with
06.05.04, 04:06
Już nie mam siły.
Przeczytałem kilka for, męczyłem się kilka dni i nic.
Strona startowa zmieniła sie na adres about:blank i widnieje sobie w
najlepsze jakaś szara wyszukiwarka z napisem w lewym górnym rogu "Search
for.."
Uruchamiam HiJackThis, oto wynik:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\NAVAPW32.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
res://C:\WINDOWS\System32\eehfp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53BAE4FB-8492-4C5E-B6D8-E38EEAEA5F18} -
C:\WINDOWS\System32\eehfp.dll
O4 - Startup: Skrót do NAVAPW32.lnk = C:\Program Files\Norton
AntiVirus\NAVAPW32.EXE
O16 - DPF: komentator - http://sport.onet.pl/komentator.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
http://skaner.mks.com.pl/SkanerOnline.cab
Kasuję wszystko od samej góry do 02 BHO, przy czym to BHO, musze wywalać
dwukrotnie, bo za pierwszym razem się nie da.
Uruchamiam windowsXP w trybie awaryjnym, by usunąć z systemu32 ten plik
eehfp.dll, który zresztą zawsze ma inną nazwę.
Normalnie sie go usunąć nie da, jak w trybie awaryjnym. Jadę następnie
CWSShredder, wyskakuje CWS.Searchx - REMOVED i Restoring Internet Explorer
Pages (RESTORED 6 items).
Wchodze do rejestru i wywalam wszystko to co wskazał HiJackhis, wszystkie
about:blanK z main i search w Internet Explorer.
Nie wywalam ręcznie tylko tego BHO, gdyż nie wiem co to jest i gdzie to
znaleźć.
Jadę Ad-Aware, SpyBotem i TZ Spyware-Adaware Remover. Nasepnie online
MKSVirem, Pandą i skanuję zainstalowanym Nortonem. Nic nie znajdują.
Wywalam wszystkie pliki temp z dysku, cookie i czyszczę historię.
Wpisuję jako stronę startową onet. Jadę jeszcze raz HijackThis i CWSShredder
i nic nie znajdują. Próbuję to wszystko robić i z opcją przywracania systemu
i bez tej opcji. Robię jeszcze skandisk na wszelki wypadek.
Komputer zostaje włączony, jest onet i przeglądam sobie stronki. Niby
wszystko jest fajnie. I nagle po godzinie, po dwóch, albo za 15 minut, nie
wiadomo skąd.. jeb! I wszystko wraca do normy z wyjątkiem tego, że eehfp.dll
już nazywa się np.pelckgb.dll, albo ghjp.dll, lub inne gówno.
Oczywiście najłatwiej jest zrobić format, ale chciałbym to gówno pokonać, a
nie poddać się formatem. Jesli znowu złapię, to przynajmniej będę wiedział
jak się tego pozbyć i pomóc innym. Mój kumpel złapał ostatnio to samo-ta sama
wyszukiwarka. Klikałem jeszcze na ten dll i otwierałem go przez notatnik tak
z ciekawości. Tam pisało m.in. coś takiego (nie wiem czy to pomoże w
czymkolwiek)
Hb dc †c >d Xd "InterlockedIncrement
InterlockedDecrement ąGetSystemDirectoryA éGetWindowsDirectoryA ˛
ExpandEnvironmentStringsA . CloseHandle eUnmapViewOfFile ^MapViewOfFile N
CreateFileMappingA [GetFileSize M CreateFileA SetFileAttributesA „
DisableThreadLibraryCalls uGetModuleFileNameA ‰WideCharToMultiByte
AreFileApisANSI *IsBadStringPtrA )IsBadReadPtr
HeapAlloc ›GetProcessHeap HeapFree «ReadFile KERNEL32.dll
ÉRegCloseKey ÍRegCreateKeyExA âRegOpenKeyExA ěRegQueryValueExA
ůRegSetValueExA ÖRegEnumKeyExA ADVAPI32.dll áUuidCreate RPCRT4.dll Ś
SHDeleteKeyA SHLWAPI.dll l ‘@ Đd ¨d ¸d
Čd Ľ* Đ$ Č* ˛4 Öd ćd řd
e m.dll DllCanUnloadNow DllGetClassObject DllRegisterServer
DllUnregisterServer
€ ? €8 €? €P
€ h x ?Ź E °p
á S P . H T M L G O . G I F <html><head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=iso-8859-1">
<meta http-equiv="MSThemeCompatible" content="Yes">
<title>Internet Explorer Search</title>
</head>
<style>
.searchTable{padding-top:5px}
.rightButton{text-align:right}
.searchPanel{width:100%;position:relative;top:0px;left:0px;border:1px solid
buttonshadow;margin:0px;padding:9px}
select{width:100%}
.inputs{width:100%}
select,input,button,body,p,td{font-size:"76%";font-family:"MS Sans Serif"}
a.h:link,a.h:visited{color:#DE2500;font-weight:bold;}
</style>
<body bgcolor=window text=windowtext style="margin:5px;overflow:auto"
onselectstart="return false;" ondragstart="return false;"
oncontextmenu="return false;">
<div class=searchPanel>
<form id=formWeb action="http://searchx.cc/search.php" method=get
target="_main">
<input type=hidden name="pin" value="1">
<label for=txtWebSearch>Find a Web page containing:</label><br>
<input class=inputs type=text name=ww id=txtWebSearch><br>
<table width=100% cellspacing=0 cellpadding=0 class=searchTable><tr>
<td class=rightButton><input type=button onclick="$Bx();return null;"
value="Search" title="Start Searching"></td>
</tr></table>
</form>
</div>
<script language=javascript>
function $Bx(){
s=escape(formWeb.ww.value);
if(s==""){
alert("Please specify something to search for!");
return;
}
formWeb.submit();
}
function go(text) { formWeb.ww.value=text; $Bx(); }
</script>
<br>
<table border=0 cellpadding=2 cellspacing=0 width=100% height="125"
style="border:1 solid #e53701">
<tr bgcolor="#e53701">
itd. to wygląda jak źródło tej wyszukiwarki.
Aha. Pierwszy raz kiedy to się zaczeło, miałem trojana StartPage. MKS i Panda
go usunęły (Norton nie wykrywał) i potem już nic nie znajdywały.
Czy ktoś może mi pomóc i wie dlaczego tak sie dzieje? Sorry, jeśli jakichś
głupot tu napisałem, ale jestem samoukiem i staram się radzić i uczyc samemu,
bo nie lubię iść na łatwiznę i zawracać komuś głowę. Tym razem jednak
poległem, więc zwracam się do ludzi kompetentnych o pomoc.
Pozdrawiam.
with