Jak się tego pozbyć???

28.05.2004

16:39

[3]

m6a6t6i [ hate me! ]

uuuu... kiepska sprawa. musisz komputer wymienic na nowy.

ps. mozesz mi ten przyslac jak juz kupisz nowy

a tak siero to masz pewnie jakiegos dialera zainstalowanego.

28.05.2004

16:41

[4]

zarith [ ]

to już piąta moja rada tego dnia, która mówi to samo: zainstaluj ad aware, ściągnij najnowsze definicje i przeskanuj nim kompa

28.05.2004

16:53

[5]

Trzepiskor [ SETH ]

spy-bot

28.05.2004

16:56

[6]

Bregan a.k.a. Czapajew [ Senator ]

Kolejny erotoman...

28.05.2004

17:00

[7]

kayler01 [ Pretorianin ]

Mam adaware niby skanuje znajduje i kasuje ale po restarcie kompa dalej to samo.
Uzywalem kilku programów spybot i podobnego pokroju.Nie wiem co robic.
Format odpada.

28.05.2004

17:01

[8]

kayler01 [ Pretorianin ]

Tego CWShredder 1.57.0 tez mam skanuje znajduje kasuje i dalej to samo zmieniam storne kilka minut chodzi na moich ustawien a potem sytuacja sie powtarza.

29.05.2004

12:03

[9]

kayler01 [ Pretorianin ]

Help!!!

29.05.2004

12:09

[10]

U_N [ -KOCHAM ANIE- ]

wlasnie wrzucam Ad-Ware na swojego maila jak chcesz to mi daj swoj adres ci wysle

29.05.2004

12:11

[11]

U_N [ -KOCHAM ANIE- ]

a sorki, nie czytalem do konca postow

Drackula [ Bloody Rider ]

ile raz y trzeba powtarzac. Gdzies na dole tej stronki jest link do programiku ktory usuwa ta stronke z kompa. Wystarczy dobrze poszukac.

Ale bede tak dobry i Ci go przesle ja kw najblizszych 5 minutach podasz maila

29.05.2004

12:17

[13]

kayler01 [ Pretorianin ]

[email protected]

Subby [ Konsul ]

Co Ci może pomóc? Wspomniany Ad-aware, spybot, Spysweeper. A jak to zawodzi, to sięgamy po wyższą półkę: CWS.Shredder. Dalej? Zainstaluj Hijack this! i spróbuj. Jeżeli nie pomoże, opublikuj loga stamtąd. Może coś jeszcze wykombinujemy. Dobrze by było, gdybyś znał czas, kiedy to zaszło. Wtedy wyszukujesz wszystkie utworzone wtedy pliki, i wywalasz. (szczególnie te podszywające się pod systemowe). Poza tym, twój system trzyma boot recordy z ostatnich pięciu dni - możesz załadować któryś.

Drackula [ Bloody Rider ]

poszlo

29.05.2004

12:27

[16]

kayler01 [ Pretorianin ]

Dracula> Uninstaluje ale i tak dalej to jest kurde

kayler01 [ Pretorianin ]

No to pozostał mi Hijack this! :(

29.05.2004

12:43

[18]

*...:::JaRo:::...* [ stara beka dobrze kisi ]

Ale żabki są wypas :D

29.05.2004

12:44

[19]

czesterek [ Konsul ]

ja miałem identyczną stronke jak na rys 2, w roziwązaniu tego problemu pomógł mi CWShredder i juz mam po kłopocie i

29.05.2004

12:44

[20]

*...:::JaRo:::...* [ stara beka dobrze kisi ]

Nie sorki to świerszyczki :)

29.05.2004

12:45

[21]

Subby [ Konsul ]

Tylko przed czyszczeniem rejestru w Hijack'u wywal te rzeczy, których jesteś pewien, że są związane z tym wirusem. Możliwe, że po ponownym uruchomienia komputera, wywalone elementy powrócą. W każdym razie - opublikuj loga.

kayler01 [ Pretorianin ]

Logfile of HijackThis v1.97.7
Scan saved at 12:52:03, on 2004-05-29
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
D:\PROGRA~1\WANADOO\TaskbarIcon.exe
D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
D:\Program Files\Winamp\winampa.exe
C:\Program Files\Internet Explorer\Iesearch.exe
D:\Program Files\WindowsSA\omniscient.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
E:\Program Files\nort\navapsvc.exe
E:\Program Files\nort\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Organizer Pro 2\Ie_org_pro.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Gadu-Gadu\gg.exe
D:\Documents and Settings\Łukasz\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://all-find.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = https://jksearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = https://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=D:\Windows\System32\wsaupdater.exe,
O2 - BHO: (no name) - ‹83DE62E0-5805-11D8-9B25-00E04C60FAF2› - D:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - ‹B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D› - D:\msopt.dll
O2 - BHO: NAV Helper - ‹BDF3E430-B101-42AD-A544-FADC6B084872› - E:\Program Files\nort\NavShExt.dll
O2 - BHO: (no name) - ‹D3190C5E-C3A8-4818-9976-F23CDCAFE7A5› - D:\WINDOWS\System32\mjn.dll
O3 - Toolbar: &Radio - ‹8E718888-423F-11D2-876E-00A0C9082467› - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - ‹42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6› - E:\Program Files\nort\NavShExt.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\nort\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Iesearch.exe] C:\Program Files\Internet Explorer\Iesearch.exe
O4 - HKLM\..\Run: [KonektorTP] "d:\program files\konektortp\konektortp.exe" tray
O4 - HKLM\..\Run: [Windows SA] D:\Program Files\WindowsSA\omniscient.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [SpyKiller] D:\Program Files\SpyKiller\spykiller.exe /startup
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: ‹166B1BCA-3F9C-11CF-8075-444553540000› (Shockwave ActiveX Control) - https://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: ‹9C691A33-7DDA-4C2F-BE4C-C176083F35CF› (brdg Class) - https://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: ‹9EB320CE-BE1D-4304-A081-4B4665414BEF› - https://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: ‹9F1C11AA-197B-4942-BA54-47A8489BB47F› (Update Class) - https://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38045.0849652778
O16 - DPF: ‹AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A› - https://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cab
O16 - DPF: ‹E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7› (MainControl Class) - https://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\‹E25E7367-C0EB-4C21-B0B6-D81D2B4CFC2F›: NameServer = 194.204.152.34 217.98.63.164

29.05.2004

12:59

[23]

kayler01 [ Pretorianin ]

CWShredder znajduje i usuwa cos takiego ==>

Jednak to powraca :(

czesterek [ Konsul ]

to ja najwyraźniej miałem szczescie :)

29.05.2004

13:22

[25]

kayler01 [ Pretorianin ]

O co ja ma zrobić ? :(

kayler01 [ Pretorianin ]

łeeeeeeeeeeeeeee nie zostawiajcie mnie :)

29.05.2004

13:46

[27]

o^scar^^ [ GRWD ]

fajne te owadki są podaj mi stronke :] heh

29.05.2004

20:21

[28]

Subby [ Konsul ]

Sorry, że tak długo. Miałem egzamin First Certificate Exam, z którym nawiasem mówiąc sobie dobrze poradziłem :).

Więc tak: najpierw znajdź plik system32.dll i go........usuń. Następnie, za pomocą menedżera urządzeń (czyli alt+ctrl+del) wyłącz WSZYSTKIE programy poza explorerem (nawet lepiej by było, gdybyś zrobił to wszystko w trybie awaryjnym. Dla przypomnienia - przy włączaniu komputera, jeszcze zanim windows zacznie się ładować, trzymaj F8) i wywal wpisy zaznaczone następująco:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://jksearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://all-find.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = https://jksearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = https://jksearch.biz/

Nie wiem, czy to nie są wpisy jakiegoś innego ad-ware'u który masz, czy też programu użytkowego, gdyż poniższe wpisy nie są charakterystyczne dla tego hijackera, ale w przypadku dalszych niepowodzeń, wykonaj wszystkie powyższe kroki, i jeszcze usuń pliki: mjn.dll i sp.html oraz wpisy:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\mjn.dll/sp.html (obfuscated)

29.05.2004

20:22

[29]

Subby [ Konsul ]

I koniecznie zamieść wiadomość o tym, jak sobie poradziłeś, oraz kolejny log.

Subby [ Konsul ]

Aha - najważniejsze, ale zawsze wylatuje z głowy :-). W przypadku stwierdzenia obecności plików: dlm.exe, dl.exe, dl.htm, dlm.htm - wywalić natychmiast.

Podane przeze mnie pliki są najczęściej w C:\(ew. d:\)Windows\System, lub C:\Windows\System32

30.05.2004

16:01

[31]

Subby [ Konsul ]

I jak?