"Hiuston mamy problem" - strona startowa i IE!


(:: MARIO ::) #1

Witam!

znowu sie wbilem na stronek z syfem :confused: ostatnio to mi sie czesto zdarza, otuz teraz udalo sie duzo tego wywalic :confused: jednak strona startowa pozosta艂a taka

http://www.hsncnfkeol.biz

jak ja podmienic, cos w rejestrze ustawi膰 :confused: skasowa膰 :confused:

oczywi艣cie wiesza mi IE, system "wydaje sie" by膰 ca艂y, chodz wywali艂em sporo trojan贸w =/ ehh spamu co niemiara =/

Czy艣cie艂m rejestr i pousowa艂em kilka katalog贸w teraz sie system czepia o jeden plik :confused:

wiekszo艣 plik贸w to jakie艣 IBIS ToolBar =/ i chyba musialo co艣 zostac =/

dzieks za wszytskie wskaz贸wki, niebardzo chce mi sie system fomatowac, bo raptem ma tydzien, a poprzedni mial 4 dni :confused:

pozdro


(boczi) #2

Na pocz膮tek wklej loga z Hijacka

http://www.hijackthis.prv.pl


(Duch) #3

czemu loga nie zapodasz... a stron臋 spr贸buj wywali膰 CW Shredder

:slight_smile:


(Patricko) #4

Domyslam sie ze wszelkimi antspy skanowales kompa.

Jv16 PT zostal z pewnoscia tez uzyty.

Anty Vir juz nie wspomne :slight_smile:

Mozna wklic loga to tez z pewnoscia pomoze.


(Ewe) #5

Mo偶e napiszesz Hjuston , albo Hughston? (:slight_smile: )

Oczywi艣cie chodzi o plik hijackthis.log (tak dla pewno艣ci)


(:: MARIO ::) #6

skonczy艂em czy艣ci膰 rejestr, przynjamnij Ad-aware juz nic nie znajduje, wszystko recznie wywala艂em :confused:

jednak strona dalej jest podmieniona =/

log

Logfile of HijackThis v1.99.1

Scan saved at 22:40:06, on 2005-05-04

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\systemctrl.exe

C:\WINDOWS\System32\shmedump.exe

C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe

C:\WINDOWS\System32\ctfmon.exe

c:\windows\system32\pzqaby.exe

C:\Documents and Settings\MARIO\Dane aplikacji\opuw.exe

C:\WINDOWS\System32\rcp8thk.exe

C:\WINDOWS\System32\??oolsv.exe

C:\Program Files\Common Files\WinTools\WSup.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\totalcmd\TOTALCMD.EXE

C:\Program Files\Messenger\msmsgs.exe

c:\log\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hsncnfkeol.biz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50162

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://coby-prosiaczek.funtest.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 艁膮cza

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Program Files\CxtPls\cxtpls.dll (file missing)

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll

O2 - BHO: (no name) - {635F37C4-0390-4674-BE96-453AEDC2577F} - C:\WINDOWS\System32\ohednb.dll (file missing)

O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {EDA0CE2B-2CB5-0545-95DB-5430541026EE} - C:\WINDOWS\System32\umj.dll (file missing)

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\systemctrl.exe internet.dll,LoadNetworkProfile

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

O4 - HKLM\..\Run: [7F5h3Fh] shmedump.exe

O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe

O4 - HKLM\..\Run: [hzostm] c:\windows\system32\pzqaby.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Rrit] C:\Documents and Settings\MARIO\Dane aplikacji\opuw.exe

O4 - HKCU\..\Run: [MounRPNsW] rcp8thk.exe

O4 - HKCU\..\Run: [Efxnva] C:\WINDOWS\System32\??oolsv.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.clickspring.net (HKLM)

O15 - Trusted Zone: *.mt-download.com (HKLM)

O15 - Trusted Zone: *.my-internet.info (HKLM)

O15 - Trusted Zone: *.searchmiracle.com (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted Zone: *.ysbweb.com (HKLM)

O15 - Trusted IP range: 67.19.185.246

O15 - Trusted IP range: 67.19.185.246 (HKLM)

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

O18 - Filter: text/plain - {70657060-23D8-4112-87FB-9F36D6734DF7} - C:\WINDOWS\System32\ohednb.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Us艂uga Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

=/

sporo tego, chyba format C mnie czeka :confused:


(Kuz5) #7

Sporo sporo ale obejdzie si臋 bez formatu

Usu艅: (wszystko oczywi艣cie robisz w trybie awaryjnym z wy艂膮czonym przywracaniem systemu)

Ten wpis z kreseczk膮 "_" usuniesz edytorem rejestru Registrar Lite

Uruchom edytor w pole Address wklej 艣cie偶ke

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie b臋dzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z tak膮 sam膮 kreseczk膮 tak偶e kasujesz i z prawokliku kasujesz wpisy.

Pliki na czerwono usuwasz recznie z dysku

Wpisy 015 usuwasz programemKillTrusted 0.7

Jak wszystko ju偶 zrobisz to wklej nowego loga


(Gutek) #8

Jeszcze zgubi艂e艣:

pierwszy to trojan Trojan.Win32.Stervis.b drugi to BargainBuddy wpis :stuck_out_tongue:

Jak usun膮膰: Start >>> Uruchom >>> services.msc >>> zatrzymaj i wy艂膮cz SvcProc i ZESOFT

Otwierasz HijackThis >>> Misc Tools >>> Delete NT Service >>> wklepujesz po kolei SvcProc i ZESOFT >>> zawierdzasz, potem plii usuwasz r臋cznie w trybie awaryjnym :stuck_out_tongue: