Problem ze strona

IP: 62.111.145.* 11.03.05, 19:18
Witam co jakis czas wyskakuje mi taka srona www.jimbutt.com/stuffs/

Jak to usunac spybot i ad-adaware nie daje rady tak samo jak CWShredder
wykazuje czysty sytem ale cos nadal w nim siedz

prosze o sugestie



Logfile of HijackThis v1.99.1
Scan saved at 19:17:24, on 2005-03-11
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\taskmgr.exe
C:\WINNT\ips.exe
C:\Program Files\SiS630_V1.01\utility\khooker.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.jimbutt.com/stuffs/
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} -
C:\WINNT\System32\SEARCH~1.DLL
O1 - Hosts: 60.50.170.0
O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} -
C:\WINNT\System32\popup_bl.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio -
{8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [khooker] C:\Program Files\SiS630_V1.01\utility\khooker.exe
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O17 -
HKLM\System\CCS\Services\Tcpip\..\{05836C4A-CF82-43D4-B09F-BF9648594BBC}:
NameServer = 62.111.150.134,62.111.150.154
O17 -
HKLM\System\CS2\Services\Tcpip\..\{05836C4A-CF82-43D4-B09F-BF9648594BBC}:
NameServer = 62.111.150.134,62.111.150.154
O17 -
HKLM\System\CS3\Services\Tcpip\..\{05836C4A-CF82-43D4-B09F-BF9648594BBC}:
NameServer = 62.111.150.134,62.111.150.154
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) -
VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec
Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

    • Gość: Kolobos Re: Problem ze strona IP: *.warszawa.sdi.tpnet.pl 11.03.05, 20:31
      Uruchom hijackthis i zaznacz te wpisy:

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.jimbutt.com/stuffs/
      O1 - Hosts: 60.50.170.0
      O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINNT\System32
      \popup_bl.dll

      I Fix Checked
    • Gość: pawel Re: Problem ze strona IP: 62.111.145.* 11.03.05, 20:50
      Niestety nadal cos siedzi nie mozna naprawic tego R0 -
      HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.jimbutt.com/stuffs/
      mam jescze to na podejrzeniu ale nie mam pewnosci
      R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} -
      C:\WINNT\System32\SEARCH~1.DLL

      czekam na dalsze sugestie


      • Gość: Kolobos Re: Problem ze strona IP: *.warszawa.sdi.tpnet.pl 11.03.05, 21:31
        Tak to tez skasuj, musialem to przegapic :-)
        Sprobuj jeszcze CWS Shredder najnowsza wersje, ale przed uruchomieniem zamknij
        wszystkie okna przegladarki.
        • Gość: pawel Re: Problem ze strona IP: *.futuremetals.com / *.futuremetals.com 11.03.05, 22:32
          Niestety nic to nie dalo
          Zainstalowalem nod32 i zaraz wylapal 4 trojany, dodatkowo zainstalowalem
          outposta i recznie zblokowalem ta strone w regulach.
          Dzieki za rady ale jakis dziwny ten win nawet nie chcial sie zaktualizowac na
          microsofcie
          Zostawilem go zablokowanego nie chcialem ryzykowac glebiej wywalac bo jeszcze by
          padl
          • Gość: neder Re: Problem ze strona IP: *.neoplus.adsl.tpnet.pl 11.03.05, 22:43
            Gość portalu: pawel napisał(a):

            > Niestety nic to nie dalo


            a probowałeś w awaryjnym?
          • m.gregor Re: Problem ze strona 12.03.05, 06:56
            Wklej nowego loga z HiJackThis.
            • Gość: pawel Re: Problem ze strona IP: *.futuremetals.com / *.futuremetals.com 12.03.05, 08:47
              Probowalem w trybie awaryjnym i nadal to samo, podczas skanu (ad-aware, skybot
              czy CWShredderem) wyskakuje okienko ze niby jest jakis wewnewtrzny blad
              windowsa i jakies spyware siedzi na portach 8080 i 3127 jest do wyboru anuluj i
              ok po wcisnieciu ok nastepuje proba otwarcia tej strony strony, nie wiem czy to
              jest spowodowane samym skanem ale ja nie skanuje to tez co jakis czas otwiera
              sie przegladarka.
              Ustawilem domyslna FF ale nadal dobija sie do niej startowej ja na razie nie
              jest w stznie zmienic, jesli chodzi o IE to podczas proby otwarcia jest
              zmieniona strona startowa i IE informuje ze na tej stronie moga sie znajdowac
              szkpodliwe skrypty ale caly czas jest ten adres zablokowany i nie ma dostepu,
              przejrzalem TEMP downlodad i powywalalem wszystko i nadal siedzi gdzies syf nie
              chcialem za bardzo czysci folderu system32 ale podczas przegladani nie
              uaktywnily sie zadne wirusy i trojany jak to zazwyczaj bywa jesli tm siedza.
              Tak ja napisalem powyzej strone zablokowalem w outpost i nie ma sytstem do niej
              dostepu.


              Wyglada na to ze jaki tronaj sztucznie wywoluje bledy w win i koniecznie chce
              abym sciagnol sobie ze strony niby lekarstwo.
              Co do logu to jest caly czas wpis z ta strona niemozliwy do usuniecia, reszta
              jest podobna zmienily sie tylko wpisy co do antywira i firewall bo zostaly
              zmieniaone na cos bardziej solidnego.

              Podglad w men urzadzen nie daje zadnych informacji o tym wyskakujacym okienku.
              Najlepszym wyjsciem bylo by sprawdzenie wszystkich procesow programem ktory jest
              w stanie je wykryc (wiem ze niektore programy moga byc niewidoczne w men
              urzadzen), niestety nie znam takiego programu ktory by sobie z tym poradzil.

              Na tym skonczyly sie moje pomysly ja to wywalic (format jak na razie odpada)

              prosze o dalsze sugestie
              • Gość: Kolobos Re: Problem ze strona IP: *.warszawa.sdi.tpnet.pl 12.03.05, 09:14
                Tutaj jest opis jak to usunac:
                help.lockergnome.com/index.php?showtopic=31952
                Ustaw w Narzedzia->Opcje Folderow->Widok i tam Pokazuj ukryte pliki i foldery
                (lub jakos podobnie ;-))

                Odszukaj plik:
                C:\WINDOWS\system32\systr.dll

                I przenies go do jakiegos innego katalogu, jakby nie chcial isc po dobroci to
                uzyj tego:
                www.bleepingcomputer.com/files/spyware/KillBox.zip
                Nastepnie zresetuj komputer, wlacz hijackthis i usun trzy wspomniane wczesniej
                wpisy:

                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                www.jimbutt.com/stuffs/
                R3 - Default URLSearchHook is missing
                O1 - Hosts: 60.50.170.0

                I to powinien byc koniec walki z jimbutt'em :-)


                Ps. jezeli masz wlaczone przywracanie systemu to wylacz przed usuwaniem i
                skasuj ten plik z punktu przywracania (o ile tam jest).
                www.gdata.pl/pl/support/avk12_pyt6.html
                • Gość: pawel Re: Problem ze strona IP: *.futuremetals.com / *.futuremetals.com 12.03.05, 09:28
                  Dziekuje bardzo za odpowiedz
                  Ukryte pliki i foldery mialem widoczene

                  Sprawdzilem doczytalem wywalilem i jak na razie cisza

                  Jescze raz wielkie dzieki

                  Pozdrawiam
Pełna wersja