dobreprogramy - forum

Ad Aware nie pomaga :-(

Oprogramowanie komputerowe Poszukiwanie oprogramowania

PeKoS (Tentomek) 7 Czerwiec 2004 11:49 #1

Szukam dobrego programu , który pomoże mi się pozbyć czegoś co dodało się do mojego rejestru .

Za każdym razem kiedy kilkam by odpalić ustawioną stronę startową w moim przypadku www. google.pl to wtedy włącza się strona

about : blank a na niej ofery jakichś zakupów , i inne reklamówki

Próbowałem Ad Aware 6 … on to widzi , znajduje , … ja zaznaczam by to usunąć … a to coś nadal jest … zaplątło to się w klucze rejestru

a boję się kasować…

skoro Ad Aware sobie nie radzi i Spy Bot Search & destroy również to

co ?

Bede wdzięczny za wszelkie wskazówki

Jamaica (Ks Kamilp Nr 8) 7 Czerwiec 2004 11:52 #2

Sproboj przeskanowac programem CWShredder dostepnym w Vortalu.

PeKoS (Tentomek) 7 Czerwiec 2004 13:03 #3

Udało się

tylko częściowo … stronka nie otwiera się jako startowa … CWShredder pozbył się tego :

Infected Registry value:

HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (858 bytes, R)

Shell Registry value: HKLM…\WinLogon [shell] Explorer.exe

UserInit Registry value: HKLM…\WinLogon [userInit] C:\WINDOWS\system32\userinit.exe,

Found Win.ini file: C:\WINDOWS\win.ini (903 bytes, A)

Found System.ini file: C:\WINDOWS\system.ini (246 bytes, A)

ale Ad Aware nadal widzi niektóre z wyżej wymienionych rzeczy

cieszę się jednak że ta stronka się nie włącza przy każdym starcie netu, i że nie jestem zasypywany tymi amerykańskimi reklamami

Jeśli byś znał jeszcze jakiś inny program który pomoże wyczyścić to wszystko , to bede bardzo wdzięczny

Pozdrawiam i dziekuje za poradę

Phylby (Adarek) 7 Czerwiec 2004 13:49 #4

Dodatowo sprwawdz programen Hijack This - darmowy

Potem Pest Patrol - demo , nie usuwa ale pokazuje trefne pliki i klucze

potem trzeba recznie działać.

PeKoS (Tentomek) 7 Czerwiec 2004 14:12 #5

i co mam z tego wykasować ??

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe”

O4 - HKLM…\Run: [startupDelayer] “C:\Program Files\r2 studios\Startup Delayer\Startup Launcher GUI.exe”

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra ‘Tools’ menuitem: Sun Java Console (HKLM)

O9 - Extra button: Trashcan (HKCU)

O9 - Extra ‘Tools’ menuitem: Show Trashcan (HKCU)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/sh … wflash.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{C0285D1D-6A83-4954-A6BB-9925856C49EA}: NameServer = 157.158.1.4

O17 - HKLM\System\CCS\Services\Tcpip…{CA5F2782-31E0-4CB5-B1E1-C3DFF1FF55AC}: NameServer = 130.235.20.3

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 157.158.1.4

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 157.158.1.4

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 157.158.1.4

może jakieś podpowiedzi

Phylby (Adarek) 7 Czerwiec 2004 15:11 #6

wyłącz przywracanie systemu.
wejdz w tryb awaqryjny.

Za pomocą Hijack This usuń :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe”

O4 - HKLM…\Run: [startupDelayer] “C:\Program Files\r2 studios\Startup Delayer\Startup Launcher GUI.exe”

Odnajdz na dysku C:\Program Files\r2 studios\Startup Delayer\Startup Launcher GUI.exe - wywal to

PISZE WYRAŻNIE “Startup Delayer” -nie umie czytac ?

sorry ale jestem zylekka wk …@@@@.

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{C0285D1D-6A83-4954-A6BB-9925856C49EA}: NameServer = 157.158.1.4

O17 - HKLM\System\CCS\Services\Tcpip…{CA5F2782-31E0-4CB5-B1E1-C3DFF1FF55AC}: NameServer = 130.235.20.3

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 157.158.1.4

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 157.158.1.4

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 157.158.1.4

Pozatym zastosuj sie do tego :

Pozatym znadz to> ( może nie być) To trojanek.

Browser helper objects:

{206E52E0-D52E-11D4-AD54-0000E86C26F6} C:\PROGRA~1\FRESHD~1\FRESHD~1\FDCATCH.DLL

{A045DC85-FC44-45be-8A50-E4F9C62C9A84} C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

{0494D0D1-F8E0-41ad-92A3-14154ECE70AC} C:\PROGRAM

FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL

****************************************

Toolbars:

{8E718888-423F-11D2-876E-00A0C9082467} C:\WINDOWS\SYSTEM\MSDXM.OCX

{0494D0D9-F8E0-41ad-92A3-14154ECE70AC} C:\PROGRAM

FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL

{01E04581-4EEE-11D0-BFE9-00AA005B4383} C:\WINDOWS\SYSTEM\BROWSEUI.DLL

{01E04581-4EEE-11D0-BFE9-00AA005B4383} C:\WINDOWS\SYSTEM\BROWSEUI.DLL

{0E5CBF21-D15F-11D0-8301-00AA005B4383} C:\WINDOWS\SYSTEM\BROWSEUI.DLL

{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} C:\PROGRAM

FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL

{4D5C8C25-D075-11d0-B416-00C04FB90376} C:\WINDOWS\SYSTEM\SHDOCVW.DLL

{32683183-48a0-441b-a342-7c2a440a9478} C:\WINDOWS\SYSTEM\BROWSEUI.DLL

{EFA24E61-B078-11D0-89E4-00C04FC9E26E} C:\WINDOWS\SYSTEM\SHDOCVW.DLL

****************************************

All processes:

4293948487 C:\WINDOWS\SYSTEM\KERNEL32.DLL

4294943543 C:\WINDOWS\SYSTEM\MSGSRV32.EXE

4294950563 C:\WINDOWS\SYSTEM\MPREXE.EXE

4294958699 C:\WINDOWS\SYSTEM\mmtask.tsk

4294910279 C:\WINDOWS\SYSTEM\MSTASK.EXE

4294915183 C:\WINDOWS\SYSTEM\MDM.EXE

4294923827 C:\WINDOWS\EXPLORER.EXE

4294810999 C:\WINDOWS\TASKMON.EXE

4294813083 C:\WINDOWS\SYSTEM\SYSTRAY.EXE

4294819931 C:\WINDOWS\SYSTEM\TRIDTRAY.EXE

4294826799 C:\MOUSE\SYSTEM\EM_EXEC.EXE

4294832287 C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE

4294777967 C:\PROGRAM FILES\NETROPA\ONSCREEN DISPLAY\OSD.EXE

4294800915 C:\WINDOWS\LOADQM.EXE

4294749683 C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE

4294752223 C:\WINDOWS\SYSTEM\DDHELP.EXE

4294749323 C:\PROGRAM FILES\ALTNET\POINTS MANAGER\POINTS MANAGER.EXE

4294765639 C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE

4294718423 C:\INTEL\INTEL PSNCU\CPUNUMBER.EXE

4294646903 C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER FREE EDITION\PSFREE.EXE

4294623415 C:\PROGRAM FILES\COMMON FILES\GMT\GMT.EXE

4294590131 C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE

4294544483 C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMUSBKB2.EXE

4294558547 C:\WINDOWS\RUNDLL32.EXE

4294550995 C:\WINDOWS\SYSTEM\WMIEXE.EXE

4294411915 C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ASM.EXE

4294294995 C:\WINDOWS\SYSTEM\RNAAPP.EXE

4294526467 C:\WINDOWS\SYSTEM\TAPISRV.EXE

4294456251 C:\000.EXE

4142545835 C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE

4171904155 C:\PROGRAM FILES\BAZOOKA ADWARE AND SPYWARE

SCANNER\SPYWARESCANNER.EXE

****************************************

Result when scanning:

Cydoor 399.000.000 %SystemDir%\AdCache\

Cydoor 399.000.001 Cd_clint.dll

Gator 102.098.947 CMESys

Gator 112.198.918 %WinDir%\temp\adware\

GlobalDialer 139.300.000 %ProgramsDir%\GlobalDialer\

GlobalDialer 139.300.001 sws.exe

My Search Bar 132.098.655

My Search Bar 777.777.778 c:\Program Files\MyWay\

My Search Bar.B 778.777.000 {0494D0D9-F8E0-41ad-92A3-14154ECE70AC}

My Search Bar.C 779.777.001 {0494D0D1-F8E0-41ad-92A3-14154ECE70AC}

P2P Networking 123.000.334

Points Manager 126.693.451 AltnetPointsManager

Points Manager 123.321.334

PerfectNav 352.900.000 {A045DC85-FC44-45be-8A50-E4F9C62C9A84}

PerfectNav 352.900.001 %ProgramsDir%\PerfectNav\

StarDialer 739.000.001

StarDialer 739.000.002

Viewpoint Media Player 666.555.444

Zmień tego “Symantec” na inny.

PeKoS (Tentomek) 7 Czerwiec 2004 15:32 #7

—przywracanie systemu mam wyłączone

jak mam wejść do trybu awaryjnego i dlaczego ?? czy normalnie nie

można tego wykasować w trybie normalnym tym programem Hijack

This ??

to jest jest od Norton System Works - więc tego chyba nie powinieniem usuwać :

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe”

bo on się już nie włączy

Phylby (Adarek) 7 Czerwiec 2004 15:42 #8

To też bo to jest moim zdanim kopia zapasowa , to samo co przywracanie systemu , a chyba nie chcesz nawrotu trojana ??? . W nortonie wyłącz tą funkcję bo będzie blokował.

W trybie awaryjnym łatwiej się usuwa tego typu sprawy. restart i trzymaj F8 , Wejdż w konto administratora jak pamiętasz hasło , jak nie to w zwykłye konto .

Ps .Normalnie tez można ,ale niewiem czy podziała.(chodzi oto żeby sie to nie wracało).

PeKoS (Tentomek) 7 Czerwiec 2004 15:54 #9

zrobiłem tak jak napisałeś … póki co system jest stabilny i nic się nie

sypie no i mam nadzieję że to już nie wróci …

wtedy jak to się ładowało do komputera to Norton wyświetlił alarm na

czerowono —** Malicious script **— i było STOP THIS SCRIPT

jednak obraz skakał i myszka wariowała i nic sie nie dało zrobić

teraz jest już po wszystkim cieszę się że mi pomogłeś

jeszcze raz wielkie dzięki

Pozdrawiam serdecznie

Phylby (Adarek) 7 Czerwiec 2004 16:31 #10

Bo noron jest cieńki w tych sprawach, specjalizuje sie tylko w wirach a omija dialerki i inne spy. Już lepszy jest MkS bo ma zaawansowana cheurystyke i czasani podnosi alarm jak nie zna i nie ma wira (trojanka w bazie) , podobną funkcje ma panda 7 ,ale mniejszą Za to ma Fierewal.

Majlepiej to wszystko ręcznie sprawdzać.

Trzeba było to odrazu napisać !

PeKoS (Tentomek) 7 Czerwiec 2004 17:17 #11

Cytat:

wtedy jak to się ładowało do komputera to Norton wyświetlił alarm na

czerowono —Malicious script— i było STOP THIS SCRIPT

Trzeba było to odrazu napisać !

a gdybym to wcześniej napisał ?? czy to by pomogło ??

a Panda nie spowalnia systemu ?? może pracować z Norton System Works razem ?? nie pogryzą się ??

mam Pandę Platinium czy coś takiego ale kazdy kogo znam to odradza mi … więc nie instalowałem tego do tej pory

Jamaica (Ks Kamilp Nr 8) 7 Czerwiec 2004 17:20 #12

Ja uzywam Pandy Titanium 2004 i moge Cie zapewnic, ze nie spowalnia systemu. Program nie powinien sie “pogryzc” z innymi.

Phylby (Adarek) 7 Czerwiec 2004 17:42 #13

Wybór zależy co ci leży , a dokładnie zależy od kompa.

Jedna podstawowa zasada :

Nigdy nie włączaj dwóch antywirów naraz. ( bo wtedy się pogryzą)

Ps .Nie słuchaj innych tylko patrz co się dzieje . W tym wypadku Norton padł na całej lini.

PeKoS (Tentomek) 7 Czerwiec 2004 19:01 #14

OK więc w Boże Ciało ( będzie więcej czasu ) zainstaluję Pandę ona

jest w tym programie System Mechanic 4 a odinstaluję NSW 2003

zobaczymy co się stanie i jak to bedzie funkcjonować w XP

Pozdrawiam i dziękuje za wszytkie posty

golden_finger (golden_finger) 7 Czerwiec 2004 21:42 #15

Mało powiedziane. Nigdy nie próbuj instalować programów antywirusowych obok siebie.

Tak poza tym, z mojego doświadczenia wiem, że Norton AntiVirus spowalnia działanie systemu zauważalnie, szczególnie na słabszych komputerach. Właściwie problem dotyczy wszystkich produktów do ochrony Symanteca.

Pozdrawiam 8)