE} – (no file)
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 – DPF: {31B7EB4E–8B4B–11D1–A789–00A0CC6651A8} (Cult3D ActiveX Player) – http://www.cult3d.com/download/cult.cab
O16 – DPF: {88D758A3–D33B–45FD–91E3–67749B4057FA} (Sinstaller Class) – http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{46EC2E6B–E144–476F–9635–9658082D0FC2}: NameServer = 10.100.0.254,194.204.152.34
O17 – HKLM\System\CS1\Services\Tcpip\..\{46EC2E6B–E144–476F–9635–9658082D0FC2}: NameServer = 10.100.0.254,194.204.152.34
O17 – HKLM\System\CS2\Services\Tcpip\..\{46EC2E6B–E144–476F–9635–9658082D0FC2}: NameServer = 10.100.0.254,194.204.152.34
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown – C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 – Service: Panda Firewall Service – Unknown – C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 – Service: Panda anti–virus service – Unknown – C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

netspirit

Dodano: 10.04.2005 13:38:34

rayan:
Czy choc aby napewno rokita :>

Na pewno, bo jak zawsze "diabeł tkwi w szczegółach" – "rootkit" czy rokit–a jeden czort :wink:
Do tego zaś narzędzie zwie się np.:
RootkitRevealer

Rebe

Dodano: 10.04.2005 12:12:53

Czy choc aby napewno rokita :>

rayan

Dodano: 10.04.2005 12:06:50

andi18:
O rokitach proponuje poczytac na stronce eksperta.

Nic tam nie ma, ale znalazlem gdzie indziej –> http://www.dziecionline.pl/Biblioteka/wojcicki_k_w/klechdy/36.htm

EL NINO

Dodano: 10.04.2005 02:44:55

prawdopodobnie to są tzw.rokity czyli takie robale na które jeszcze nie ma programu do zwalczania,jeśli nie pomoze to co napisane w linku podanym przez rebe tylko format.

O rokitach proponuje poczytac na stronce eksperta.

Andrew Golota

Dodano: 10.04.2005 00:12:36

http://forum.centrumxp.pl/viewtopic.php?t=31947 – moźe od tego zacznij ?

Rebe

Dodano: 09.04.2005 20:35:13

DANGER: SPYWARE na pulpicie – problem

Odpowiedzi: 14