"Search bar" i inne wirusy :/

Cześć!

O to mój problem… i jak tego mam sie pozbyc?

Logfile of HijackThis v1.98.2

Scan saved at 18:37:07, on 2004-11-15

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

F:\Programy\Programy antywirusowe\Avast! (antivir)\aswUpdSv.exe

F:\Programy\Programy antywirusowe\Avast! (antivir)\ashServ.exe

D:\WINDOWS\System32\CTsvcCDA.EXE

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\System32\MsPMSPSv.exe

D:\WINDOWS\Explorer.EXE

F:\Program Files\Winamp\winampa.exe

D:\WINDOWS\LiveChatut.exe

D:\Program Files\Creative\ShareDLL\CtNotify.exe

F:\Program Files\Creative\SBLive\Program\CTAvTray.EXE

D:\Program Files\Windows AdControl\WinAdCtl.exe

F:\Programy\PROGRA~2\AVAST!~1\ashDisp.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Windows AdControl\WinAdAlt.exe

D:\Program Files\Creative\ShareDLL\MediaDet.Exe

F:\Programy\kursory\CursorXP.exe

F:\Programy\BitComet\BitComet.exe

F:\Programy\Gadu-Gadu\gg.exe

F:\Program Files\BearShare\BearShare.exe

F:\Program Files\BearShare\BearShare.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\Pobrane\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2492

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2492

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web–search.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdlg32.dll

O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts

O1 - Hosts: 82.179.166.164 lender-search.com

O1 - Hosts: 82.179.166.165 hot-searches.com

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINDOWS\localNRD.dll (file missing)

O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdlg32.dll

O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - D:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdlg32.dll

O4 - HKLM…\Run: [Gainward] D:\WINDOWS\TBPanel.exe /A

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [WinampAgent] f:\Program Files\Winamp\winampa.exe

O4 - HKLM…\Run: [bearShare] “F:\Program Files\BearShare\BearShare.exe” /pause

O4 - HKLM…\Run: [updReg] D:\WINDOWS\Updreg.exe

O4 - HKLM…\Run: [AHQInit] f:\Program Files\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM…\Run: [bwbktmv] D:\WINDOWS\bwbktmv.exe

O4 - HKLM…\Run: [LiveChatut] D:\WINDOWS\LiveChatut.exe

O4 - HKLM…\Run: [iST Service] D:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM…\Run: [Disc Detector] D:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM…\Run: [AudioHQ] f:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM…\Run: [CTAvTray] F:\Program Files\Creative\SBLive\Program\CTAvTray.EXE

O4 - HKLM…\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [Windows AdControl] D:\Program Files\Windows AdControl\WinAdCtl.exe

O4 - HKLM…\Run: [avast!] F:\Programy\PROGRA~2\AVAST!~1\ashDisp.exe

O4 - HKLM…\RunOnce: [tlc] D:\WINDOWS\update13.js

O4 - HKLM…\RunOnce: [CTAVTray] f:\Program Files\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI

O4 - HKLM…\RunOnce: [installShieldSetup] D:\PROGRA~1\INSTAL~1{9FD12~1\setup.exe -rebootD:\PROGRA~1\INSTAL~1{9FD12~1\reboot.ini -l0x9

O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [Gadu-Gadu] “F:\Programy\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [CursorXP] F:\Programy\kursory\CursorXP.exe

O4 - HKCU…\Run: [skype] “D:\Program Files\Skype\Skype.exe” /nosplash /minimized

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra button: Search cracks at CrackSpider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://crackspider.net/ie/btn.php (file missing) (HKCU)

O9 - Extra ‘Tools’ menuitem: Search cracks at CrackSpider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://crackspider.net/ie/btn.php (file missing) (HKCU)

O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht! http://82.179.166.130/e9xr2.chm::/file.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. … 78c1291781

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 9586454359

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - D:\WINDOWS\System32\xplugin.dll

Dzieki za wszelką pomoc

Loga nie będę komentowała… Są lepsi specjaliści… 8)

Zacznij od tego, co podam poniżej - a potem zrób nowy log!

Wejdź na tę stronkę; masz tam prosciutki sposób usuwania “search” wszelkiej maści.

Jeżeli nie jest mozliwe odinstalowanie tego za pomocą “dodaj/usuń programy” - to masz

tam do ściągnięcia program specjalnie przystosowany do

usuwania “search”.

http://www.free-web-browsers.com/suppor … arch.shtml

Update

To jest kara za crackowanie!

:hahaha: :hahaha: :hahaha:

Trojany CWs i inne.

Pobierz programy

  1. CWShredder Version 2.0

2.WinPatrol 8.0

A… jeszce do tego programu jest “Polska lokalizacja dostępna w dziale: PROGRAMY -> Dodatki -> Polskie lokalizacje”

3.Pestpatrol

Tu musisz pobrać najnowsze bazy trojanów.

Instrukcja do niego

instrukcja

Wyłącz przywracanie systemu

Start>>> Mój komputer>>>Właściwośći>>>Przywracanie systemu.

Start kompa do trybu awaryjnego >>> w czasie startu systemu trzymaj pulsacyjnie klawisz F8

Usuń z dysku

D:\WINDOWS\LiveChatut.exe

F:\Program Files\BearShare\BearShare.exe

Sprawdz czy nie siedzą w dodaj usuń.

za pomoćą HT usuń

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2492

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2492

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* 

R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdlg32.dll 

O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts

O1 - Hosts: 82.179.166.164 lender-search.com

O1 - Hosts: 82.179.166.165 hot-searches.com 

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINDOWS\localNRD.dll (file missing)

O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing) 

O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file) 

O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - D:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdlg32.dll 

O4 - HKLM\..\Run: [BearShare] "F:\Program Files\BearShare\BearShare.exe" /pause

O4 - HKLM\..\Run: [bwbktmv] D:\WINDOWS\bwbktmv.exe 

O4 - HKLM\..\Run: [LiveChatut] D:\WINDOWS\LiveChatut.exe

O4 - HKLM\..\Run: [IST Service] D:\Program Files\ISTsvc\istsvc.exe 

O4 - HKLM\..\Run: [Windows AdControl] D:\Program Files\Windows AdControl\WinAdCtl.exe

O4 - HKLM\..\RunOnce: [tlc] D:\WINDOWS\update13.js 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm 

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Search cracks at CrackSpider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://crackspider.net/ie/btn.php (file missing) (HKCU) 

O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - D:\WINDOWS\System32\xplugin.dll

Znajdz na dysku następujące pliki

bwbktmv.exe , istsvc.exe , WinAdCtl.exe ,BearShare.exe , update13.js

Szukaj w plikach ukrytych . Ubij procesy jeśli mają i dopiero usuwaj.

Wyrejestruj pliki dll z systemu w ten sposób :

Start -> uruchom ->

regsvr32 \u C:\WINDOWS\System32\ tu wpisujesz nazwe pliku

  • i klikasz

a oto te pliki :

xplugin.dll , webdlg32.dll ,

Znajdz je teraz na dysku i usuń .

Sprawdz co masz w WINDOWS\Downloaded Program Files - i usuń zbądny balast.

Wyczyść katalog temp. oraz Temporary Internet Files w Documents and Settings na wszystkich dyskach.

Uruchom teraz :

  • CWShredder Version 2.0

  • Pestpatrol - usuń co znajdzie

  • WinPatrol 8.0 a wnim :

Na zakładce Opcje klikasz Pokaż plik HOSTS… Otworzy sie w notatniku.

Usuwasz wszysko za wyjątkiem 127.0.0.1 localhost

Restart kompa . Robisz jeszcze raz scan , ale teraz w normalnym trybie

programami

Pestpatrol , Ad-Aware SE Personal, Spybot - Search & Destroy.

Instalijesz poprawki do systemu i na IE . ( SP1 albo SP2)

Instalujesz na stałe - SpywareBlaster

http://www.javacoolsoftware.com/spywareblaster.html

  • Pestpatrol

  • WinPatrol 8.0 - tutaj zaznacz zablokuj plik HOSTS.

Uffff.

:smiley:

Witajcie

Przede wszystkim pousuwaj (tak jak napisal Phylby) wszystkie “R” - to sa glowni podejrzani :twisted:

Pozdrawiam

Darth

i to jaka kara;

same paskudne stronki kolega odwiedza juz niechodzi

o te cracki tylko o swinstwa od nich jakie mu sie instaluja

odiwiedz skanery AV

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

w PestPatrol

ustawiasz na stale ochrone rzeczywista

Options/AutomaticScans

dajesz Launch

w PPMem, PPControl, CookiePatrol.

Witam,

postaraj się jak najszybciej zaktualizować Windowsa chociaż

o Service Pack 1, to naprawdę podstawa.

Najlepsze Kamciu, że to jest koleżanka…

:hahaha: :hahaha: :hahaha:

Masz zupełną rację - natomiast pozwolę sobie dodać małą poprawkę… :slight_smile:

Żeby przypadkiem, ktoś w miarę początkujący w rozpoznawaniu logów Hijack’a nie

nabrał przekonania, że wszystkie wpisy typu “R” są “be” - zaznaczmy, że to dotyczy tylko tego loga! :slight_smile:

Jeżeli log jest poprawny, to oczywiscie nie kasujemy wpisów typu R0…R3,

które zawsze odnoszą się do strony startowej i tzw. wyszukiwania - i w

prawidłowym logu muszą istnieć.

Brawo ! Waterproof ! :rainbowafro: :silly:

Jeżeli jest w logu R0 - R3 Np. Wirutalna Polska, Google, Onet, Interia itp. - Zostawiamy.

A jak jakieś podejrzane - możemy usunąć - i tak naszejprzeglądarce

nic się nie stanie (no chyba, będzie trzeba ustawić jeszcze raz stronę

startową) :wink:

Z Msconfig wyłącz jeszcze ctfmon.exe …

Odwiedź sobie skaner:

…::X-Scan::…

http://www.spywareinfo.com/xscan.php

Przeskanuj programami:

Ad-Aware SE Personal

Spybot - Search & Destroy

…:: Do czyszczenia JV 16::…

http://dobreprogramy.com/index.php?dz=2 … d=509&t=29

Zainstaluj SpywareBlaster

Do wyboru: SpywareGuard/WinPatrol

Sprawdzaj od czasu do czasu CWShredder.exe

Pozdrawiam =]

Nie radzę odwiedzać tej stronki co podała Waterproof i potwierdziła Kamcia_18

Ta stronka do usuwania - MySearch Spyware Remover

Download and try for free. aff. Stop Your Privacy Invasion. - proponuje

pobrać NoAdware .

Zadna z nich nie czytała posta pysia

http://forum.dobreprogramy.pl/viewtopic … arz%EAdzia

a tam jak byk [zresztą nie tylko tam]:

:smiley:

Post nr 1 :

PHYLBY!

Wybacz - ale z całym szacunkiem - nie masz racji! :frowning: :frowning: :frowning:

To, co napisał Ptysiu - poznałam w momencie, jak to opublikowała Picasso

z wiadomego Forum! Bardzo grubo wczesniej, niz Ptysiu to zamieścił - daty

są do porównania! Zresztą to juz stara bajka… :evil:

Stronkę, którą podałam do likwidowania “search” - zapodałam równiez z Jej Forum

i to jest porada Picasso! :evil: I to właśnie ONA to stronkę zapodaje

jako lekarstewko… :evil:

Poniewaz nie jednemu psu Burek - sugestia, by nie sugerować sie hasłem

“noAdware” - oznacza nie kierowanie sie jedynie nazwą, tylko zwracanie

uwagi na reklamki występujące, z reguly po prawej stronie wyszukiwarki

GOOGLE, jako gotowe do wzięcia… :twisted:

I tylko tyle…

W razie dalszych kwestionowań - zadam sobie czasochłonnego trudu

i zarzuce linki!

Post nr 2 :

Do modków! - please, możecie mi odjąć tego posta z punktacji;

natomiast bardzo prosiłabym - żeby został jako osobny!

Sprawa jest poważna - user zarzucił m.in. mnie - że zapodaję

bylejakie myki… bo niby grozi cuś… zresztą niewiadomo jaka

imaginacja…

Abstrahuję od tego typu niesmacznych ostrzeżeń przed moimi poradami…

Bo jest to bardzo przykre, ale przeżyję…

Natomiast - bez względu na ostrzezenia, by na tę stronkę nie wchodzić - to

co tu niby mamy…?

Ano poradę, by “search” usunąć z "dodaj/usuń programy - a jak to

nie pomoże to programik Magic Utilities 2004 3.20

Tym razem daję linka do polskiej stronki i prosze o przeczytanie opisu czemu ten progs

służy (czy aby nie temu samemu, czy też “strachom na lachy”:

http://www.pcworld.pl/ftp/program.asp?sys=pc&id=4636

Przykre, przykre i jeszcze raz przykre… :frowning: :frowning: :frowning:

To się tak brzydko nazywa “niezdrowa rywalizacja” :evil: :evil: :evil:


Połączono.

Używaj opcji Zmień

Asterisk

Do modków! - please, możecie mi odjąć tego posta z punktacji;

natomiast bardzo prosiłabym - żeby został jako osobny!

Sprawa jest poważna - user zarzucił m.in. mnie - że zapodaję

bylejakie myki… bo niby grozi cuś… zresztą niewiadomo jaka

imaginacja…

Abstrahuję od tego typu niesmacznych ostrzeżeń przed moimi poradami…

Bo jest to bardzo przykre, ale przeżyję…

Natomiast - bez względu na ostrzezenia, by na tę stronkę nie wchodzić - to

co tu niby mamy…?

Ano poradę, by “search” usunąć z "dodaj/usuń programy - a jak to

nie pomoże to programik Magic Utilities 2004 3.20

Tym razem daję linka do polskiej stronki i prosze o przeczytanie opisu czemu ten progs

służy (czy aby nie temu samemu, czy też “strachom na lachy”:

http://www.pcworld.pl/ftp/program.asp?sys=pc&id=4636

Przykre, przykre i jeszcze raz przykre… :frowning: :frowning: :frowning:

To się tak brzydko nazywa “niezdrowa rywalizacja” :evil: :evil: :evil:

Jaka imaginacja ??? No co ty Waterproof ? Jaka rywalizacja ?

Ok . . Wiem czytałaś.

Przepraszam…

Ale …

Na tej stronce nie ma zadnych informacji o usuwaniu"Search bar" . Są tylko odsyłacze do płatnych programów…

Odsyłacz do free scaner - proszę bardzo - SpywareNuker

Czy ja coś mówiłem :smiley:

Podaje po raz enty stronę do oceny (wraz z jej zawartością)

http://www.free-web-browsers.com/suppor … arch.shtml

No dobra jest . Co i jaki program .

piszą o :

My Web Search i My Way Speedbar

ale on ma Search bar - o konkretnie

R1-

Search Bar = http://searchcentral.cc/search.php?v=4&aff=2492

Trojan CWS. :smiley: :smiley:

Ps . Nie klikać tego linku ! - to strona do twórcy tego trojana albo do innego badziewia. :lol:

Search Bar jest w górnym menu pt. “How to remove…”, jako bawiące się tym obligatoryjnym na “searche” rozwiązaniem!

Tzw. wspólny mianownik…

Niech to nie polega na tym, że któreś z nas musi mieć ostatnie słowo…

Cytaty ze strony


Update

WO =>> Pysiu to Pysiu , napisałaś wcześniej Ptysiu

:okulary:

Sprawdzcie loga .

ilomly nie ma zadnego programu wymienionego na tej stronce.

“Search bar” tak nazwał/nazwała stronkę startową zmienioną przez trojana CWS.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar = http://searchcentral.cc/search.php?v=4&aff=2492

Chyba jednak ma i to aż nadto :roll: - oczywiście nie o naturalny wpis z klucza chodziło. Search z “bar’em”, czy bez “bar’u” - jeden piernik, ta sama parafia! :lol:

Prawie wszystkie R1, R0, R3 - nie mówiąc o hostach są totalnie zadżumione “searche’m”!

Najważniejsze teraz, żeby koleżanka się pokazała (bo jak narazie to było pierwotnie wielkie larum, a teraz - jak widać, toczymy dyskusję sami :smiley: ) - jeżeli nie, to topik spadnie z topu i tyle…!

Są zamulome ale trojanem CWS . Przekierowania na srtonkę http://search coś tam

Koleżanka poszła po klolegę i zrobili “małego formata” :lol: :lol:

I po ptokach.

Tylko bez skojarzeń proszę :smiley: :smiley: