Nie mam już siły z tą stroną startową...

06.05.04, 04:06
Już nie mam siły.

Przeczytałem kilka for, męczyłem się kilka dni i nic.

Strona startowa zmieniła sie na adres about:blank i widnieje sobie w
najlepsze jakaś szara wyszukiwarka z napisem w lewym górnym rogu "Search
for.."

Uruchamiam HiJackThis, oto wynik:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\NAVAPW32.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53BAE4FB-8492-4C5E-B6D8-E38EEAEA5F18} -
C:\WINDOWS\System32\eehfp.dll
O4 - Startup: Skrót do NAVAPW32.lnk = C:\Program Files\Norton
AntiVirus\NAVAPW32.EXE
O16 - DPF: komentator - http://sport.onet.pl/komentator.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
http://skaner.mks.com.pl/SkanerOnline.cab

Kasuję wszystko od samej góry do 02 BHO, przy czym to BHO, musze wywalać
dwukrotnie, bo za pierwszym razem się nie da.
Uruchamiam windowsXP w trybie awaryjnym, by usunąć z systemu32 ten plik
eehfp.dll, który zresztą zawsze ma inną nazwę.
Normalnie sie go usunąć nie da, jak w trybie awaryjnym. Jadę następnie
CWSShredder, wyskakuje CWS.Searchx - REMOVED i Restoring Internet Explorer
Pages (RESTORED 6 items).

Wchodze do rejestru i wywalam wszystko to co wskazał HiJackhis, wszystkie
about:blanK z main i search w Internet Explorer.
Nie wywalam ręcznie tylko tego BHO, gdyż nie wiem co to jest i gdzie to
znaleźć.
Jadę Ad-Aware, SpyBotem i TZ Spyware-Adaware Remover. Nasepnie online
MKSVirem, Pandą i skanuję zainstalowanym Nortonem. Nic nie znajdują.

Wywalam wszystkie pliki temp z dysku, cookie i czyszczę historię.
Wpisuję jako stronę startową onet. Jadę jeszcze raz HijackThis i CWSShredder
i nic nie znajdują. Próbuję to wszystko robić i z opcją przywracania systemu
i bez tej opcji. Robię jeszcze skandisk na wszelki wypadek.

Komputer zostaje włączony, jest onet i przeglądam sobie stronki. Niby
wszystko jest fajnie. I nagle po godzinie, po dwóch, albo za 15 minut, nie
wiadomo skąd.. jeb! I wszystko wraca do normy z wyjątkiem tego, że eehfp.dll
już nazywa się np.pelckgb.dll, albo ghjp.dll, lub inne gówno.

Oczywiście najłatwiej jest zrobić format, ale chciałbym to gówno pokonać, a
nie poddać się formatem. Jesli znowu złapię, to przynajmniej będę wiedział
jak się tego pozbyć i pomóc innym. Mój kumpel złapał ostatnio to samo-ta sama
wyszukiwarka. Klikałem jeszcze na ten dll i otwierałem go przez notatnik tak
z ciekawości. Tam pisało m.in. coś takiego (nie wiem czy to pomoże w
czymkolwiek)

Hb dc †c >d Xd "InterlockedIncrement
InterlockedDecrement ąGetSystemDirectoryA éGetWindowsDirectoryA ˛
ExpandEnvironmentStringsA . CloseHandle eUnmapViewOfFile ^MapViewOfFile N
CreateFileMappingA [GetFileSize M CreateFileA SetFileAttributesA „
DisableThreadLibraryCalls uGetModuleFileNameA ‰WideCharToMultiByte
AreFileApisANSI *IsBadStringPtrA )IsBadReadPtr
HeapAlloc ›GetProcessHeap HeapFree «ReadFile KERNEL32.dll
ÉRegCloseKey ÍRegCreateKeyExA âRegOpenKeyExA ěRegQueryValueExA
ůRegSetValueExA ÖRegEnumKeyExA ADVAPI32.dll áUuidCreate RPCRT4.dll Ś
SHDeleteKeyA SHLWAPI.dll l ‘@ Đd    ¨d ¸d
Čd Ľ* Đ$ Č* ˛4 Öd ćd řd
e    m.dll DllCanUnloadNow DllGetClassObject DllRegisterServer
DllUnregisterServer


   €  ? €8 €? €P
€   h   x ?Ź E °p
á  S P . H T M L  G O . G I F <html><head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=iso-8859-1">
<meta http-equiv="MSThemeCompatible" content="Yes">
<title>Internet Explorer Search</title>
</head>
<style>
.searchTable{padding-top:5px}
.rightButton{text-align:right}
.searchPanel{width:100%;position:relative;top:0px;left:0px;border:1px solid
buttonshadow;margin:0px;padding:9px}
select{width:100%}
.inputs{width:100%}
select,input,button,body,p,td{font-size:"76%";font-family:"MS Sans Serif"}
a.h:link,a.h:visited{color:#DE2500;font-weight:bold;}
</style>
<body bgcolor=window text=windowtext style="margin:5px;overflow:auto"
onselectstart="return false;" ondragstart="return false;"
oncontextmenu="return false;">


<div class=searchPanel>
<form id=formWeb action="http://searchx.cc/search.php" method=get
target="_main">
<input type=hidden name="pin" value="1">
<label for=txtWebSearch>Find a Web page containing:</label><br>
<input class=inputs type=text name=ww id=txtWebSearch><br>
<table width=100% cellspacing=0 cellpadding=0 class=searchTable><tr>
<td class=rightButton><input type=button onclick="$Bx();return null;"
value="Search" title="Start Searching"></td>
</tr></table>
</form>
</div>


<script language=javascript>
function $Bx(){
s=escape(formWeb.ww.value);
if(s==""){
alert("Please specify something to search for!");
return;
}
formWeb.submit();
}
function go(text) { formWeb.ww.value=text; $Bx(); }
</script>

<br>


<table border=0 cellpadding=2 cellspacing=0 width=100% height="125"
style="border:1 solid #e53701">
<tr bgcolor="#e53701">



itd. to wygląda jak źródło tej wyszukiwarki.

Aha. Pierwszy raz kiedy to się zaczeło, miałem trojana StartPage. MKS i Panda
go usunęły (Norton nie wykrywał) i potem już nic nie znajdywały.


Czy ktoś może mi pomóc i wie dlaczego tak sie dzieje? Sorry, jeśli jakichś
głupot tu napisałem, ale jestem samoukiem i staram się radzić i uczyc samemu,
bo nie lubię iść na łatwiznę i zawracać komuś głowę. Tym razem jednak
poległem, więc zwracam się do ludzi kompetentnych o pomoc.

Pozdrawiam.

with
    • netsec Re: Nie mam już siły z tą stroną startową... 06.05.04, 09:17
      Twój system jest kompletnie NIE zaktualizowany.

      >Platform: Windows XP (WinNT 5.01.2600) <====?????????
      >MSIE: Internet Explorer v6.00 (6.00.2600.0000) <=====??????

      Jeśli chcesz abym ci pomógł to zacznij od zaktualizowania systemu
      o WSZYSTKIE krytyczne poprawki:

      1. Włącz wbudowany w XP firewall (Zaporę)
      1. Zainstaluj Service Pack 1
      2. Zainstaluj Internet Explorer 6.0 SP1
      3. Wykonaj aktualizacje przez WindowsUpdate www.windowsupdate.com
      o krytyczne poprawki.

      W innym przypadku będziesz zawsze będziesz coś usuwał ;)
      • with Re: Nie mam już siły z tą stroną startową... 07.05.04, 04:08
        netsec napisał:

        > Twój system jest kompletnie NIE zaktualizowany.
        >
        > >Platform: Windows XP (WinNT 5.01.2600) <====?????????
        > >MSIE: Internet Explorer v6.00 (6.00.2600.0000) <=====??????
        >
        > Jeśli chcesz abym ci pomógł to zacznij od zaktualizowania systemu
        > o WSZYSTKIE krytyczne poprawki:
        >
        > 1. Włącz wbudowany w XP firewall (Zaporę)
        > 1. Zainstaluj Service Pack 1
        > 2. Zainstaluj Internet Explorer 6.0 SP1
        > 3. Wykonaj aktualizacje przez WindowsUpdate www.windowsupdate.com
        > o krytyczne poprawki.

        Na początek, dzięki.

        No więc tak...
        1.Firewall włączony.
        2.Zainstalowałem internet explorer 6.0 SP1
        3.Ściągnąłem service pack 1 (17,4MB), ale przy próbie instalacji, wyskakuje
        ramka:
        "office service pack 1" i pod spodem "w systemie nie odnaleziono oczekiwanej
        wersji produktu"=dupa zbita
        4.Wszedłem na windowsupdate,była jedna krytyczna instalacja expresowa, jakieś
        drugie service pack 1, ściągnąłem (1,7MB), otworzył się kreator i podczas
        inwenteryzacji plików wyskoczyła informacja, że plik softkbd.dll jest otwarty,
        lub używany przez inną aplikację. Tylko jaką, skoro zostały same systemowe?
        =dupa zbita po raz drugi.

        Wklejam HijackThis na stan obecny (zrobiony podczas instalacji packa) :(

        Logfile of HijackThis v1.97.5
        Scan saved at 03:54:43, on 2004-05-07
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        D:\WUTemp\com_microsoft.XP_SP1_Express_5590\sp1aexpress_pl.exe
        d:\eb45a\update\update.exe
        C:\WINDOWS\System32\taskmgr.exe
        C:\WINDOWS\explorer.exe
        C:\WINDOWS\system32\spoolsv.exe
        D:\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\WINDOWS\System32\oppf.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\System32\oppf.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        res://C:\WINDOWS\System32\oppf.dll/sp.html (obfuscated)
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\WINDOWS\System32\oppf.dll/sp.html (obfuscated)
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\System32\oppf.dll/sp.html (obfuscated)
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        res://C:\WINDOWS\System32\oppf.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1
        \FLASHGET\jccatch.dll
        O2 - BHO: (no name) - {DA9AACC6-1228-47FD-82B2-3BA501DCDB87} -
        C:\WINDOWS\System32\oppf.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
        C:\PROGRA~1\FLASHGET\fgiebar.dll
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04
        \bin\jusched.exe
        O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program
        Files\FlashGet\jc_link.htm
        O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
        C:\Program Files\FlashGet\jc_all.htm
        O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
        O9 - Extra button: Related (HKLM)
        O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
        O9 - Extra button: FlashGet (HKLM)
        O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
        O16 - DPF: komentator - sport.onet.pl/komentator.cab
        O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
        fpdownload.macromedia.com/pub/shockwave/cabs/director/swdir.cab
        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
        www.pandasoftware.com/activescan/as5/asinst.cab
        O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
        v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38113.7583217593
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
        download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
        • netsec Re: Nie mam już siły z tą stroną startową... 07.05.04, 06:22
          Sokoro masz aż tyle problemów to może na GG dziś po 17?
        • Gość: cc Re: Nie mam już siły z tą stroną startową... IP: *.bydgoszcz.cvx.ppp.tpnet.pl 09.05.04, 09:43
          Ty, a to:
          >>C:\WINDOWS\system32\lsass.exe
          to nie przypadkiem ten słynny wirus Sasser?

          • netsec Re: Nie mam już siły z tą stroną startową... 09.05.04, 10:30
            Gość portalu: cc napisał(a):

            > >>C:\WINDOWS\system32\lsass.exe
            > to nie przypadkiem ten słynny wirus Sasser?

            NIE
            • mezard Re: Nie mam już siły z tą stroną startową... 09.05.04, 13:36
              Polecam:
              www.allsecpros.com/download/spywareblastersetup31.exe
Pełna wersja