Gość: Jakub IP: *.neoplus.adsl.tpnet.pl 16.04.05, 10:44 Czy ktoś wie jak się tego syfa pozbyć? Odpowiedz Link Zgłoś Obserwuj wątek Podgląd Opublikuj
Gość: Kolobos Re: Startpage.19.J IP: *.icm.edu.pl / *.icm.edu.pl 16.04.05, 11:08 Przeskanuj tym: cwshredder.net/bin/CWShredder.exe <- CWS Shredder www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D www.javacoolsoftware.com/spywareblaster.html <- SpywareBlaster housecall.trendmicro.com/housecall/start_corp.asp www.windowsecurity.com/trojanscan/ www.pandasoftware.com/activescan/pol/activescan_principal.htm Na koniec wklej tutaj log z: www.spychecker.com/program/hijackthis.html Odpowiedz Link Zgłoś
Gość: Jakub Re: Startpage.19.J IP: *.neoplus.adsl.tpnet.pl 16.04.05, 11:21 AVG to znajduje ale mówi, że nie umie usunąć. Adawarem tez skanowalem. Czy konieczne jest skanowanie tymi wszystkimi programami? Tu skan: Logfile of HijackThis v1.99.1 Scan saved at 11:18:13, on 2005-04-16 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Downloads\CWShredder.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\user\Ustawienia lokalne\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\user\USTAWI~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\user\USTAWI~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1 \SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {E072ED00-3034-4D79-BB35-B54716AE548E} - C:\WINDOWS\System32\bepc.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32 \spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: ING Bank Online - ssl.bsk.com.pl/bskonl/component/INGOnl.cab O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O18 - Filter: text/html - {A852FF29-8453-4956-B344-1A87960B53F8} - C:\WINDOWS\System32\bepc.dll O18 - Filter: text/plain - {A852FF29-8453-4956-B344-1A87960B53F8} - C:\WINDOWS\System32\bepc.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1 \Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe Odpowiedz Link Zgłoś
Gość: Kolobos Re: Startpage.19.J IP: *.icm.edu.pl / *.icm.edu.pl 16.04.05, 12:01 Nie konieczne jak nie chcesz to nie musisz nic robic ja Cie zmuszal nie bede. Najpierw uzyj tego: www.derbilk.de/SpSeHjfix110.zip <- to usunie strone startowa. Pozniej w hijackthis zaznacz te wpisy: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\user\USTAWI~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\user\USTAWI~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {E072ED00-3034-4D79-BB35-B54716AE548E} - C:\WINDOWS\System32\bepc.dll O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O18 - Filter: text/html - {A852FF29-8453-4956-B344-1A87960B53F8} - C:\WINDOWS\System32\bepc.dll O18 - Filter: text/plain - {A852FF29-8453-4956-B344-1A87960B53F8} - C:\WINDOWS\System32\bepc.dll I Fix Checked, po resecie wywal pliki: C:\WINDOWS\System32\bepc.dll C:\Recycled\Q330995.exe <- najlepiej skasuj caly kosz C:\DOCUME~1\user\USTAWI~1\Temp\se.dll <- najlepiej wywal wszystko z temp. Odpowiedz Link Zgłoś
Gość: Jakub Re: Startpage.19.J IP: *.neoplus.adsl.tpnet.pl 16.04.05, 13:28 Po prostu nieśmiało pytam. Na razie zgodnie z Twoją radą udało się usunąć stronę startową. Czy oprócz tego ten wirus ma jeszcze inne działanie? Zaraz się biorę za resztę. Na razie dzięki. Odpowiedz Link Zgłoś
Gość: Kolobos Re: Startpage.19.J IP: *.icm.edu.pl / *.icm.edu.pl 16.04.05, 13:34 Ten CWS podmienia tylko strone startowa i tyle. Jak juz wszystko wywalisz/naprawisz to wklej nowy log z hijackthis. Odpowiedz Link Zgłoś
Gość: Jakub Re: Startpage.19.J IP: *.neoplus.adsl.tpnet.pl 16.04.05, 14:20 Nowy log: Czy jest cos lepiej? Logfile of HijackThis v1.99.1 Scan saved at 14:19:07, on 2005-04-16 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\user\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL O1 - Hosts: 60.50.170.0 O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\System32\popup_bl.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1 \SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32 \spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: ING Bank Online - ssl.bsk.com.pl/bskonl/component/INGOnl.cab O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1 \Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe Odpowiedz Link Zgłoś
Gość: Kolobos Re: Startpage.19.J IP: *.icm.edu.pl / *.icm.edu.pl 16.04.05, 16:47 Tak ale juz masz inne rzeczy z tego co widze. > R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - > C:\WINDOWS\System32\SEARCH~1.DLL > O1 - Hosts: 60.50.170.0 > O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - > C:\WINDOWS\System32\popup_bl.dll I Fix Checked, chyba ze sam to zainstalowales? Odpowiedz Link Zgłoś
Gość: Jakub Re: Startpage.19.J IP: *.neoplus.adsl.tpnet.pl 16.04.05, 17:47 Nie, niczego nie instalowałem. Czyli znowu wyczyścić rejestry? Odpowiedz Link Zgłoś
Gość: Kolobos Re: Startpage.19.J IP: *.icm.edu.pl / *.icm.edu.pl 16.04.05, 17:53 Zaznacz w hijackthis i fix checked.Chyba na bierzaca lapiesz te smiecie? ;-) Zainstaluj sobie: www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D www.javacoolsoftware.com/spywareblaster.html <- SpywareBlaster I w obu wlacz ochrone przegladarki to zablokuje znaczna czesc dziwnych stron z ktorych latwo cos podlapac. Odpowiedz Link Zgłoś
Gość: Jakub Re: Startpage.19.J IP: *.neoplus.adsl.tpnet.pl 16.04.05, 18:42 Dzięki za pomoc. SpyBot zainstalowałem dziś rano, a tego Spyblastera przed chwilą. Przeskanowałem też adawerem i avg. Na razie niczego nie znalazłem. Fakt, gdybym nie właził na te dziwne strony to bym niczego nie łapał ;-) . A może umiesz też poradzić jak się pozbyć tego skurczybyka: www.msn.com/ , który mi ciągle przejmuje przeglądarkę. Ustawianie pustej strony domyślnej nic nie pomaga. Adaware to znajduje i usuwa, ale za jakiś czas znowu to mam. Na dzisiaj mi już starczy tej walki z virami. Pozdrawiam. Odpowiedz Link Zgłoś
Gość: Kolobos Re: Startpage.19.J IP: *.icm.edu.pl / *.icm.edu.pl 16.04.05, 18:50 Z tego co wiem to wlasnie Ad-Aware ustawia taka strone startowa, albo SpyBot S&D ale raczej Ad-Aware poszukaj w opcjach. Odpowiedz Link Zgłoś
Gość: Jakub Re: Startpage.19.J IP: *.neoplus.adsl.tpnet.pl 16.04.05, 13:39 Wszystko zrobiłem, tylko ze nie bylo nic do wywalenia na koniec. Dzięki. Odpowiedz Link Zgłoś
