Log

Dla specjalistów Bezpieczeństwo
#1

witam

pomoze mi kktos ? tez natchnelem sie na ten problem… zainstaowala mi sie taa strona automatycznie na strone główną i nie moge sie z tym upporać …

oto moj log z HIjackthis :

Logfile of HijackThis v1.99.1

Scan saved at 03:43:33, on 04-03-07

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM FILES\ESET\NOD32KRN.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\ESET\NOD32KUI.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\SYSTEM32\SEARCH~1.DLL (file missing)

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX (file missing)

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\YSB.DLL (file missing)

O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [systemTray] SysTray.Exe

O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\Run: [WebRebates0] “C:\PROGRAM FILES\WEB_REBATES\WebRebates0.exe”

O4 - HKLM…\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe

O4 - HKLM…\RunServices: [NOD32kernel] “C:\Program Files\Eset\nod32krn.exe”

O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray

O4 - HKCU…\RunServices: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray

O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWB3DSND.EXE

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

O8 - Extra context menu item: Web Rebates - file://C:\PROGRAM FILES\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4. … egular.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab

O16 - DPF: {E95CF138-A587-4C54-8175-3AD80997CB14} (GINSOCCER Class) - http://67.15.101.3/g_bin/pl/soccer_2_0_0_4.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab

aha i jjescze jedno, czytalem u góry posty wasze i sprobowalem usunac w trybie awaryjnym ten rejest : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

alle to nic nie daje bo za kazdym razem znow on tam jest i tak w kolko :frowning: prosze o pomoc … !

z góry dzieki …

#2

W awaryjnym usuń te wpisy:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\YSB.DLL (file missing)

O4 - HKLM…\Run: [WebRebates0] “C:\PROGRAM FILES\WEB_REBATES\WebRebates0.exe”

O8 - Extra context menu item: Web Rebates - file://C:\PROGRAM FILES\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

Jak nie pomoże to zastosuj program CWShredder 2.14

#3

nic to nie pomoglo … wykasowalem te rejestry i one dalej tam siedza tzn ten : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

CWShredder mi nic niewykryl …

oto nowsze logi

Logfile of HijackThis v1.99.1

Scan saved at 04:31:43, on 04-03-07

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM FILES\ESET\NOD32KRN.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\ESET\NOD32KUI.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\SYSTEM32\SEARCH~1.DLL (file missing)

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX (file missing)

O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [systemTray] SysTray.Exe

O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\Run: [WebRebates0] “C:\PROGRAM FILES\WEB_REBATES\WebRebates0.exe”

O4 - HKLM…\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe

O4 - HKLM…\RunServices: [NOD32kernel] “C:\Program Files\Eset\nod32krn.exe”

O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray

O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWB3DSND.EXE

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4. … egular.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab

O16 - DPF: {E95CF138-A587-4C54-8175-3AD80997CB14} (GINSOCCER Class) - http://67.15.101.3/g_bin/pl/soccer_2_0_0_4.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab

:frowning:

#4

spróbuj tym:

Ad-Aware:

http://dobreprogramy.pl/index.php?dz=2&id=107&t=55

SpyBot Search&Destroy:

http://dobreprogramy.pl/index.php?dz=2&id=188&t=55

PestPatrol:

http://www.idg.pl/ftp/pobierz/pc/3538.html

Skanery:

MKS:

http://skaner.mks.com.pl/

Symantec:

http://security.symantec.com/sscv6/defa … &venid=sym

Panda:

http://www.pandasoftware.com/activescan … IdPais=152

#5

Najlepiej by było, gdybyś zainstalował nowszą wersję IE, a jeszcze lepiej jak byś zainstalował Firefoxa - http://www.firefox.pl :slight_smile:

#6

Czytaj posty

Kosz.

#7

(wyl. przywracanie systemu)

kasujesz TAK (tryb awaryjny)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\SYSTEM32\SEARCH~1.DLL (file missing)

O4 - HKLM…\Run: [WebRebates0] "C:\PROGRAM FILES\WEB_REBATES\WebRebates0.exe"

[WebRebates adware]

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4. … egular.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab

O16 - DPF: {E95CF138-A587-4C54-8175-3AD80997CB14} (GINSOCCER Class) - http://67.15.101.3/g_bin/pl/soccer_2_0_0_4.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool - http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab

(jak bedziesz uzywac i tak powroca)

1.)

sciagasz PestPatrol, ETD_Security

INFO: /PestPatrol/

skanujesz partycje systemowa

Ustawiasz na stale ochrone rzeczywista

Options/AutomaticScans

dajesz Launch

w PPMem, PPControl, CookiePatrol.

Opis konfiguracji

http://www.searchengines.pl/phpbb203/in … entry72774

/Down/

http://forum.dobreprogramy.pl/viewtopic … highlight=

2.) sciagasz

G DATA

http://dobreprogramy.com/index.php?dz=2&t=73&id=846

INFO:

(dzialasz w trybie awaryjnym] - bez netu

3.)

skanujesz skanerami AV

F-Secure

BitDefender

Trend

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

–Softwin (BitDefender)–

http://www.bitdefender.com/scan/licence.php

–Trend Micro (PC-cillin)–

http://housecall.trendmicro.com/houseca … t_corp.asp

4.)

radze ci odinstalowac NODA32 bo jest slaby

masz do dyspozycji darmowy

BitDefender 7 Free, AntiVir, avast! 4,6

zabezpieczasz przegladarki

tym SpywareBlaster

http://www.javacoolsoftware.com/sbdownload.html

ps.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

Narzedzia/Opcje internetowe/Ogolne

dajesz Uzyj pustej…

Zastosuj (ok)

Prywatnosc…

i dajesz Srednio-wysoki

Zastosuj (ok)

Programy…

i dajesz

Resetuj stawienia sieci Web…

(Resetuj tez moja strone glowna)

Zastosuj (ok)

i radze korzystac z Opery lub Mozilli

#8

hmm to tak :

jaak mam wyl. przywraacanie systemu ?mam windowsa 98 …

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

te logi jak mam usunac ? gdie je mam poszukac w regedit … troche glupie pytanie ale niewiem jak to usunac …

wlasnie sciagam skanery co poodales, potem napisze co z tego wyszlo …

a co do tego ustawiania glownej strony na puste nic nie daje, ustawie i znow zmienia sie na ten link ze strona …

opera lub mozilla - pujdzie na pentiumie 2 ? (200 mhz) ? nie za slaby jak na te przegladarki ?

thx za porady… potem napisze czy dalo raady usunac to gów… :wink:

#9

W takim przypadku nie masz czego wyłączać.

Zaznaczasz w Hijack This i klikasz FIX.

#10

kurde … nic te programy mi niepomagadajja :frowning: pestpatrolem jedynie mi wykryl duzo regów i cookies ale gdy chcialem je usunac wyskkaaczylo ze mam wersje jakas inna i nieda rady ich skasoowac :/…

co do hijacka to tak samo, zaznaczam odpowiednie, daje fix i dalej potem sa … czy w trybbie awaryjjnym czy w nnormlanym - zawsze to samo :(…

help !:frowning:

#11

Wejdź do trybu awaryjnego i wywal:

YourSiteBar

WebRebates adware

Jeszcze raz, zastartuj do wawaryjnego trybu i w dodaj/usuń odinstaluj zaznaczone programy, pliki skasuj ręcznie następnie wszystkie wpisy usuń hijackiem

:stuck_out_tongue:

#12

coolin czemu nierobisz tak jak pisze po kolei cio ??

potem miej pretensje do siebie

szkoda pisania z mojej strony

:smiley: :smiley:

#13

Kamcia robilem tak … :stuck_out_tongue:

thx za wszystkie porady, jakos sie z tym teraz uporam :twisted: :slight_smile: