Jak usunąć spyware z Windows XP SP1? Wyskakujące reklamy, zmiana tapety

Question

Zapewne znany problem. Tapeta jak w temacie, wyskakujace reklamy. Log z Hijack'a: Dziekuje za ewentualna pomoc.

rambler_ · Accepted Answer

ten nie wiadomo co uruchamia:
C:\WINDOWS\system32\rundll32.exe

To do czego:
C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe

Te można śmiało wywalić, nie są potrzebne:
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\QuickTime\qttask.exe

A to co:
C:\PROGRA~1\COMMON~1\rirq\rirqm.exe
C:\PROGRA~1\COMMON~1\rirq\rirqa.exe
trochę podejżane...

To też:
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

Po jakiego grzyba używasz internet explorera???
C:\Program Files\Internet Explorer\IEXPLORE.EXE
Ściągnij sobie firefoxa, albo jakąś inną NORMALNĄ przeglądarkę internetową.... nie nbędziesz miał problemów...

To bym usunął:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Onet.pl AutoUpdate] C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe /tsr
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

Tego nie znam: (podejżane):
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\woyaaq.exe reg_run

Tu też jakaś menda:
O4 - HKCU\..\Run: [rirq] C:\PROGRA~1\COMMON~1\rirq\rirqm.exe

To jakiś syf:
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab

To też:
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.117.128.162/activex/AxisCamControl.cab

Tego nie znam:
O16 - DPF: {D77EF652-9A6B-40C8-A4B9-1C0697C6CF41} (TikGames Online Control) - http://download.games.yahoo.com/games/web_games/tikgames/pandacraze/gpcontrol.cab

To jakieś Twoje DNSy? Jeśli nie to spróbuj usunąć (wcześniej zanotuj):
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53D6405-67C9-484A-8BA7-EBE93CA1D452}: NameServer = 80.85.224.2,80.85.224.50

To też chyba jakiś syf:
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\fp4603hse.dll

Użyj jeszcze CWShredder (2.19) i S&D 1.4, na wszelki "W" też adaware.
Rób wszystko w awaryjnym, jak nie pomoże daj znać.

Pozdrawiam, Robs.

mpn103 · Accepted Answer

Wywal dokładnie to:

C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\COMMON~1\rirq\rirqa.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\devldr32.exe

Zainstaluj ten program i zrób skanowanie:
http://betanewsdl.ams.cachefly.net/spybotsd14.exe
później ten:
http://www.macecraft.com/downloads/RegSupremePro_setup.exe
i zrób głębokie czyszczenie rejestru, a na koniec ten program:
http://software-files.download.com/sd/4HXZzb7...22&siteId=4&edId=3&pid=10399602&psid=10045910

i powinno być wszystko ok, przynajmniej u mnie było jak z tym walczyłem.

Pozdrawiam

Dziobak82 · Answer

Niesty nie pomoglo.
Moj log wyglada teraz tak:

Logfile of HijackThis v1.99.1
Scan saved at 23:00:22, on 2005-12-21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\rirq\rirqa.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53D6405-67C9-484A-8BA7-EBE93CA1D452}: NameServer = 80.85.224.2,80.85.224.50
O20 - Winlogon Notify: MSSYCLM - C:\WINDOWS\system32\f82mlif1182.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

Dziobak82 · Answer

Zrobilem to co mowiliscie.
Zniknal pulpit z napisem spyware infection, jednak nadal nie moge zmienic tapety a i reklamy wciaz wsykakuja :-/

Oto moj log:

Logfile of HijackThis v1.99.1
Scan saved at 21:22:58, on 2005-12-22
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\woyaaq.exe reg_run
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53D6405-67C9-484A-8BA7-EBE93CA1D452}: NameServer = 80.85.224.2,80.85.224.50
O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\jtn4075qe.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

Niestety juz co prawda nie wykrywa zadnego wirusa ale problem nie zniknal.

Tak czy siak dziekuje za okazana mi pomoc, skonczy sie formatem i jednoczesnie nie chcac zasmiecac forum zapytam jeszcze o jedna kwestie. Ta akurat dotyczy innego kompa.
Mianowcie mam NODa a system wciaz powiadamia mnie o grozbie zainfekowania.
Patrze w opcje i po prostu winda go nie wykrywa, nie widzi monitorowania. Wyskakuje slynna czerwona tarcza "security alert".
Co moze byc tego przyczyna?

ruff22 · Answer

Zrób przywracanie syetmu do dnia zprzed infekcji i po sprawie.

rambler_ · Answer

Tu masz ściąge: Na 100% pomoże. Znajdź odpowiednią odmianę i zrób plik reg wg. opisu - znikną reklamy i alerty a pulpit będziesz mógł zmienić. Pozdrawiam, Robs.

flaber007 · Answer

Logfile of HijackThis v1.99.1
Scan saved at 00:41:32, on 2005-12-24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\kernels64.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Tomek1\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels64.exe
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://arcaonline.arcabit.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nesunel.mht!http://adextension.com/ext1/lca.chm::/bridge-c18.cab
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab
O21 - SSODL: dNblYHuxA - {28918B0A-823B-21A0-BC56-22345DDEC857} - C:\WINDOWS\System32\suhv.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

co o tym myślicie ?

arttysta · Answer

nie prościej używac programu spybot - www.spybot.info

Jak usunąć spyware z Windows XP SP1? Wyskakujące reklamy, zmiana tapety

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Podsumowanie tematu