Ad Aware nie pomaga :-(


(Tentomek) #1

Szukam dobrego programu , który pomoże mi się pozbyć czegoś co dodało się do mojego rejestru .

Za każdym razem kiedy kilkam by odpalić ustawioną stronę startową w moim przypadku www. google.pl to wtedy włącza się strona

about : blank a na niej ofery jakichś zakupów , i inne reklamówki

Próbowałem Ad Aware 6 ... on to widzi , znajduje , .... ja zaznaczam by to usunąć ... a to coś nadal jest ... zaplątło to się w klucze rejestru

a boję się kasować...

skoro Ad Aware sobie nie radzi i Spy Bot Search & destroy również to

co ?

Bede wdzięczny za wszelkie wskazówki :slight_smile:


(Ks Kamilp Nr 8) #2

Sproboj przeskanowac programem CWShredder dostepnym w Vortalu.


(Tentomek) #3

Udało się :slight_smile:

tylko częściowo ... stronka nie otwiera się jako startowa ... CWShredder pozbył się tego :

Infected Registry value:

HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Infected Registry value:

HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

Infected data: res://C:\WINDOWS\System32\ifkdeb.dll/sp.html (obfuscated)

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (858 bytes, R)

Shell Registry value: HKLM..\WinLogon [shell] Explorer.exe

UserInit Registry value: HKLM..\WinLogon [userInit] C:\WINDOWS\system32\userinit.exe,

Found Win.ini file: C:\WINDOWS\win.ini (903 bytes, A)

Found System.ini file: C:\WINDOWS\system.ini (246 bytes, A)

**ale Ad Aware nadal widzi niektóre z wyżej wymienionych rzeczy :-|**

cieszę się jednak że ta stronka się nie włącza przy każdym starcie netu, i że nie jestem zasypywany tymi amerykańskimi reklamami :slight_smile:

Jeśli byś znał jeszcze jakiś inny program który pomoże wyczyścić to wszystko , to bede bardzo wdzięczny :slight_smile:

Pozdrawiam i dziekuje za poradę :slight_smile:


(Adarek) #4

Dodatowo sprwawdz programen Hijack This - darmowy

Potem Pest Patrol - demo , nie usuwa ale pokazuje trefne pliki i klucze

potem trzeba recznie działać.


(Tentomek) #5

i co mam z tego wykasować ??

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM..\Run: [startupDelayer] "C:\Program Files\r2 studios\Startup Delayer\Startup Launcher GUI.exe"

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: Trashcan (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/sh ... wflash.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{C0285D1D-6A83-4954-A6BB-9925856C49EA}: NameServer = 157.158.1.4

O17 - HKLM\System\CCS\Services\Tcpip..{CA5F2782-31E0-4CB5-B1E1-C3DFF1FF55AC}: NameServer = 130.235.20.3

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 157.158.1.4

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 157.158.1.4

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 157.158.1.4

może jakieś podpowiedzi :wink:


(Adarek) #6
  1. wyłącz przywracanie systemu.

  2. wejdz w tryb awaqryjny.

Za pomocą Hijack This usuń :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM..\Run: [startupDelayer] "C:\Program Files\r2 studios\Startup Delayer\Startup Launcher GUI.exe"

Odnajdz na dysku C:\Program Files\r2 studios\Startup Delayer\Startup Launcher GUI.exe - wywal to

PISZE WYRAŻNIE "Startup Delayer" -nie umie czytac ?

sorry ale jestem zylekka wk ..@@@@.

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{C0285D1D-6A83-4954-A6BB-9925856C49EA}: NameServer = 157.158.1.4

O17 - HKLM\System\CCS\Services\Tcpip..{CA5F2782-31E0-4CB5-B1E1-C3DFF1FF55AC}: NameServer = 130.235.20.3

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 157.158.1.4

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 157.158.1.4

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 157.158.1.4

Pozatym zastosuj sie do tego :

Pozatym znadz to> ( może nie być) To trojanek.

Browser helper objects:

{206E52E0-D52E-11D4-AD54-0000E86C26F6} C:\PROGRA~1\FRESHD~1\FRESHD~1\FDCATCH.DLL

{A045DC85-FC44-45be-8A50-E4F9C62C9A84} C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

{0494D0D1-F8E0-41ad-92A3-14154ECE70AC} C:\PROGRAM

FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL

****************************************

Toolbars:

{8E718888-423F-11D2-876E-00A0C9082467} C:\WINDOWS\SYSTEM\MSDXM.OCX

{0494D0D9-F8E0-41ad-92A3-14154ECE70AC} C:\PROGRAM

FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL

{01E04581-4EEE-11D0-BFE9-00AA005B4383} C:\WINDOWS\SYSTEM\BROWSEUI.DLL

{01E04581-4EEE-11D0-BFE9-00AA005B4383} C:\WINDOWS\SYSTEM\BROWSEUI.DLL

{0E5CBF21-D15F-11D0-8301-00AA005B4383} C:\WINDOWS\SYSTEM\BROWSEUI.DLL

{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} C:\PROGRAM

FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL

{4D5C8C25-D075-11d0-B416-00C04FB90376} C:\WINDOWS\SYSTEM\SHDOCVW.DLL

{32683183-48a0-441b-a342-7c2a440a9478} C:\WINDOWS\SYSTEM\BROWSEUI.DLL

{EFA24E61-B078-11D0-89E4-00C04FC9E26E} C:\WINDOWS\SYSTEM\SHDOCVW.DLL

****************************************

All processes:

4293948487 C:\WINDOWS\SYSTEM\KERNEL32.DLL

4294943543 C:\WINDOWS\SYSTEM\MSGSRV32.EXE

4294950563 C:\WINDOWS\SYSTEM\MPREXE.EXE

4294958699 C:\WINDOWS\SYSTEM\mmtask.tsk

4294910279 C:\WINDOWS\SYSTEM\MSTASK.EXE

4294915183 C:\WINDOWS\SYSTEM\MDM.EXE

4294923827 C:\WINDOWS\EXPLORER.EXE

4294810999 C:\WINDOWS\TASKMON.EXE

4294813083 C:\WINDOWS\SYSTEM\SYSTRAY.EXE

4294819931 C:\WINDOWS\SYSTEM\TRIDTRAY.EXE

4294826799 C:\MOUSE\SYSTEM\EM_EXEC.EXE

4294832287 C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE

4294777967 C:\PROGRAM FILES\NETROPA\ONSCREEN DISPLAY\OSD.EXE

4294800915 C:\WINDOWS\LOADQM.EXE

4294749683 C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE

4294752223 C:\WINDOWS\SYSTEM\DDHELP.EXE

4294749323 C:\PROGRAM FILES\ALTNET\POINTS MANAGER\POINTS MANAGER.EXE

4294765639 C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE

4294718423 C:\INTEL\INTEL PSNCU\CPUNUMBER.EXE

4294646903 C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER FREE EDITION\PSFREE.EXE

4294623415 C:\PROGRAM FILES\COMMON FILES\GMT\GMT.EXE

4294590131 C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE

4294544483 C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMUSBKB2.EXE

4294558547 C:\WINDOWS\RUNDLL32.EXE

4294550995 C:\WINDOWS\SYSTEM\WMIEXE.EXE

4294411915 C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ASM.EXE

4294294995 C:\WINDOWS\SYSTEM\RNAAPP.EXE

4294526467 C:\WINDOWS\SYSTEM\TAPISRV.EXE

4294456251 C:\000.EXE

4142545835 C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE

4171904155 C:\PROGRAM FILES\BAZOOKA ADWARE AND SPYWARE

SCANNER\SPYWARESCANNER.EXE

****************************************

Result when scanning:

Cydoor 399.000.000 %SystemDir%\AdCache\

Cydoor 399.000.001 Cd_clint.dll

Gator 102.098.947 CMESys

Gator 112.198.918 %WinDir%\temp\adware\

GlobalDialer 139.300.000 %ProgramsDir%\GlobalDialer\

GlobalDialer 139.300.001 sws.exe

My Search Bar 132.098.655

My Search Bar 777.777.778 c:\Program Files\MyWay\

My Search Bar.B 778.777.000 {0494D0D9-F8E0-41ad-92A3-14154ECE70AC}

My Search Bar.C 779.777.001 {0494D0D1-F8E0-41ad-92A3-14154ECE70AC}

P2P Networking 123.000.334

Points Manager 126.693.451 AltnetPointsManager

Points Manager 123.321.334

PerfectNav 352.900.000 {A045DC85-FC44-45be-8A50-E4F9C62C9A84}

PerfectNav 352.900.001 %ProgramsDir%\PerfectNav\

StarDialer 739.000.001

StarDialer 739.000.002

Viewpoint Media Player 666.555.444

Zmień tego "Symantec" na inny.


(Tentomek) #7

---przywracanie systemu mam wyłączone

jak mam wejść do trybu awaryjnego i dlaczego ?? czy normalnie nie

można tego wykasować w trybie normalnym tym programem Hijack

This ??

to jest jest od Norton System Works - więc tego chyba nie powinieniem usuwać :

O4 - HKLM..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

bo on się już nie włączy :wink:


(Adarek) #8

To też bo to jest moim zdanim kopia zapasowa , to samo co przywracanie systemu , a chyba nie chcesz nawrotu trojana ???? . W nortonie wyłącz tą funkcję bo będzie blokował.

W trybie awaryjnym łatwiej się usuwa tego typu sprawy. restart i trzymaj F8 , Wejdż w konto administratora jak pamiętasz hasło , jak nie to w zwykłye konto .

Ps .Normalnie tez można ,ale niewiem czy podziała.(chodzi oto żeby sie to nie wracało).


(Tentomek) #9

zrobiłem tak jak napisałeś ... póki co system jest stabilny i nic się nie

sypie :slight_smile: no i mam nadzieję że to już nie wróci ...

wtedy jak to się ładowało do komputera to Norton wyświetlił alarm na

czerowono ---**** Malicious script ****--- i było STOP THIS SCRIPT

**jednak obraz skakał i myszka wariowała i nic sie nie dało zrobić :-|**

teraz jest już po wszystkim :slight_smile: cieszę się że mi pomogłeś

jeszcze raz wielkie dzięki :slight_smile:

Pozdrawiam serdecznie


(Adarek) #10

Bo noron jest cieńki w tych sprawach, specjalizuje sie tylko w wirach a omija dialerki i inne spy. Już lepszy jest MkS bo ma zaawansowana cheurystyke i czasani podnosi alarm jak nie zna i nie ma wira (trojanka w bazie) , podobną funkcje ma panda 7 ,ale mniejszą Za to ma Fierewal.

Majlepiej to wszystko ręcznie sprawdzać. :smiley:

Trzeba było to odrazu napisać !


(Tentomek) #11

Cytat:

wtedy jak to się ładowało do komputera to Norton wyświetlił alarm na

czerowono ---Malicious script--- i było STOP THIS SCRIPT

Trzeba było to odrazu napisać !

a gdybym to wcześniej napisał ?? czy to by pomogło ??

a Panda nie spowalnia systemu ?? może pracować z Norton System Works razem ?? nie pogryzą się ??

mam Pandę Platinium czy coś takiego ale kazdy kogo znam to odradza mi ... więc nie instalowałem tego do tej pory :expressionless:


(Ks Kamilp Nr 8) #12

Ja uzywam Pandy Titanium 2004 i moge Cie zapewnic, ze nie spowalnia systemu. Program nie powinien sie "pogryzc" z innymi.


(Adarek) #13

Wybór zależy co ci leży , a dokładnie zależy od kompa. :smiley:

Jedna podstawowa zasada :

Nigdy nie włączaj dwóch antywirów naraz. ( bo wtedy się pogryzą) :smiley:

Ps .Nie słuchaj innych tylko patrz co się dzieje . W tym wypadku Norton padł na całej lini.


(Tentomek) #14

OK :slight_smile: więc w Boże Ciało ( będzie więcej czasu ) zainstaluję Pandę ona

jest w tym programie System Mechanic 4 a odinstaluję NSW 2003

zobaczymy co się stanie i jak to bedzie funkcjonować w XP :slight_smile:

Pozdrawiam i dziękuje za wszytkie posty :slight_smile:


(Golden Finger) #15

Mało powiedziane. Nigdy nie próbuj instalować programów antywirusowych obok siebie.

Tak poza tym, z mojego doświadczenia wiem, że Norton AntiVirus spowalnia działanie systemu zauważalnie, szczególnie na słabszych komputerach. Właściwie problem dotyczy wszystkich produktów do ochrony Symanteca.

Pozdrawiam 8)