CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Problem z "Danger: Spyware"

Problem z "Danger: Spyware"

Witam
Maiłem problem typu: tapeta "Danger: Spyware". Problem ten rozwiazalem tak jak to jest opisane w faq. Jednak okazalo sie ze to nie koniec problemow. Teraz sytułacja wyglada nastepujaco:
– programy uruchamiaja sie strasznie wolno
– gdy jest wlaczony wicej niz jeden czasami wywala komunikat: "System windows ma za mało pamieci wirtualnej..."
– kazdy program ktory laczy sie z internetem ( np. gg,ie,wmp ) zajmuje 98% urzycia procesora, jedynym ktory sie z tej reguly wylamuje jest opera
– gdy wylanczam lub restartuje system za kazdym razem wywala mi niebieski ekran ( nr bladu 0x0000008E ), w ktorym rzuca sie o plik avpe64.sys

Log z hijackthis:



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Filing Cabinets v2.00\mwfc2.exe
C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
c:\usr\MYSQL\bin\mysqld.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Opera\Opera.exe


R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.icm.edu.pl:8080
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [HelioBarXP] C:\Program Files\HelioBar XP\HelioBarXP.exe start
O4 – Global Startup: Macroworx Filing Cabinets.lnk = C:\Program Files\Filing Cabinets v2.00\mwfc2.exe
O4 – Global Startup: Remote Controller.lnk = C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE
O16 – DPF: {41ACD49D–1974–791A–0981–AA9872721044} (Ganymede Board Games) – http://67.15.101.3/g_bin/pl/boards_2_0_0_23.cab
O16 – DPF: {4539348E–01D7–11D5–9A39–0080C8D85044} (GameDesire Slots 90th) – http://67.15.101.3/g_bin/pl/slots90_2_0_0_26.cab
O16 – DPF: {8FCDF9D9–A28B–480F–8C3D–581F119A8AB8} (MediaGatewayX) – http://static.zangocash.com/cab/180solutions/ie/bridge–c567.cab
O16 – DPF: {92ECE6FA–AC2E–4042–BFAE–0C8608E52A43} (SignActivX Control) – https://www.bph.pl/pi/components/SignActivX.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C5} (GameDesire Snooker) – http://67.15.101.3/g_bin/eng/snooker_2_0_0_24.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C6} (GameDesire Pool 8UK) – http://67.15.101.3/g_bin/pl/billard8UK_2_0_0_24.cab
O20 – Winlogon Notify: avpe32 – C:\WINDOWS\SYSTEM32\avpe32.dll
O23 – Service: Kerio Personal Firewall 4 (KPF4) – Kerio Technologies – C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 – Service: MySql – Unknown owner – c:\usr/MYSQL/bin/mysqld.exe


Programy antyspamowe i antywirusowe nic nie znajduja.

Odpowiedzi: 3

Przecieź na tej stronie masz informacje o nazwach plików oraz miejscach w rejestrze gdzie ten śmiec siedzi. Wystarczy, źe poszukasz i usuniesz podane rzeczy.
Bobi
Dodano
02.01.2006 15:44:13
No obra to juz wiem co to jest, ale jak sie tego dziada pozbyc ??
themk
Dodano
01.01.2006 23:08:43
http://www.sophos.com/virusinfo/analyses/trojhaxdoorap.html
Bobi
Dodano
01.01.2006 21:48:45
themk
Dodano:
01.01.2006 19:30:58
Komentarzy:
3
Strona 1 / 1