[snmapo]

Egy hete küzdök a problémával: valami alantas program folyton átírja az Internet Explorerben megadott kezdõlapot.
A t.rack.cc címet írja be, és ez egy rendkívül primitív kezdõöldalra irányít, a cool-search.net - re.
Hiába irtom ki még a registrybõl is az összes t.rack.cc bejegyzést, az IE újraindításakor már újra kezdõlapként szerepel.
Víruskeresõkkel többször átnéztem a gépemet, ám semmiféle vírust nem találtak. Lefuttattam az Ad-Aware és a Spybot programokat, szintén eredmény nélkül.
A Google-ban keresve magyar oldalon nem találtam a t.rack.cc-vel kapcsolatos írást. Angol nyelven van, sok megoldást javasolnak - egyik sem használható.
A Symantec cég ismertet egy trójai vírust, ami ezt beírja, ám az enyém feltehetõleg nem az, mivel a legújabb frissítéssel sem talált ilyen vírust.
Megkerestem az összes olyan fájlt a számítógépemen, amiben szerepel a t.rack.cc url, és mindenhonnan kiirtottam - szintén eredmény nélkül.
Segítsetek, ha tudtok! Akár a vírus felkutatásában, akár abban, hogyan lehetne letiltani a kezdõlap átírását. snmapo@chello.hu

[ratonyi]

idézet:

---

Ezt írta snmapo:
Egy hete küzdök a problémával[/quote]

Egy levelezõlistára írta valaki, ugyanerre a problémára (neki teen-biz lett a kezdõoldala):

Igen, rákerestem, és érdekes dolog derült ki. A ludas a dologban az SVCHOST.EXE volt. Az Egér által ajánlott keresés erre a fájlra mutatott, és mikor belenéztem egyszerû szövegszerkesztõvel (!?), ott volt benne a teen-biz bejegyzés. Jobban szétnézve szembetûnt az is, hogy láthatoan ez az SVCHOST.EXE nem a c:windowssystem32 könyvtárból indult, hanem a c:windows -ból. A c:windowssystem32 -ben persze ott volt az eredeti SVCHOST.EXE.

Eljárás:
Kilõttem az összes futó SVCHOST.EXE-t a Taskmanager-rel,
Kitöröltem a fertõzött c:windowssvchost.exe-t
A registryben a HCUSoftwareMicrosoftWindowsCurrentVersionrun
bejegyzésben átirtam az útvonalat c:windowssvchost.exe - rõl
c:windowssystem32svchost.exe-re.

De a jövõre nézve megfontolnám az IE használatát is

[lameXpert]

idézet:

---

Ezt írta ratonyi:
.......De a jövõre nézve megfontolnám az IE használatát is [/quote]

Viszont, ha jobban belegondolnál rájönnél, hogy egy vírus vagy trójai mûködése nem a böngészõ típusától függ

[mocsi]

idézet:

---

Ezt írta lameXpert:


Viszont, ha jobban belegondolnál rájönnél, hogy egy vírus vagy trójai mûködése nem a böngészõ típusától függ [/quote]

Kiveve azokat, melyek a beallitasokat az IE-tol veszik el. Pl. proxy, smtp server, stb,stb.
Kenyelmes olyasmira irni gonoszkodast, melyet a tulnyomo tobbseg hasznal.

[snmapo]

idézet:

---

Ezt írta ratonyi:


Egy levelezõlistára írta valaki, ugyanerre a problémára (neki teen-biz lett a kezdõoldala):

Igen, rákerestem, és érdekes dolog derült ki. A ludas a dologban az SVCHOST.EXE volt. Az Egér által ajánlott keresés erre a fájlra mutatott, és mikor belenéztem egyszerû szövegszerkesztõvel (!?), ott volt benne a teen-biz bejegyzés. Jobban szétnézve szembetûnt az is, hogy láthatoan ez az SVCHOST.EXE nem a c:windowssystem32 könyvtárból indult, hanem a c:windows -ból. A c:windowssystem32 -ben persze ott volt az eredeti SVCHOST.EXE.

Eljárás:
Kilõttem az összes futó SVCHOST.EXE-t a Taskmanager-rel,
Kitöröltem a fertõzött c:windowssvchost.exe-t
A registryben a HCUSoftwareMicrosoftWindowsCurrentVersionrun
bejegyzésben átirtam az útvonalat c:windowssvchost.exe - rõl
c:windowssystem32svchost.exe-re.

De a jövõre nézve megfontolnám az IE használatát is [/quote]

______Kösz a tippet -- nálam ez sem jött be sajnos.
A registryben a jelzett helyen nincs is megadva nálam svchost.
A Windowssytem32 könyvtárban levõ svchost.exe fájlt megnyitottam, nincs benne a keresett string. És ezt a fájlt nem merem kitörölni, mert nem tudom pótolni.
A problémám tehát továbbra is fennál, a genyó kezdõlap beíródik.
S ha sikerülne is kiirtani, a jövõben hasonlóképp átírhatják szemét srciptek, amik megkerülik a tûzfalat meg az antivírust.
Az volna a megoldás, ha valahogy le lehetne tiltani a kezdõlap megváltoztatását, de ilyet még senki nem tudott.

[Nevergone]

Adware programot néztél már...?

[donpepe]

idézet:

---

Ezt írta NeverGone & Tökei powered by: HWSW:
Adware programot néztél már...?[/quote]

""Lefuttattam az Ad-Aware és a Spybot programokat, szintén eredmény nélkül."

[lameXpert]

idézet:

---

Ezt írta snmapo:
......S ha sikerülne is kiirtani, a jövõben hasonlóképp átírhatják szemét srciptek, amik megkerülik a tûzfalat meg az antivírust.
Az volna a megoldás, ha valahogy le lehetne tiltani a kezdõlap megváltoztatását, de ilyet még senki nem tudott.[/quote]

Pedig a registryben le lehet tiltani ([url="http://"http://www.xteq.com/downloads/"]X-Setup[/url]).

A probléma mindössze annyi, hogy ezt a vírusok is tudják esetleg.

[lameXpert]

idézet:

---

Ezt írta mocsi:


Kiveve azokat, melyek a beallitasokat az IE-tol veszik el. Pl. proxy, smtp server, stb,stb.
Kenyelmes olyasmira irni gonoszkodast, melyet a tulnyomo tobbseg hasznal.[/quote]

Ami ugye annyit jelent, hogy ezt a böngészõ típusától függetlenül meg lehet csinálni.....

[Netmaster]

idézet:

---

Ezt írta donpepe:


""Lefuttattam az Ad-Aware és a Spybot programokat, szintén eredmény nélkül."
[/quote]

Azonban az nem derült ki, milyen verziójú volt. Mindenképpen érdemes beszerezni a legfrissebb Ad Awaret és frissíteni a referenciafile-ját is.
A témát átdobom a Microsoft OS témakörbe.

[NeoPampalini]

idézet:

---

Ezt írta snmapo:

A Windowssytem32 könyvtárban levõ svchost.exe fájlt megnyitottam, nincs benne a keresett string.
[/quote]

Ez csak azért van, mert nem figyeltél eléggé

Ugyanis:

idézet:

---

Jobban szétnézve szembetûnt az is, hogy láthatoan ez az SVCHOST.EXE nem a c:windowssystem32 könyvtárból indult, hanem a c:windows -ból. A c:windowssystem32 -ben persze ott volt az eredeti SVCHOST.EXE.[/quote]

Hmmm...?

[mocsi]

idézet:

---

Ezt írta lameXpert:


Ami ugye annyit jelent, hogy ezt a böngészõ típusától függetlenül meg lehet csinálni.....[/quote]

Amit nem tesz meg az ember, ha pl. nem IE-t hasznal...

[snmapo]

idézet:

---

Ezt írta NeoPampalini:


Hmmm...? [/quote]

________Csak a system32 könytárban van nekem svchost.
A másik helyrõl már korábban kiirtottam, amikor a Norton fertõzöttnek találta és nem tudta javítani.
Fent nevezett stringet [t.rack.cc] pedig nem azért nem leltem, mert figyelmetlen vagyok. Keresõvel néztem.
Különben felraktam egy Start Page Guard nevû progsit, de az is csak annyit segít, hogy jelzi, ha megváltozott a kezdõlap, s egy gombnyomásra visszaállíthatom vele, nem kell külön bemenni az Internet-beállításokba és beírni.
A problémát tehát nem oldja meg, csak könnyebben kezelhetõvé teszi.
Azért, ha valakit érdekel, ideírom, honnét töltöttem le: [url="http://"http://www.spywareinfo.com/downloads/spg/"]http://www.spywarein.../downloads/spg/[/url]

[Anteris]

idézet:

---

Ezt írta snmapo:
Egy hete küzdök a problémával: valami alantas program folyton átírja az Internet Explorerben megadott kezdõlapot.
A t.rack.cc címet írja be, és ez egy rendkívül primitív kezdõöldalra irányít, a cool-search.net - re.
Hiába irtom ki még a registrybõl is az összes t.rack.cc bejegyzést, az IE újraindításakor már újra kezdõlapként szerepel.
Víruskeresõkkel többször átnéztem a gépemet, ám semmiféle vírust nem találtak. Lefuttattam az Ad-Aware és a Spybot programokat, szintén eredmény nélkül.
A Google-ban keresve magyar oldalon nem találtam a t.rack.cc-vel kapcsolatos írást. Angol nyelven van, sok megoldást javasolnak - egyik sem használható.
A Symantec cég ismertet egy trójai vírust, ami ezt beírja, ám az enyém feltehetõleg nem az, mivel a legújabb frissítéssel sem talált ilyen vírust.
Megkerestem az összes olyan fájlt a számítógépemen, amiben szerepel a t.rack.cc url, és mindenhonnan kiirtottam - szintén eredmény nélkül.
Segítsetek, ha tudtok! Akár a vírus felkutatásában, akár abban, hogyan lehetne letiltani a kezdõlap átírását. snmapo@chello.hu [/quote]

Na szaki, én ugyanezzel szívok és hogy "megnyugtassalak" jelenleg nincs rá megoldás. Végigtúrtam az egész netet, semmi. Öteletek vannak, megoldás nincs.


itt a topik ahol errõl van szó (tulajdonképpen nem is e kapcsán indult, csak menetközben beszoptam én is ezt a dolgot):

[url="http://"https://www.hwsw.hu/perl/ultimatebb.cgi?ubb=get_topic&f=2&t=003902"]https://www.hwsw.hu/...ic&f=2&t=003902[/url]

[ 2003. december 09.: Anteris szerkesztette a hozzászólást ]

[Anteris]

idézet:

---

Ezt írta snmapo:

...Az volna a megoldás, ha valahogy le lehetne tiltani a kezdõlap megváltoztatását, de ilyet még senki nem tudott.[/quote]

nem is ez a legnagyobb probléma, mert ezt még ki lehetne bírni, de a TUDAT, hogy ott van valami a gépeden ami nem áll az ellenõrzésed alatt és azt csinál a hátad mögött a tudtod nélkül, ez a szörnyû.

[NeoPampalini]

A "t.rack.cc" és "cool-search.net" címek letiltása sem segít? Legalábbis akkor már nem fog betöltõdni a kezdõlap, elméletileg

[jordan6]

vírusírtás volt már? mert a W32.Welchia.Worm pélául megfertõzi az svchost.exe-t tudtommal...
a symantec oldalán van specifikus vírusölõ hozzá!

[ 2003. december 09.: jordan6 szerkesztette a hozzászólást ]

[Anteris]

idézet:

---

Ezt írta NeoPampalini:
A "t.rack.cc" és "cool-search.net" címek letiltása sem segít? Legalábbis akkor már nem fog betöltõdni a kezdõlap, elméletileg [/quote]

Oh NeoPampalini Uram, bárcsal ilyen egyszerû lenne az élet!

[snmapo]

idézet:

---

Ezt írta jordan6:
vírusírtás volt már? mert a W32.Welchia.Worm pélául megfertõzi az svchost.exe-t tudtommal...
a symantec oldalán van specifikus vírusölõ hozzá!

[ 2003. december 09.: jordan6 szerkesztette a hozzászólást ][/quote]

________M E G L D O T T A M !!!
Elbántam a gazemberrel! Annak, aki ugyanezzel a problémával küzd, s mindenkinek, akit érdekel, leírom, hogyan:
A tetû a WINDOWS könyvtárban elhelyez egy
sys.reg
nevû fájlt. Ez áll benne:

REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Start Page"="http://t.rack.cc/ph.php"
"HOMEOldSP"="http://t.rack.cc/ph.php"
"Search Bar"="http://t.rack.cc/ph.php"
"Search Page"="http://t.rack.cc/ph.php"
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearch]
"SearchAssistant"="http://t.rack.cc/ph.php"
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Start Page"="http://t.rack.cc/ph.php"
"HOMEOldSP"="http://t.rack.cc/ph.php"
"Search Bar"="http://t.rack.cc/ph.php"
"Search Page"="http://t.rack.cc/ph.php"
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch]
"SearchAssistant"="http://t.rack.cc/ph.php"
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
sys regedit -s sys.reg

Innen írja vissza az átkozott stringeket a registrybe.
Az utolsó sora intézkedik ennek végrehajtásáról, ezt beírja a STARTUP menübe.
Valószínûleg egy láthatatlanná tett fájl automatikusan létrehozza ezt a sys.reg-et, mert hiába töröltem ki, visszarakta.
Ekkor bedühödtem, lecseréltem az átkozott stringeket a kezdõlapom címére (nekem startlap.com), töröltem az utolsó sort, majd mentés után ÍRÁSVÉDETTé tettem.
Azután a REGISTRY-szerkesztõvel megkerestem és lecseréltem az ominózus stringeket - az összeset, kivéve a SYMANTEC könyvtárban levõket, ahol letiltásként szerepelnek, mert az Internet Security-ban letiltottam ezt az oldalt.
Szintén a WINDOWS könyvtárban a tetûláda elhelyezett egy
sysini.ini
nevû fájlt is, ebben értesít róla, hogy a számítógép sikeresen megfertõzve (***computer was succesfully infected***) -- ezzel nem kell törõdni, ez csak a pöcsfejû vírusíró büszkélkedése.
A STARTUP menübõl pedig kihajítottam a "sys regedit -s sys.reg" sort -- ehhez a System Mechanic programot használtam, de el lehet "kézzel" is végezni.
Többszöri gépindítás és vagy harmincszori IE-indítás után sem jelentkezett többé a probléma. (Ha szerencsém van, akkor végleg sikerült hatástalanítani a gonoszt.)
Természetesen lehet, hogy másnál nem ugyanezt a szennylapot adta meg, de rá fogtok ismerni a nem odavaló stringekre, ha látjátok.
Hát remélem, vége...

[Anteris]

idézet:

---

Ezt írta snmapo:

________M E G L D O T T A M !!!
Hát remélem, vége...[/quote]

SNMAPO, baszki, király vagy!!!




tényleg le lett húzva a klozeton a kisköcsög! Legalább is nagyon bízom benne.