ostrzeżenie!

IP: *.szeptel.net.pl 27.09.04, 22:27
przyplontało mi sie coś
mam teraz przy kazdym uruchomieniu kompa dialera .....
programy antivirusowe nie mogo zdjąc pewnego vira:
nie moge zmienic strony startowej
cały czas jest jakas thenewsearch.com i mam jakis dziwny pasek pod adresem
i mi sie tapeta zmieniła na jakoś z ostrzezeniem ze nie da sie tego usunąc
przez normalne toolsy......
sorki ze tak malo szczegolow ale moze pomozecie.,,,,,
jak mozesz mi pomoc to daj znac gg:5468315
    • netsec Re: ostrzeżenie! 28.09.04, 08:53
      Gość portalu: Darek napisał(a):

      > przyplontało mi sie coś
      > mam teraz przy kazdym uruchomieniu kompa dialera .....
      > programy antivirusowe nie mogo zdjąc pewnego vira:
      > nie moge zmienic strony startowej
      > cały czas jest jakas thenewsearch.com i mam jakis dziwny pasek pod adresem
      > i mi sie tapeta zmieniła na jakoś z ostrzezeniem ze nie da sie tego usunąc
      > przez normalne toolsy......
      > sorki ze tak malo szczegolow ale moze pomozecie.,,,,,
      > jak mozesz mi pomoc to daj znac gg:5468315

      Wklej log z HiJackThis.
      • Gość: Rupert Re: ostrzeżenie! IP: *.vline.pl / *.rev.vline.pl 25.10.04, 18:47
        netsec napisał:


        > Wklej log z HiJackThis.


        Ja też mam ostatnio problem z thenewsearch.

        Oto treść "loga" z hijackthis.


        Logfile of HijackThis v1.98.2
        Scan saved at 18:43:35, on 04-10-25
        Platform: Windows 98 Gold (Win9x 4.10.1998)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\SYSTEM\KERNEL32.DLL
        C:\WINDOWS\SYSTEM\MSGSRV32.EXE
        C:\WINDOWS\SYSTEM\MPREXE.EXE
        C:\WINDOWS\SYSTEM\mmtask.tsk
        C:\WINDOWS\SYSTEM\MSTASK.EXE
        C:\WINDOWS\EXPLORER.EXE
        C:\WINDOWS\SYSTEM\DDHELP.EXE
        C:\YDPDICT\WATCH.EXE
        C:\WINDOWS\TASKMON.EXE
        C:\WINDOWS\SYSTEM\INTERNAT.EXE
        C:\WINDOWS\SYSTEM\SYSTRAY.EXE
        C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
        C:\WINDOWS\SYSTEM\CTHELPER.EXE
        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
        C:\PROGRAM FILES\HIJACK THIS\HIJACKTHIS.EXE

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.onet.pl/
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
        thenewsearch.com/thenewsearch.html
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
        Settings,ProxyServer = 172.16.1.1:8080
        F1 - win.ini: load=C:\YDPDict\watch.exe
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
        O2 - BHO: rpcltckz - {FCBB5ADC-FF1A-53BC-C24A-53701177D7E3} -
        C:\WINDOWS\SYSTEM\RPCLTCKZ.dll
        O2 - BHO: ddramex - {3F5B4F18-6677-92AB-9FAF-AFAD1B2AB22D} -
        C:\WINDOWS\SYSTEM\DDRAMEX.dll
        O2 - BHO: (no name) - {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - (no file)
        O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
        C:\WINDOWS\NEM219.DLL (file missing)
        O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} -
        C:\WINDOWS\LOCALNRD.DLL (file missing)
        O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\PROGRAM
        FILES\SIDEFIND\SFBHO.DLL (file missing)
        O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} -
        C:\WINDOWS\SYSTEM\ADV.DLL
        O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} -
        C:\WINDOWS\SYSTEM\WER1306.DLL
        O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
        Files\Spybot - Search & Destroy\SDHelper.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\SYSTEM\MSDXM.OCX
        O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
        O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
        O4 - HKLM\..\Run: [internat.exe] internat.exe
        O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
        O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
        O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
        O4 - HKLM\..\Run: [Jet Detection] "C:\Program
        Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
        O4 - HKLM\..\Run: [CTStartup] C:\PROGRAM FILES\CREATIVE\SPLASH
        SCREEN\CTEaxSpl.EXE /run
        O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
        O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office\OSA9.EXE
        O4 - Startup: JTVRemote.lnk = C:\Program Files\JTV new\JTVRemote.exe
        O4 - Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
        O8 - Extra context menu item: Download with GetRight - C:\Program
        Files\GetRight\GRdownload.htm
        O8 - Extra context menu item: Open with GetRight Browser - C:\Program
        Files\GetRight\GRbrowse.htm
        O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} -
        C:\PROGRAM FILES\SIDEFIND\SIDEFIND.DLL (file missing)
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
        00aa003c157a} - C:\WINDOWS\web\related.htm
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
        O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-
        its:mhtml:file://c:\nosuch.mht!http://www.alarm-works.com/t.chm::/ttt.exe
        O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
        public.windupdates.com/get_file.php?bt=ie&p=88fb4bd1cc748615aaf24d95e9cbeb3358724ab481f8e3efaa749926ff7d88d972369717
        55bdeddb0fd3efedf2024d26208d:a50669a8a42fe77354145ae90fecae62

        • Gość: Rupert Re: ostrzeżenie! IP: *.vline.pl / *.rev.vline.pl 25.10.04, 22:44
          Czy ktoś mi pomoże ? Te dwie pozycje z R0 wykasowywuję zawsze jak uruchamiam
          hijack, ale thenewsearch zawsze powraca.
        • kalinowski11 Re: ostrzeżenie! 25.10.04, 22:52
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
          > thenewsearch.com/thenewsearch.html
          > O2 - BHO: rpcltckz - {FCBB5ADC-FF1A-53BC-C24A-53701177D7E3} -
          > C:\WINDOWS\SYSTEM\RPCLTCKZ.dll
          > O2 - BHO: ddramex - {3F5B4F18-6677-92AB-9FAF-AFAD1B2AB22D} -
          > C:\WINDOWS\SYSTEM\DDRAMEX.dll
          > O2 - BHO: (no name) - {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - (no file)
          > O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
          > C:\WINDOWS\NEM219.DLL (file missing)
          > O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} -
          > C:\WINDOWS\LOCALNRD.DLL (file missing)
          > O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} -
          C:\PROGRAM
          > FILES\SIDEFIND\SFBHO.DLL (file missing)
          > O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} -
          > C:\WINDOWS\SYSTEM\ADV.DLL
          > O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} -
          > C:\WINDOWS\SYSTEM\WER1306.DLL
          > O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} -
          > C:\PROGRAM FILES\SIDEFIND\SIDEFIND.DLL (file missing)
          > O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-
          > its:mhtml:file://c:\nosuch.mht!http://www.alarm-works.com/t.chm::/ttt.exe
          > O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
          > public.windupdates.com/get_file.php?
          bt=ie&p=88fb4bd1cc748615aaf24d95e9cbeb3358724ab481f8e3efaa749926ff7d88d972369717
          > 55bdeddb0fd3efedf2024d26208d:a50669a8a42fe77354145ae90fecae62
          >

          To pewnikiem do usunięcia . Myślę , że Netsec jeszcze coś znajdzie :)
          • Gość: Rupcio Re: ostrzeżenie! IP: *.vline.pl / *.rev.vline.pl 26.10.04, 09:49
            kalinowski11 napisał:

            > > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
            > > thenewsearch.com/thenewsearch.html
            > > O2 - BHO: rpcltckz - {FCBB5ADC-FF1A-53BC-C24A-53701177D7E3} -
            > > C:\WINDOWS\SYSTEM\RPCLTCKZ.dll
            > > O2 - BHO: ddramex - {3F5B4F18-6677-92AB-9FAF-AFAD1B2AB22D} -
            > > C:\WINDOWS\SYSTEM\DDRAMEX.dll
            > > O2 - BHO: (no name) - {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - (no file)
            > > O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
            > > C:\WINDOWS\NEM219.DLL (file missing)
            > > O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} -
            > > C:\WINDOWS\LOCALNRD.DLL (file missing)
            > > O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} -
            > C:\PROGRAM
            > > FILES\SIDEFIND\SFBHO.DLL (file missing)
            > > O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} -
            > > C:\WINDOWS\SYSTEM\ADV.DLL
            > > O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} -
            > > C:\WINDOWS\SYSTEM\WER1306.DLL
            > > O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} -
            > > C:\PROGRAM FILES\SIDEFIND\SIDEFIND.DLL (file missing)
            > > O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-
            > > its:mhtml:file://c:\nosuch.mht!http://www.alarm-works.com/t.chm::/ttt.exe
            > > O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
            > > public.windupdates.com/get_file.php?
            >
            bt=ie&p=88fb4bd1cc748615aaf24d95e9cbeb3358724ab481f8e3efaa749926ff7d88d97236971
            > 7
            > > 55bdeddb0fd3efedf2024d26208d:a50669a8a42fe77354145ae90fecae62
            > >
            >
            > To pewnikiem do usunięcia . Myślę , że Netsec jeszcze coś znajdzie :)
            >


            Dzięki wielkie, chyba pomogło. Z tego wynika że procedura odpowiedzialna za to
            że niepożądana strona startowa wciąż powraca ukryta jest na dalszych pozycjach,
            a nie tylko, jak sądziłem, na dwóch pierwszych.
            • netsec Re: ostrzeżenie! 26.10.04, 10:07
              W przypadku Windows XP i Me należy pamiętać o wyłączeniu przywracania systemu.
              Usuwanie wpisów należy przeprowadzać w trybie awaryjnym przy zamkniętej
              przeglądarce Internet Explorer.
              • Gość: str Re: pozdrowionko IP: *.aster.pl / *.aster.pl 26.10.04, 23:56
                czesc nestec, pordrowienia z MS i KGW
                • netsec Re: pozdrowionko 27.10.04, 11:15
                  Cześć!, ale KGW?
Pełna wersja