Search Relevancy co z tym zrobić?

wieszak · 31 Grudzień 2004 14:18

Witam.

Właśnie przeskanowałem sobie kompa programem a2 i znalazłem dwa trojany,niby nic bo je wywaliłem ale … no właśnie.

Program wskazał lokalizacje pliku więc sprawdziłem i okazało się że mam zainstalowane na kompie to.

Search Relevancy.

Nie znam tego wiec to chciałem wywalić a to mi wali że to nie jest trojanem tylko czymś od internetu (dokładnie nie wiem bo angielsku było napisane :D)

Powiem tak myśle że to ściema jakaś a Wy co radzicie?

Mam wyłączone przywracanie systemu,sp1,

skanowałem a2,spybotem i skanerem online no i przeanalizowałem loga HT(tam nie ma tego)

Pozdrawiam.

Shark · 31 Grudzień 2004 14:34

PestPatrol

Opis Konfiguracji

I log hjt Może ja coś znajdę

Magik · 31 Grudzień 2004 14:58

Na temat Search Relevancy poczytaj też tutaj (niestety ang.)

http://securityresponse.symantec.com/avcenter/venc/data/spyware.relevancy.html

Z tego, co tam wyczytałem, to faktycznie jest coś z internetu, tyle, że niepotrzebnego :-). Tworzy mianowicie bibliotekę .dll, która ładuje się przy każdym uruchomieniu przeglądarki i monitoruje wszystkie pytania w wyszukiwarce.

Powinieneś wg. Symanteca:

Odnaleźć Search Relevancy w “Dodaj/Usuń programy” i wywalić.
Odnaleźć w rejestrze następujące klucze:

i usunąć je (oczywiście nie całe klucze, a tylko końcówki).

wieszak · 31 Grudzień 2004 15:08

Dobra Shark.

A zapomniałem napisać że mam PestPatrol.

Zrobiłem skan i znalazł wpisy od BearScher :o ato mnie dziwi bo go nie mam akurat.

Jak chciałem odinstalować ten programik to wyskoczyło to ;

Wait

Search Relevency is not spyware & serves NOT POP UPS

Logfile of HijackThis v1.98.2

Scan saved at 15:45:29, on 2004-12-31

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\Program Files\cFosSpeed\cFosSpeed.exe

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

C:\PROGRA~1\GADU-G~1\gg.exe

C:\Program Files\Kazaa Lite Resurrection\kazaalite.kpp

C:\WINDOWS\system32\rundll32.exe

C:\DOCUME~1\KATARZ~1\USTAWI~1\Temp\A~NSISu_.exe

C:\Documents and Settings\Katarzyna\Moje dokumenty\Nowy folder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL (file missing)

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [RecSche] C:\LifeView FlyVideo\RecSche.exe

O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM…\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM…\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM…\Run: [Onet.pl AutoUpdate] “C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe” /updateexetsr

O4 - HKLM…\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe

O4 - HKCU…\Run: [a˛] “C:\Program Files\a2\a2guard.exe”

O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTIn … e-c282.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/One … or012s.ocx

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 … scan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{38B78529-A524-48B3-9A49-55E2FE07EED9}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip…{38B78529-A524-48B3-9A49-55E2FE07EED9}: NameServer = 194.204.152.34 217.98.63.164

Shark · 31 Grudzień 2004 15:55

Usuwasz: (Search Relevancy): Tryb Awaryjny

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL (file missing)

wieszak · 31 Grudzień 2004 21:15

No i dałem rade.

Ale to badziewie nie chciało się dać wywalić.:

Dzięki Shark i Magik. :lol:

Wszystkiego naj w nowym roku :rotfl2: