CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo HELP Search for...

HELP Search for...

Blagam pomózcie ..jak wlaczam Internet explorer to mi sie pojawia okienko Search for... Pod adresem jakis MySearch ..i co najgorsze...pojawia sie okienko zebym zainstalowal SpyWare a pod tym rysunki jak sie robaki pie.prza (probowalem zmienic w ustawieniach internetowych strone glowna ale nie pomaga) HELP !!!!

Odpowiedzi: 11

Dark, jakiego masz Shreddera ? Ktora wersja ? Sprobuj sciagnac najnowsza, bo podobno potrafi sobie radzic z tym sp.html
Kolejna sprawa – sprobuj za pomoca Windows albo Total Commandera znalezc ciag tekstu "searchx.cc" w plikach na C:\r Znajdziesz to w jakichs bibliotekach, ktore pozniej usuniesz. Ponadto wyszukaj na C: plik "filter.log", usun go a nastepnie odpal rejestr i usun z rejestru wpisy odnoszace sie do tego pliku. Przy okazji przeszukaj rejestr pod katem "searchx.cc".
Skan HiJackiem, usunac juz wiesz co powinienes, wiec nie bede wklejal tych linijek z loga (dodatkowo tylko O16 – DPF: {5D9E4B6D–CD17–4D85–99D4–6A52B394EC3B} (WSDownloader Control) – http://www.webshots.com/samplers/WSDownloader.ocx). Pozniej skan CWShredderem.
EL NINO
Dodano
13.06.2004 00:17:01
Przez pare godzin mam spokój. Strona otwiera się czysta.Te pliki wywaliłem w trybie awaryjnym i wyszukowarka ich nie znajduje. Po paru godz. otwieram IE i znowu "Search for..." Hijack wykazuje ten plik sp.html i za kaźdym razem jakiś nowy dll,teraz się nazywa: maflpbc.dll
Juź nie wiem co mam zrobić. Na mój nos trzeba byłoby coś w rejestrze pogrzebać. Ale nie wiem gdzie. Moźe jakiś inny programik do wyszukiwania i likwidowania syfów? Help?
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {50FDAE6F–AD18–45CC–86D7–73D1797B08B2} – C:WINNTsystem32maflpbc.dll
O3 – Toolbar: Adobe PDF – {47833539–D0C5–4125–9FA8–0819E2EAAC93} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll
O4 – HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM..Run: [F–Secure Manager] "C:Program FilesF–SecureCommonFSM32.EXE" /splash
O4 – HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" –osboot
O4 – HKCU..Run: [Gadu–Gadu] "C:GaduGgg.exe" /tray
O4 – Startup: Webshots.lnk = C:Program FilesWebshotsLauncher.exe
O4 – Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 6.0 CEDistillracrotray.exe
O4 – Global Startup: ZoneAlarm.lnk = C:Program Filesone LabsoneAlarmzonealarm.exe
O16 – DPF: komentator – http://sport.onet.pl/komentator.cab
O16 – DPF: {5D9E4B6D–CD17–4D85–99D4–6A52B394EC3B} (WSDownloader Control) – http://www.webshots.com/samplers/WSDownloader.ocx
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38149.2277314815
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
Dark
Dodano
12.06.2004 14:00:51
Przez pare godzin mam spokój. Strona otwiera się czysta.Te pliki wywaliłem w trybie awaryjnym i wyszukowarka ich nie znajduje. Po paru godz. otwieram IE i znowu "Search for..." Hijack wykazuje ten plik sp.html i za kaźdym razem jakiś nowy dll,teraz się nazywa: maflpbc.dll
Juź nie wiem co mam zrobić. Na mój nos trzeba byłoby coś w rejestrze pogrzebać. Ale nie wiem gdzie. Moźe jakiś inny programik do wyszukiwania i likwidowania syfów? Help?
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {50FDAE6F–AD18–45CC–86D7–73D1797B08B2} – C:WINNTsystem32maflpbc.dll
O3 – Toolbar: Adobe PDF – {47833539–D0C5–4125–9FA8–0819E2EAAC93} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll
O4 – HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM..Run: [F–Secure Manager] "C:Program FilesF–SecureCommonFSM32.EXE" /splash
O4 – HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" –osboot
O4 – HKCU..Run: [Gadu–Gadu] "C:GaduGgg.exe" /tray
O4 – Startup: Webshots.lnk = C:Program FilesWebshotsLauncher.exe
O4 – Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 6.0 CEDistillracrotray.exe
O4 – Global Startup: ZoneAlarm.lnk = C:Program Filesone LabsoneAlarmzonealarm.exe
O16 – DPF: komentator – http://sport.onet.pl/komentator.cab
O16 – DPF: {5D9E4B6D–CD17–4D85–99D4–6A52B394EC3B} (WSDownloader Control) – http://www.webshots.com/samplers/WSDownloader.ocx
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38149.2277314815
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
Dark
Dodano
12.06.2004 14:00:51
Przez pare godzin mam spokój. Strona otwiera się czysta.Te pliki wywaliłem w trybie awaryjnym i wyszukowarka ich nie znajduje. Po paru godz. otwieram IE i znowu "Search for..." Hijack wykazuje ten plik sp.html i za kaźdym razem jakiś nowy dll,teraz się nazywa: maflpbc.dll
Juź nie wiem co mam zrobić. Na mój nos trzeba byłoby coś w rejestrze pogrzebać. Ale nie wiem gdzie. Moźe jakiś inny programik do wyszukiwania i likwidowania syfów? Help?
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {50FDAE6F–AD18–45CC–86D7–73D1797B08B2} – C:WINNTsystem32maflpbc.dll
O3 – Toolbar: Adobe PDF – {47833539–D0C5–4125–9FA8–0819E2EAAC93} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll
O4 – HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM..Run: [F–Secure Manager] "C:Program FilesF–SecureCommonFSM32.EXE" /splash
O4 – HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" –osboot
O4 – HKCU..Run: [Gadu–Gadu] "C:GaduGgg.exe" /tray
O4 – Startup: Webshots.lnk = C:Program FilesWebshotsLauncher.exe
O4 – Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 6.0 CEDistillracrotray.exe
O4 – Global Startup: ZoneAlarm.lnk = C:Program Filesone LabsoneAlarmzonealarm.exe
O16 – DPF: komentator – http://sport.onet.pl/komentator.cab
O16 – DPF: {5D9E4B6D–CD17–4D85–99D4–6A52B394EC3B} (WSDownloader Control) – http://www.webshots.com/samplers/WSDownloader.ocx
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38149.2277314815
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
Dark
Dodano
12.06.2004 14:00:51
Przez pare godzin mam spokój. Strona otwiera się czysta.Te pliki wywaliłem w trybie awaryjnym i wyszukowarka ich nie znajduje. Po paru godz. otwieram IE i znowu "Search for..." Hijack wykazuje ten plik sp.html i za kaźdym razem jakiś nowy dll,teraz się nazywa: maflpbc.dll
Juź nie wiem co mam zrobić. Na mój nos trzeba byłoby coś w rejestrze pogrzebać. Ale nie wiem gdzie. Moźe jakiś inny programik do wyszukiwania i likwidowania syfów? Help?
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {50FDAE6F–AD18–45CC–86D7–73D1797B08B2} – C:WINNTsystem32maflpbc.dll
O3 – Toolbar: Adobe PDF – {47833539–D0C5–4125–9FA8–0819E2EAAC93} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll
O4 – HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM..Run: [F–Secure Manager] "C:Program FilesF–SecureCommonFSM32.EXE" /splash
O4 – HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" –osboot
O4 – HKCU..Run: [Gadu–Gadu] "C:GaduGgg.exe" /tray
O4 – Startup: Webshots.lnk = C:Program FilesWebshotsLauncher.exe
O4 – Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 6.0 CEDistillracrotray.exe
O4 – Global Startup: ZoneAlarm.lnk = C:Program Filesone LabsoneAlarmzonealarm.exe
O16 – DPF: komentator – http://sport.onet.pl/komentator.cab
O16 – DPF: {5D9E4B6D–CD17–4D85–99D4–6A52B394EC3B} (WSDownloader Control) – http://www.webshots.com/samplers/WSDownloader.ocx
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38149.2277314815
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
Dark
Dodano
12.06.2004 14:00:51
Procesy sa w porzadku, ale ponownie usun:
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file:// C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file:// C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file:// C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file:// C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file:// C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file:// C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {A296B9B5–8980–4C73–8610–2F47D1B6D0A8} – C:WINNTsystem32ojiglca.dll
Ponadto usun wszystko recznie z folderu Temp (C:DOCUME~1dsidorUSTAWI~1Temp), poniewaz siedzi tam ciagle plik sp.html a i byc moze reszta tego swinstwa. Jesli system nie bedzie chcial czegos usunac, to oczywiscie probuj w awaryjnym albo z konsoli.
EL NINO
Dodano
12.06.2004 00:11:35
Zrobiłem tak jak napisałeś. Niestety search for wraca, co jakiś czas jak bumerang. Mks wykazuje mi teź i usuwa trojanki(związane ze stroną startową). Muszę mieć chyba gdzieś głębiej jakiegoś syfa. Załączam pliki ze zrzutami procesów i nowe logi hijacka. Jak ktoś będzie w stanie poradzić, co zrobić, co wyrzucić to będę wdzięczny. Na razie próbuję dalej sam
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTSystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:PROGRA~1F–SecureBackWeb7681197ProgramSERVIC~1.EXE
C:WINNTSystem32cisvc.exe
C:Program FilesF–SecureAnti–Virusfsgk32st.exe
C:Program FilesF–SecureAnti–VirusFSGK32.EXE
C:Program FilesF–SecureAnti–Virusfssm32.exe
C:Program FilesF–SecureBackWeb7681197ProgramBackWeb–7681197.exe
C:WINNTSystem32 vsvc32.exe
C:WINNTsystem32 egsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTSYSTEM32THOTKEY.EXE
C:WINNTsystem32usrbridg.exe
C:WINNTsystem32oneLabsvsmon.exe
C:WINNTSystem32WFXSVC.EXE
C:WINNTSystem32WBEMWinMgmt.exe
C:Program FilesF–SecureCommonFSMA32.EXE
C:Program FilesF–SecureCommonFSMB32.EXE
C:Program FilesF–SecureCommonFCH32.EXE
C:Program FilesF–SecureCommonFAMEH32.EXE
C:WINNTExplorer.EXE
C:Program FilesF–SecureCommonFNRB32.EXE
C:Program FilesF–SecureCommonFIH32.EXE
C:Program FilesF–SecureAnti–Virusfsav32.exe
C:Program FilesF–SecureCommonFSM32.EXE
C:Program FilesCommon FilesRealUpdate_OB ealsched.exe
C:GaduGgg.exe
C:Program FilesAdobeAcrobat 6.0 CEDistillracrotray.exe
C:Program Filesone LabsoneAlarmzonealarm.exe
C:Program Filesone LabsoneAlarmzonealarm.GID
C:WINNTwebshots.scr
C:Documents and SettingsdsidorUstawienia lokalneTempHijackThis.exe
C:WINNTSystem32cidaemon.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:WINNTsystem32 askmgr.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1dsidorUSTAWI~1Tempsp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {A296B9B5–8980–4C73–8610–2F47D1B6D0A8} – C:WINNTsystem32ojiglca.dll
O3 – Toolbar: Adobe PDF – {47833539–D0C5–4125–9FA8–0819E2EAAC93} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll
O4 – HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM..Run: [F–Secure Manager] "C:Program FilesF–SecureCommonFSM32.EXE" /splash
O4 – HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" –osboot
O4 – HKCU..Run: [Gadu–Gadu] "C:GaduGgg.exe" /tray
O4 – Startup: Webshots.lnk = C:Program FilesWebshotsLauncher.exe
O4 – Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 6.0 CEDistillracrotray.exe
O4 – Global Startup: ZoneAlarm.lnk = C:Program Filesone LabsoneAlarmzonealarm.exe
O16 – DPF: komentator – http://sport.onet.pl/komentator.cab
O16 – DPF: {5D9E4B6D–CD17–4D85–99D4–6A52B394EC3B} (WSDownloader Control) – http://www.webshots.com/samplers/WSDownloader.ocx
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38149.2277314815
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
Dark
Dodano
11.06.2004 18:42:21
Dark:
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {08AA172C–1D9F–4C0E–8463–2C702F72669F} – C:WINNTsystem32ecegk.dll
O2 – BHO: . – {D34F08C5–4F18–477c–86CB–1A9BEECFE37B} – C:Documents and SettingsdsidorDane aplikacjisysqhsysqh32.dll (file missing)
O4 – HKCU..Run: [msvcr70] C:WINNTsystem32msvcr70.exe
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
Zaznacz to powyzej i usun FIXem. Pozniej wyszukaj na dysku (zaznacz rowniez aby system pokazal ukryte pliki):
ecegk.dll
sp.html
sysqh32.dll
msvcr70.exe
i usun jesli beda. Jezeli nie bedzie dostepu, uruchom komputer w trybie awaryjnym albo nawet z dyskietki w98 jesli masz fat32. Jesli NTFS, uruchom z plyty i usuwaj z konsoli odzyskiwania poleceniem "del sciezkadopliku". No i pozniej jeszcze jeden scan HiJackiem.

P.S. Mogles rowniez zamiescic zrzut uruchomionych procesow.
EL NINO
Dodano
10.06.2004 17:14:03
Tomekk:

mam właśnie to samo.
Zastanawiam się nad totalnym formatem.

e tam to jest ostateczność, mam nadzieję, źe na tym forum znajdą się spece i pomogą

I jeszcze zrzut z hijacka
Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTSystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:PROGRA~1F–SecureBackWeb7681197ProgramSERVIC~1.EXE
C:WINNTSystem32cisvc.exe
C:Program FilesF–SecureAnti–Virusfsgk32st.exe
C:Program FilesF–SecureAnti–VirusFSGK32.EXE
C:Program FilesF–SecureAnti–Virusfssm32.exe
C:Program FilesF–SecureBackWeb7681197ProgramBackWeb–7681197.exe
C:WINNTSystem32 vsvc32.exe
C:WINNTsystem32 egsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTSYSTEM32THOTKEY.EXE
C:WINNTsystem32usrbridg.exe
C:WINNTSystem32WFXSVC.EXE
C:WINNTSystem32WBEMWinMgmt.exe
C:Program FilesF–SecureCommonFSMA32.EXE
C:Program FilesF–SecureCommonFSMB32.EXE
C:WINNTExplorer.EXE
C:Program FilesF–SecureCommonFCH32.EXE
C:Program FilesF–SecureCommonFAMEH32.EXE
C:Program FilesF–SecureCommonFNRB32.EXE
C:Program FilesF–SecureCommonFIH32.EXE
C:Program FilesF–SecureAnti–Virusfsav32.exe
C:Program FilesF–SecureCommonFSM32.EXE
C:GaduGgg.exe
C:Program FilesAdobeAcrobat 6.0 CEDistillracrotray.exe
C:WINNTSystem32cidaemon.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINNTsystem32ecegk.dll/sp.html (obfuscated)
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {08AA172C–1D9F–4C0E–8463–2C702F72669F} – C:WINNTsystem32ecegk.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
O2 – BHO: . – {D34F08C5–4F18–477c–86CB–1A9BEECFE37B} – C:Documents and SettingsdsidorDane aplikacjisysqhsysqh32.dll (file missing)
O3 – Toolbar: Adobe PDF – {47833539–D0C5–4125–9FA8–0819E2EAAC93} – C:Program FilesAdobeAcrobat 6.0 CEAcrobatAcroIEFavClient.dll
O4 – HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM..Run: [F–Secure Manager] "C:Program FilesF–SecureCommonFSM32.EXE" /splash
O4 – HKCU..Run: [Gadu–Gadu] "C:GaduGgg.exe" /tray
O4 – HKCU..Run: [msvcr70] C:WINNTsystem32msvcr70.exe
O4 – Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 6.0 CEDistillracrotray.exe
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O16 – DPF: {5D9E4B6D–CD17–4D85–99D4–6A52B394EC3B} (WSDownloader Control) – (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab


Przyczyna zapewne tkwi w tym pliku ecegk.dll. Ale nijak nie daje sobie rady zeby go wywalić. Zresztą o ile sobie przypominam to wcześniej teź miałem jakiś plik, który wywaliłem. Co z tego skoro przypałętał się nowy i search for uruchamia się na nowo.
Dark
Dodano
09.06.2004 10:57:43
Dark:
Od jakiegoś czasu nie mogę poradzić sobie z wywaleniem "Search for" Po uźyciu shreddera, hijacka,ad–adware, spybota, mks znalazłem jakieś trojanki, min Trojan.Startpage.Gogle. Pousuwałem teź w hijacku wszystkie "syfy" I przez jakąś chwilę (godz–dwie) jest ok a potem otwieram IE i znowu "Search for". I znowu uruchamiam hijacka, usuwam a "Search" jak nieśmiertelny bumerang wraca. Co robię źle? Gdzie mam szukać jeszcze? Czy moźe jest jakaś dziura? System Win 2000.
Proszę o radę. Thx.


mam właśnie to samo.
Zastanawiam się nad totalnym formatem.
Tomekk
Dodano
09.06.2004 09:55:53
Od jakiegoś czasu nie mogę poradzić sobie z wywaleniem "Search for" Po uźyciu shreddera, hijacka,ad–adware, spybota, mks znalazłem jakieś trojanki, min Trojan.Startpage.Gogle. Pousuwałem teź w hijacku wszystkie "syfy" I przez jakąś chwilę (godz–dwie) jest ok a potem otwieram IE i znowu "Search for". I znowu uruchamiam hijacka, usuwam a "Search" jak nieśmiertelny bumerang wraca. Co robię źle? Gdzie mam szukać jeszcze? Czy moźe jest jakaś dziura? System Win 2000.
Proszę o radę. Thx.
Dark
Dodano
09.06.2004 01:10:21
Anonymous
Dodano:
02.06.2004 18:04:41
Komentarzy:
11
Strona 1 / 1