Помощ за spyware

[vanio]

Опитай с това http://store4.data.bg/vavasss/Portable/Por...ware%200.90.exe

[Aquarius]

Махни отметката пред този запис

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

+ ablator c:\windows\system32\axdpfl.dll

и рестартирай машината.

[venelinveni]

Благодаря на всички включили се в решаването на проблема защото наистина вече ПРОБЛЕМА Е РЕШЕН.

махнах отметката пред посоченият запис и вече всичко е ОК. Дори сканирах с посочената от VANIO Portable Malwarebytes' Anti-Malware 0.90 която откри над 100!!!!! проблема.Повечето бяха Troyan.Zlob................Някои се изтриха с програмата,други ръчно чрез проследяване на местонахождението.A два проблема не ми разрешава да изтрия и ги "ИГНОРИРАХ"с програмката.Пак БЛАГОДАРЯ на ВСИЧКИ!!!!!!!!!!!!!!!!

[Night_Raven]

Явно си пълен със spyware. Ще е добре да пуснеш и още някоя-друга програмка, например Ad-Aware SE Personal 1.06 r1, Spybot - Search & Destroy, SUPERAntiSpyware или AVG Anti-Virus Free.

[mirosilistra]

здр.-те имам голям проблем, постоянно на 10-15 секунди ми се скриват иконите и старт лентата, пробвах c Hijack This v 2.0.2 и ми изкарва отчета ама нищо немога да разбера.

 

Ако някой може да помогне

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:44:22, on 06.02.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Datecs\FlexType 2K\FType2K.exe

C:\Program Files\IQNotes\postit.exe

C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\imapi.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://jdsportal.jcb.com/scripts/cgiip.exe...;error=&op=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &DownloadStudio - {CB789373-04D5-4ef4-9C16-871463FD0830} - C:\Program Files\Conceiva\DownloadStudio\WebDLBar.dll

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [statusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iSUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [DownloadStudio] C:\Program Files\Conceiva\DownloadStudio\DownloadStudioScheduleMonitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe

O4 - Global Startup: FlexType 2K.lnk = C:\Program Files\Datecs\FlexType 2K\FType2K.exe

O4 - Global Startup: iQ-Notes.lnk = C:\Program Files\IQNotes\postit.exe

O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Add Page To DownloadStudio Scrapbook... - C:\Program Files\Conceiva\DownloadStudio\ds_snap.htm

O8 - Extra context menu item: Download Image Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_img.htm

O8 - Extra context menu item: Download Link Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_file.htm

O8 - Extra context menu item: Download List Of Files Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_list.htm

O8 - Extra context menu item: Download Page Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_all.htm

O8 - Extra context menu item: Download Selection Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_sel.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Show Page Links Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_link.htm

O8 - Extra context menu item: Subscribe To RSS/Podcast Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_rss.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Program Files\Conceiva\DownloadStudio\DownloadStudio.exe

O9 - Extra 'Tools' menuitem: &DownloadStudio - {4D0C4820-53F7-4d79-A2E1-5252683CF69C} - C:\Program Files\Conceiva\DownloadStudio\DownloadStudio.exe

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC97686B-0A92-433D-85B1-0279F5F510D5}: NameServer = 192.168.2.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

 

--

End of file - 7927 bytes

 

 

Благодаря предварително

[Night_Raven]

Преименувай HijackThis.еxe файла и сканирай отново.

[Cheers]

mirosilistra, преименувай наистина HijackThis.еxe и не забравяй да изключиш (да не зареждаш) браузър, мейл и messenger клиенти, както програми като: notepad, wordpad, Word и каквито и да е стартиращи програми, подобни на msconfig.

Преименуването на HijackThis.еxe се налага, защото например троянеца Vundo се маскира добре и HijackThis не го открива.

[mirosilistra]

Благодаря за бързите отговори, но не мога да преименувам, защото не мога да стигна до него - на 10-тата секунда ми се скрива всичко и ми се затварят прозорците които са от Explorer-a.

Ако има други алтернативи, мога да пробвам, а не ми се преинсталира, 6тото няма как да си взема информацията от С:.

 

А иначе тоя Vundo ми го засича Spyware Doctor, махам го но след 10 мин скан и пак е там в System 32 има няколко .dll файла дето си ги засича постоянно.

[Topper]

Тогава ползвай SpyBot и стартирай в Safe Mode преди да сканираш.

[Aquarius]

благодаря за бързите отговори, но немога да преименувам за6тото немога да стигна до него, на 10 секунда ми се скрива всичко и ми се затварят прозорците които са от експлорера.

Ако има други алтернативи, мога да пробвам, а не ми се преинсталира, 6тото няма как да си жзема инфото от С:.

 

А иначе тоя вундо ми го заси4а Spywear doctor, махам го но след 10 мин скан и пак е там в Sistem 32 има няколко .dll файла дето си ги заси4а постоянно.

Преди да пуснеш Log-файла от HijackThis добра идея е да обновиш антивирусните и антишпионските програми, които използваш и след това да сканираш в режим Safe Mode.

Когато си готов използвай този вече преименуван HijackThis.

Също така пусни един Log-файл от AutoRuns.

Стартирай файла Autoruns.exe и направи следното:

1. Избери Options -> Hide Microsoft Entries.

2. Избери File -> Refresh.

3. Избери File -> Save as.

Запази файла някъде и след това копирай съдържанието му тук в темата, заедно с новия Log-файл от преименувания HijackThis.

[Topper]

...a за да спреш фантомния "рестарт" напиши:

win+r

shutdown /a

enter

[Topper]

Като за начало:

Изтриваш това

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

+ ablator c:\windows\system32\axdpfl.dll

+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys

+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys

+ Pcouffin File not found: System32\Drivers\Pcouffin.sys

+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys

+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys

+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys

+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys

+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys

+ zntport File not found: C:\WINDOWS\System32\zntport.sys

+ saruen File not found: D:\Emil Gargorov\Anti bann\anti\saruen.sys

 

И ми е чудно как ти работи компютъра с толкова "екстри". Не е нужно всичко да ти е на "една ръка разстояние" (на десния клавиш или на тулбара на IE) - тормозиш само машината