youriskalka
witam! w explorerze caly czas wlacza mi sie inna strona glowna ktora przekierowuje mnie na strony pornograficzne. shit ten nazywa sie youriskalka.uzylem hijacka.oto log:
Logfile of HijackThis v1.97.7
Scan saved at 17:48:25, on 2004–09–02
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
D:ProgramyInstalantivirAVGNT.EXE
C:WINDOWSSystem32 undll32.exe
C:Program FilesInternet ExplorerIEeng.exe
D:ProgramyInstalantivirAVWUPSRV.EXE
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:DOCUME~1DWIEST~1USTAWI~1TEMP\_VWUPSRV.EXE
D:ProgramyInstalantivirAVGUARD.EXE
E:\_setupsetup.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
D:ProgramyInstalCommander Total otalcmdTOTALCMD.EXE
D:WOYTAZ`S STUFFHijackThis.exe
C:WINDOWSSystem32imapi.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://youriskalka.com/sp.htm
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://youriskalka.com/index.htm
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://youriskalka.com/index.htm
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://youriskalka.com/sp.htm
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://youriskalka.com/index.htm
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – d:programyinstalacrobat readerReaderActiveXAcroIEHelper.ocx
O2 – BHO: (no name) – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:Program FilesNewDotNet ewdotnet6_30.dll
O2 – BHO: (no name) – {A5366673–E8CA–11D3–9CD9–0090271D075B} – D:PROGRAMYINSTALflashgetFLASHGETjccatch.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – D:PROGRAMYINSTALflashgetFLASHGETfgiebar.dll
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [AVGCtrl] D:ProgramyInstalantivirAVGNT.EXE /min
O4 – HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,NewDotNetStartup –s
O4 – HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 –k
O4 – HKCU..Run: [IEengine] C:Program FilesInternet ExplorerIEeng.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – D:ProgramyInstalflashgetFlashGetjc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – D:ProgramyInstalflashgetFlashGetjc_all.htm
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: FlashGet (HKLM)
O9 – Extra 'Tools' menuitem: &FlashGet (HKLM)
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O14 – IERESET.INF: START_PAGE_URL=http://www.wp.pl
O15 – Trusted Zone: *.05p.com
O15 – Trusted Zone: *.blazefind.com
O15 – Trusted Zone: *.clickspring.net
O15 – Trusted Zone: *.flingstone.com
O15 – Trusted Zone: *.mt–download.com
O15 – Trusted Zone: *.my–internet.info
O15 – Trusted Zone: *.scoobidoo.com
O15 – Trusted Zone: *.searchbarcash.com
O15 – Trusted Zone: *.searchmiracle.com
O15 – Trusted Zone: *.slotch.com
O16 – DPF: {166B1BCA–3F9C–11CF–8075–444553540000} (Shockwave ActiveX Control) – http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38158.5001273148
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Logfile of HijackThis v1.97.7
Scan saved at 17:48:25, on 2004–09–02
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
D:ProgramyInstalantivirAVGNT.EXE
C:WINDOWSSystem32 undll32.exe
C:Program FilesInternet ExplorerIEeng.exe
D:ProgramyInstalantivirAVWUPSRV.EXE
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:DOCUME~1DWIEST~1USTAWI~1TEMP\_VWUPSRV.EXE
D:ProgramyInstalantivirAVGUARD.EXE
E:\_setupsetup.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
D:ProgramyInstalCommander Total otalcmdTOTALCMD.EXE
D:WOYTAZ`S STUFFHijackThis.exe
C:WINDOWSSystem32imapi.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://youriskalka.com/sp.htm
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://youriskalka.com/index.htm
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://youriskalka.com/index.htm
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://youriskalka.com/sp.htm
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://youriskalka.com/index.htm
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – d:programyinstalacrobat readerReaderActiveXAcroIEHelper.ocx
O2 – BHO: (no name) – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:Program FilesNewDotNet ewdotnet6_30.dll
O2 – BHO: (no name) – {A5366673–E8CA–11D3–9CD9–0090271D075B} – D:PROGRAMYINSTALflashgetFLASHGETjccatch.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – D:PROGRAMYINSTALflashgetFLASHGETfgiebar.dll
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [AVGCtrl] D:ProgramyInstalantivirAVGNT.EXE /min
O4 – HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,NewDotNetStartup –s
O4 – HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 –k
O4 – HKCU..Run: [IEengine] C:Program FilesInternet ExplorerIEeng.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – D:ProgramyInstalflashgetFlashGetjc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – D:ProgramyInstalflashgetFlashGetjc_all.htm
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: FlashGet (HKLM)
O9 – Extra 'Tools' menuitem: &FlashGet (HKLM)
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O14 – IERESET.INF: START_PAGE_URL=http://www.wp.pl
O15 – Trusted Zone: *.05p.com
O15 – Trusted Zone: *.blazefind.com
O15 – Trusted Zone: *.clickspring.net
O15 – Trusted Zone: *.flingstone.com
O15 – Trusted Zone: *.mt–download.com
O15 – Trusted Zone: *.my–internet.info
O15 – Trusted Zone: *.scoobidoo.com
O15 – Trusted Zone: *.searchbarcash.com
O15 – Trusted Zone: *.searchmiracle.com
O15 – Trusted Zone: *.slotch.com
O16 – DPF: {166B1BCA–3F9C–11CF–8075–444553540000} (Shockwave ActiveX Control) – http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38158.5001273148
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Odpowiedzi: 7
newdotnet6_30.dll
NEWDOT~2.DLL
Czy uźyłeś 'odinstalera' z podanego linku :?: ,
Pare dni temu pomagałem rozwiązać ten sam przypadek i Remover sprawdza się w 100%, pochodzi on bowiem ze strony dystrybutora.
Gdyby nawet zdarzyło się tak abyś jakimś cudem go nie usunął to w tym linku opisane jest 5 róznych sposóbów na pozbycie się NewDotNet.
IEeng.exe przez niektóre firmy jest sklasyfikowany jako Spyware a przez niektóre jako TROJ_STARTPAG.AI
Cała procedura usuwania opisana jest tutaj.
IMO jeśli zabierasz się za usuwanie to naleźy zrobić to dokładnie, bo w Twoim przypadku mimo pozbycia się nieautoryzowanej zmiany strony startowej w systemie cały czas pozostają smieci takie jak nieaktywny proces Konia Trojańskiego i dwa moduły Malware.
Jeśli uwaźasz źe wystarczy Tobie takie rozwiązanie problemu to O.K nie podwaźam Twojego wyboru.
NEWDOT~2.DLL
Czy uźyłeś 'odinstalera' z podanego linku :?: ,
Pare dni temu pomagałem rozwiązać ten sam przypadek i Remover sprawdza się w 100%, pochodzi on bowiem ze strony dystrybutora.
Gdyby nawet zdarzyło się tak abyś jakimś cudem go nie usunął to w tym linku opisane jest 5 róznych sposóbów na pozbycie się NewDotNet.
IEeng.exe przez niektóre firmy jest sklasyfikowany jako Spyware a przez niektóre jako TROJ_STARTPAG.AI
Cała procedura usuwania opisana jest tutaj.
dwiestopy:
po trzecie pozbylem sie youriskalki i to jest chyba najwazniejsze...
IMO jeśli zabierasz się za usuwanie to naleźy zrobić to dokładnie, bo w Twoim przypadku mimo pozbycia się nieautoryzowanej zmiany strony startowej w systemie cały czas pozostają smieci takie jak nieaktywny proces Konia Trojańskiego i dwa moduły Malware.
Jeśli uwaźasz źe wystarczy Tobie takie rozwiązanie problemu to O.K nie podwaźam Twojego wyboru.
chodzi mi o te pliki:
newdotnet6_30.dll
NEWDOT~2.DLL
IEeng.exe
po drugie nie mam uruchomionego IEeng.exe.sprawdzalem w menadzerze
po trzecie pozbylem sie youriskalki i to jest chyba najwazniejsze.dzieki za pomoc!
newdotnet6_30.dll
NEWDOT~2.DLL
IEeng.exe
po drugie nie mam uruchomionego IEeng.exe.sprawdzalem w menadzerze
po trzecie pozbylem sie youriskalki i to jest chyba najwazniejsze.dzieki za pomoc!
Teraz to ja niezabardzo Ciebie dwiestopy rozumiem :P :mrgreen:
ale jakoś się dogadamy, więc napisze najprościej jak potrafię.
CWShredder posiada w swojej bazie definicje Youriskalka, potrafi ją wykryć i usunąć, ale aby to zrobił potrzebna jest najnowsza definicja którą musiałeś pobrać ( aktualna wersja aplikacji ).
Jeśli tego nie zrobił mimo aktualnej wersji to moźe to jakiś inny wariant.
Jakich trzech plików :?:
Jeśli biega o VWUPSRV.EXE to wyszukujesz plik za pomocą wyszukiwarki systemowej zaznaczając ukryte pliki i foldery teraz wybierasz właściwości tego pliku i sprawdzasz na zakładce wersja dostępne info tzn. firma, prawa autorskie itd.
Jeśli jest tam napisane ze firma H+BEDV lub w którejś pozycji jest napisane AntiVir
Personal Edition to wszystko jest wporządku.
IEeng.exe zakończ ten proces w menadzerze zadań potem wyszukaj i usuń.
A trzeci, to ja nie wiem który ma być trzeci :P :mrgreen: .
ale jakoś się dogadamy, więc napisze najprościej jak potrafię.
CWShredder posiada w swojej bazie definicje Youriskalka, potrafi ją wykryć i usunąć, ale aby to zrobił potrzebna jest najnowsza definicja którą musiałeś pobrać ( aktualna wersja aplikacji ).
Jeśli tego nie zrobił mimo aktualnej wersji to moźe to jakiś inny wariant.
Jakich trzech plików :?:
Jeśli biega o VWUPSRV.EXE to wyszukujesz plik za pomocą wyszukiwarki systemowej zaznaczając ukryte pliki i foldery teraz wybierasz właściwości tego pliku i sprawdzasz na zakładce wersja dostępne info tzn. firma, prawa autorskie itd.
Jeśli jest tam napisane ze firma H+BEDV lub w którejś pozycji jest napisane AntiVir
Personal Edition to wszystko jest wporządku.
IEeng.exe zakończ ten proces w menadzerze zadań potem wyszukaj i usuń.
A trzeci, to ja nie wiem który ma być trzeci :P :mrgreen: .
dzieki mcsr@by! wyrzuciłem to co zaleciłes i wszystko cacy :–) nie rozumiem natomiast twoich ostatnich wskazówek.uzywalem wczesniej cwshreddera i nie pomagalo.nie umiem tez wyrzucic tych trzech plikow.to sa pliki systemowe.nie da sie tego wyrzucic.dostep zabroniony.nie wiem jak sprawdzic tego antywirusa.pamietaj ze jestem laikiem jesli chodzi o kompy.prosze o prostsze wyjasnienie :–D
dzieki mcsr@by! wyrzuciłem to co zaleciłes i wszystko cacy :–) nie rozumiem natomiast twoich ostatnich wskazówek.uzywalem wczesniej cwshreddera i nie pomagalo.nie umiem tez wyrzucic tych trzech plikow.to sa pliki systemowe.nie da sie tego wyrzucic.dostep zabroniony.nie wiem jak sprawdzic tego antywirusa.pamietaj ze jestem laikiem jesli chodzi o kompy.prosze o prostsze wyjasnienie :–D
Wyłącz przywracanie systemu,
Fix :
Zakoncz w Task`u proces :
IEeng.exe
Wyszukaj zaznaczając ukryte pliki i foldery i usuń :
newdotnet6_30.dll
NEWDOT~2.DLL
IEeng.exe
Sprawdz czy w opcjach IE nie zostały dodane do zaufanych witryn adresy :
*.05p.com
*.blazefind.com
*.clickspring.net
*.flingstone.com
*.mt–download.com
*.my–internet.info
*.scoobidoo.com
*.searchbarcash.com
*.searchmiracle.com
*.slotch.com
jeśli tak to usuń.
Dodatkowo sprawdz :
VWUPSRV.EXE czy jest to AV Personal odpowiedzialny za Update sygnatur wirusów czy jest to Robak SDBOT.NM oraz sprawdz setup.exe
co to jest dokładnie.
Gdybyś sobie nie poradził manualnie to NewDotNet usuniesz za pomocą Uninstaller`a :
:arrow: http://www.newdotnet.com/removal.html
youriskalka.com/index.htm moźesz takźe pozbyć się za pomocą Remover`a CWShreder :
:arrow: http://209.133.47.200/~merijn/files/CWShredder.exe
Posiada on sygnaturę Youriskalka, tylko przed skanem zamknij aktywne okna i pobierz nową definicję sygnatur.
Po usunięciu włacz przywracanie.
W razie jakiś problemów daj znać.
Powodzenia.
Fix :
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://youriskalka.com/sp.htm
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://youriskalka.com/index.htm
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://youriskalka.com/index.htm
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://youriskalka.com/sp.htm
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://youriskalka.com/index.htm
O2 – BHO: (no name) – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:Program FilesNewDotNet ewdotnet6_30.dll
O4 – HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,NewDotNetStartup –s
O4 – HKCU..Run: [IEengine] C:Program FilesInternet ExplorerIEeng.exe
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O14 – IERESET.INF: START_PAGE_URL=http://www.wp.pl
O15 – Trusted Zone: *.05p.com
O15 – Trusted Zone: *.blazefind.com
O15 – Trusted Zone: *.clickspring.net
O15 – Trusted Zone: *.flingstone.com
O15 – Trusted Zone: *.mt–download.com
O15 – Trusted Zone: *.my–internet.info
O15 – Trusted Zone: *.scoobidoo.com
O15 – Trusted Zone: *.searchbarcash.com
O15 – Trusted Zone: *.searchmiracle.com
O15 – Trusted Zone: *.slotch.com
Zakoncz w Task`u proces :
IEeng.exe
Wyszukaj zaznaczając ukryte pliki i foldery i usuń :
newdotnet6_30.dll
NEWDOT~2.DLL
IEeng.exe
Sprawdz czy w opcjach IE nie zostały dodane do zaufanych witryn adresy :
*.05p.com
*.blazefind.com
*.clickspring.net
*.flingstone.com
*.mt–download.com
*.my–internet.info
*.scoobidoo.com
*.searchbarcash.com
*.searchmiracle.com
*.slotch.com
jeśli tak to usuń.
Dodatkowo sprawdz :
VWUPSRV.EXE czy jest to AV Personal odpowiedzialny za Update sygnatur wirusów czy jest to Robak SDBOT.NM oraz sprawdz setup.exe
co to jest dokładnie.
Gdybyś sobie nie poradził manualnie to NewDotNet usuniesz za pomocą Uninstaller`a :
:arrow: http://www.newdotnet.com/removal.html
youriskalka.com/index.htm moźesz takźe pozbyć się za pomocą Remover`a CWShreder :
:arrow: http://209.133.47.200/~merijn/files/CWShredder.exe
Posiada on sygnaturę Youriskalka, tylko przed skanem zamknij aktywne okna i pobierz nową definicję sygnatur.
Po usunięciu włacz przywracanie.
W razie jakiś problemów daj znać.
Powodzenia.
– ladna strona ta "youriskalka".
– ale próbuje uruchomić programy w tle, tak jak poniźej
– musisz wejść do trybu awaryjnego, wurzucic wpisy tej strony i skasować plik *.exe.
– najdziwniejsze źe źaden program nie zareagował, czyli pozostałe głuche takie programy jak:
1. norton anty–wirus
2. pest patrol
3. loook and Stop
– tylko Process Guard spełnił swoje zadanie.
:cry:
– ale próbuje uruchomić programy w tle, tak jak poniźej
2 Sep 18:17:16 – Block new and changed applications from running has been enabled
2 Sep 18:17:18 – Block Drivers has been enabled
2 Sep 18:17:21 – Block Global Hooks has been enabled
2 Sep 18:17:37 – [HOOK] c:program filescrazy browsercrazy browser.exe [320] was blocked from creating a global Mouse hook [00000007][00000000]
2 Sep 18:17:43 – [EXECUTION] c:program filescrazy browsercrazy browser.exe with commandline "c:program filescrazy browsercrazy browser.exe" was ALLOWED to run
2 Sep 18:19:11 – [HOOK] c:program filescrazy browsercrazy browser.exe [540] was blocked from creating a global Mouse hook [00000007][00000000]
2 Sep 18:19:41 – [EXECUTION] f: empiinstall.exe with commandline "f: empiinstall.exe" /aid:125781 /key:712b91391d4d92708f800f0c760a7221 /lock:1094141956 /cfg:xtb /sub: was BLOCKED from running
– musisz wejść do trybu awaryjnego, wurzucic wpisy tej strony i skasować plik *.exe.
– najdziwniejsze źe źaden program nie zareagował, czyli pozostałe głuche takie programy jak:
1. norton anty–wirus
2. pest patrol
3. loook and Stop
– tylko Process Guard spełnił swoje zadanie.
:cry:
Strona 1 / 1