spyware pomocy
kurde dziś szukałem seriala do gry. i wszedłem na jakąś stronę, i nagle mi się zwaliło na dysk pełno spyware :/ strona startowa mi się zmieniła i nei da się jej zmienić na taką co zawsze. wogóle ciągle na pulpit mi wksakują ikonki (skróty) do jakiś stron pornograficznych, ciągle jakieś komunikaty źe mam spyware, jakieś strony zboczone mi wyskakują :/
poradźcie jakim programem to usunąć?
próbowałem juź kilku m.in. ad–aware ale nie usunęło mi.
poradźcie jakim programem to usunąć?
próbowałem juź kilku m.in. ad–aware ale nie usunęło mi.
Odpowiedzi: 4
jak wyłączyć przywracanie systemu?
zakończyłem ntc.exe (ctrl+alt+del)
a tego crss.exe to mam dwa i nie wiem który zakończyć. zakończyłem ten przy którym nie pisało źe jest od systemu.
i wogóle jak się w tym programie robi źeby usuwał to co zaznaczyłem? dać FIX?
i w regedit teź usunąłem tak jak napisałeś.
ale w katalogu c:\windows\syste32\ jest plik csrss.exe ale tylko jeden i utworzony w 2001 roku.
"O20 – Winlogon Notify: drct16 – drct16.dll (file missing)
Haxdoor.D, w szukajke "drct16" bo wiele o nim juz zostało napisane"
oto mój nowy log.
Logfile of HijackThis v1.99.1
Scan saved at 22:30:34, on 2005–05–19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\system32\??rss.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\r\Pulpit\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Anty_16BitNT Automatyczna Ochrona] C:\WINDOWS\Anty_16BitNT.exe AO
O4 – HKCU\..\Run: [Rtq] C:\WINDOWS\System32\??rss.exe
O4 – Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 – Service: AntiVir Service (AntiVirService) – H+BEDV Datentechnik GmbH – C:\Program Files\AVPersonal\AVGUARD.EXE
O23 – Service: AntiVir Update (AVWUpSrv) – H+BEDV Datentechnik GmbH, Germany – C:\Program Files\AVPersonal\AVWUPSRV.EXE
coś mam jeszcze usunąć?
zakończyłem ntc.exe (ctrl+alt+del)
a tego crss.exe to mam dwa i nie wiem który zakończyć. zakończyłem ten przy którym nie pisało źe jest od systemu.
i wogóle jak się w tym programie robi źeby usuwał to co zaznaczyłem? dać FIX?
i w regedit teź usunąłem tak jak napisałeś.
ale w katalogu c:\windows\syste32\ jest plik csrss.exe ale tylko jeden i utworzony w 2001 roku.
"O20 – Winlogon Notify: drct16 – drct16.dll (file missing)
Haxdoor.D, w szukajke "drct16" bo wiele o nim juz zostało napisane"
oto mój nowy log.
Logfile of HijackThis v1.99.1
Scan saved at 22:30:34, on 2005–05–19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\system32\??rss.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\r\Pulpit\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Anty_16BitNT Automatyczna Ochrona] C:\WINDOWS\Anty_16BitNT.exe AO
O4 – HKCU\..\Run: [Rtq] C:\WINDOWS\System32\??rss.exe
O4 – Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 – Service: AntiVir Service (AntiVirService) – H+BEDV Datentechnik GmbH – C:\Program Files\AVPersonal\AVGUARD.EXE
O23 – Service: AntiVir Update (AVWUpSrv) – H+BEDV Datentechnik GmbH, Germany – C:\Program Files\AVPersonal\AVWUPSRV.EXE
coś mam jeszcze usunąć?
Wyłącz przywracanie systemu
Zakoncz procesy:
ntc.exe
??rss.exe (i teraz słuchaj, plik w task manadzerze zapewne bedzie wygladał jak systemowy csrss tyle ze ten fałszywiec bedzie uruchomiony przez uzytkownika a nie SYSTEM)
Usun:
Zakoncz procesy:
ntc.exe
??rss.exe (i teraz słuchaj, plik w task manadzerze zapewne bedzie wygladał jak systemowy csrss tyle ze ten fałszywiec bedzie uruchomiony przez uzytkownika a nie SYSTEM)
Usun:
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
Nieusuwalny przez HJT wiec odpalasz regedit i w kluczu HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks usuwasz wartosc w klamrach podana wyzej
O2 – BHO: (no name) – {B8D3EB7B–7DE3–5414–928F–5130556D70CB} – C:\WINDOWS\System32\bib.dll
O2 – BHO: (no name) – {CE91E21A–F345–40AB–8BCF–3D044DD1FB03} – C:\WINDOWS\System32\oclh.dll (file missing)
O4 – HKCU\..\Run: [Ssdn] C:\Documents and Settings\r\Dane aplikacji\ntc.exe
O4 – HKCU\..\Run: [Rtq] C:\WINDOWS\System32\??rss.exe
Tak łatwo nie rozpoznasz tego smiecia, wejdz do katalogu C:\WINDOWS\System32 i posortuj pliki wg nazw, ten wyzej od gory to badziew.
Rozpoznasz rowniesz po dacie – nowszy do wyrzucenia
O15 – Trusted Zone: www.archiviosex.net
O15 – Trusted Zone: www.redfunny.com
O15 – Trusted Zone: www.skymasters.biz
O20 – Winlogon Notify: drct16 – drct16.dll (file missing)
Haxdoor.D, w szukajke "drct16" bo wiele o nim juz zostało napisane
Logfile of HijackThis v1.99.1
Scan saved at 21:59:26, on 2005–05–19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\r\Dane aplikacji\ntc.exe
C:\WINDOWS\System32\??rss.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Cheating–Death\cdeath.exe
C:\Documents and Settings\r\Pulpit\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 – BHO: (no name) – {B8D3EB7B–7DE3–5414–928F–5130556D70CB} – C:\WINDOWS\System32\bib.dll
O2 – BHO: (no name) – {CE91E21A–F345–40AB–8BCF–3D044DD1FB03} – C:\WINDOWS\System32\oclh.dll (file missing)
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Anty_16BitNT Automatyczna Ochrona] C:\WINDOWS\Anty_16BitNT.exe AO
O4 – HKCU\..\Run: [Ssdn] C:\Documents and Settings\r\Dane aplikacji\ntc.exe
O4 – HKCU\..\Run: [Rtq] C:\WINDOWS\System32\??rss.exe
O4 – Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 – Trusted Zone: www.archiviosex.net
O15 – Trusted Zone: www.redfunny.com
O15 – Trusted Zone: www.skymasters.biz
O20 – Winlogon Notify: drct16 – drct16.dll (file missing)
O23 – Service: AntiVir Service (AntiVirService) – H+BEDV Datentechnik GmbH – C:\Program Files\AVPersonal\AVGUARD.EXE
O23 – Service: AntiVir Update (AVWUpSrv) – H+BEDV Datentechnik GmbH, Germany – C:\Program Files\AVPersonal\AVWUPSRV.EXE
oto ten log
Scan saved at 21:59:26, on 2005–05–19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\r\Dane aplikacji\ntc.exe
C:\WINDOWS\System32\??rss.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Cheating–Death\cdeath.exe
C:\Documents and Settings\r\Pulpit\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 – BHO: (no name) – {B8D3EB7B–7DE3–5414–928F–5130556D70CB} – C:\WINDOWS\System32\bib.dll
O2 – BHO: (no name) – {CE91E21A–F345–40AB–8BCF–3D044DD1FB03} – C:\WINDOWS\System32\oclh.dll (file missing)
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Anty_16BitNT Automatyczna Ochrona] C:\WINDOWS\Anty_16BitNT.exe AO
O4 – HKCU\..\Run: [Ssdn] C:\Documents and Settings\r\Dane aplikacji\ntc.exe
O4 – HKCU\..\Run: [Rtq] C:\WINDOWS\System32\??rss.exe
O4 – Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 – Trusted Zone: www.archiviosex.net
O15 – Trusted Zone: www.redfunny.com
O15 – Trusted Zone: www.skymasters.biz
O20 – Winlogon Notify: drct16 – drct16.dll (file missing)
O23 – Service: AntiVir Service (AntiVirService) – H+BEDV Datentechnik GmbH – C:\Program Files\AVPersonal\AVGUARD.EXE
O23 – Service: AntiVir Update (AVWUpSrv) – H+BEDV Datentechnik GmbH, Germany – C:\Program Files\AVPersonal\AVWUPSRV.EXE
oto ten log
Jabys chodz troche ten dział przejrzał to zauwazyłbys ze w takich przypadkach program Hijack This sie niezle sprawdza.
Zrob log i podaj go.
Zrob log i podaj go.