[Signal]

idézet:

---

Ezt írta bull1:
Én 1 hete sívok vele, minden ilyen tartalmú kulcsot töröltem a regisrtibõl, az url fájlokat is töröltem.
nincs sys.log, nincs winini.ini sem, meg a registriben sem semmi, meg meg az svchost-ban se. Nekem alulra hoz be egy keresõ valamit, a kezdõlapnál meg beteszi a régi elé a síját címét: skcr.com vagy valami ilyesmi. Adaware nem segít, minden nap frissítek, ha van mit letölteni.
[/quote] Ezzel nézd meg, mit mutat:

[url="http://"http://www.mjc1.com/files/merijn/hijackthis.exe"]http://www.mjc1.com/.../hijackthis.exe[/url]

idézet:

---

Most találta itt valamit, amit nem tudok törölni (filemon találta )) ) c:dokumen~1bullapplication datadthhlyck.exe
Mi ez nem tudjátok?
[/quote] Nem kellene ott lennie, ilyen névvel valószínûleg vírus. Ráadásul fut, azért nem tudod törölni. A Hijackthis elvileg megmutatja, hol van beírodva a registrybe, ami által elindul.

[SumQuiSum]

A másik topicból:
Meglett a probléma:
A VX2.betterinternet és jraun terrorizált. Az elsõt AdAware-rel és manuálisan sikerült eltávolítani (csökkentett módban átnevezni a msg117.dll-t, majd normálban törölni), a másodikat pedig szemét módon a [url="http://"http://www.jraun.com"]www.jraun.com[/url] alján van egy link a saját eltávolító programjukra. Ezzel kapcsolatban nagyon csúnya szavak jutottak eszembe...
Egyébként a symantec.com szerint a NAV-nak fel kellene ismernie a jraun-t, de nálam b@aszott felismerni... (((


SQS

[e-lias]

idézet:

---

Ezt írta Signal:
Nem kellene ott lennie, ilyen névvel valószínûleg vírus. Ráadásul fut, azért nem tudod törölni. A Hijackthis elvileg megmutatja, hol van beírodva a registrybe, ami által elindul.[/quote]

A futásra ráöttem közben, le is töröltem. Meg minden filet, ami a Dokome~1bull..Temp gyökerében volt, mert ott is aktivitást leltem. A lényeg az, hogy most reggel nem változott a kezdõlapom. Mindent köszi!

Ez a Filemon nagyon jó találmány!!

[zoli62]

Gyakori, hogy az oldalon ott van a kérdés: miért szeretnéd unistallálni a programot. Ezen már meglepõdni sem érdemes.

[joe39]

áthozom ide a kérdésemet.
minden fentebb említett progival, víruskeresõvel adawarerel, stb... átnéztem a gépem, ill a futó xp-met. ie6 frissítés is történt.
és a magyar oldalak 9x%-át nem érem el.
ugyanezen gép, másik vinyóról bootolva minden rendben.
mi lehet a hiba?

[Brokkoli]

a kezdõlapnál meg beteszi a régi elé a síját címét: skcr.com vagy valami ilyesmi. Adaware nem segít, minden nap frissítek, ha van mit letölteni.

Ha ilyen elé betevõs túróval van dolgotok, akkor a következõ helyen tudtok javítani:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix]
@="http://"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLPrefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"


A look... szemét pedig egy dll segítségével írja újra magát, amelyet úgy találhattok meg, hogy a "look..." nevet szövegkereséssel keresitek.
Ha megvan a jelzett dll, akkor a regsvr32 /u (dll elérési út) paranccsal kiregisztráljátok, oszt delete.

Ha komplett cimet nyom a beirt url elé, akkor az indítások megszüntetése után érdemes az adott címmel végigkeresni a registry-t és a google-ra átirni. Bár gondolom ezzel újat nem mondtam.

[ 2004. február 08.: Brokkoli szerkesztette a hozzászólást ]

[Brokkoli]

és a magyar oldalak 9x%-át nem érem el.

A systernals tcpview-val nézd meg hova kapcsolódik origó kérésre. Nem egy proxy cimre?

[joe39]

idézet:

---

Ezt írta Brokkoli:
és a magyar oldalak 9x%-át nem érem el.

A systernals tcpview-val nézd meg hova kapcsolódik origó kérésre. Nem egy proxy cimre?[/quote]
nagynehezen fogott valamit:

a213.136.9.183.deploy.akamaitechnologies.com:http

[Brokkoli]

az ip a tied, de a deploy,akai..-tal sokan foglalkoznak.
A guglin böngészem.

[joe39]

idézet:

---

Ezt írta Brokkoli:
az ip a tied, de a deploy,akai..-tal sokan foglalkoznak.
A guglin böngészem.[/quote]

nem az enyém, és a guglin is hasonló panaszokat találtam, megoldást még nem.
letöltöttem még néhány spyware-t, ami az adaware után is talált valamit, de csak a fizetõs verzió törli a nemkívánatos elemeket.

nos megoldódott a gond (21:35), a hálókártya beállításaiban a dns-t fixre írta valamilyen ügynök.

[ 2004. február 08.: joe39 szerkesztette a hozzászólást ]

[e-lias]

Megint találtam érdekeset, bár nemtom mi az. A futó processek között leltem egy xfr.exe-, és nem tudom mi az. Nem babrál(most)semmiben, filemon nem jelezte ki. De fut, és nem lehet lelõni. Nem tudjátok mi lehet?

Ja! Itt van: WINNTsystem32CBA. ???

[ 2004. február 10.: bull1 szerkesztette a hozzászólást ]

[Sztee]

idézet:

---

Ezt írta bull1:
Megint találtam érdekeset, bár nemtom mi az. A futó processek között leltem egy xfr.exe-, és nem tudom mi az. Nem babrál(most)semmiben, filemon nem jelezte ki. De fut, és nem lehet lelõni. Nem tudjátok mi lehet?

Ja! Itt van: WINNTsystem32CBA. ???

[ 2004. február 10.: bull1 szerkesztette a hozzászólást ][/quote]

idézet:

---

xfr.exe - Intel File Transfer
Part of Intel's LANDesk Management Suite 6 and the Common Base Agent (CBA) - used for communicating between the core server and managed clients [/quote]

Szóval "jófiú"

[e-lias]

idézet:

---

Ezt írta Sztee:


Szóval "jófiú" [/quote]

Akkor még jó, hogy nem kapkodtam ész nélkül a del billentyû után. Köszi!!

[Lala9]

Engem is megtalált ez a probléma, és még csak sex oldalakat sem nézegettem. Már küzdök vele egy ideje, de nem találom a megoldást. Mindig a "http://www.magicsearch.ws/" oldalt állítja be kezdõ oldalnak. Ad-aware 6.0 megtalálja a registry beállításokat, törli is õket, de az explorer újraindítása után ismételten fennál a probléma. Nem találom a bûnös fájlt ami csinálja. Az Ad-aware "Possible Browser Hijack attempt" néven ismeri fel, de csak a registryben. Eddig soha nem volt még dolgom ilyen "böngészõ kém" programmal. Hogy találjam meg a bûnös fájlt? Amiket itt a topicban leírtatok kipróbáltam, de eredmény nélkül. Nagyon idegesítõ tud lenni egy ilyen kis genya program.

Üdv.:Lala

[lameXpert]

Állítólag az olvasás sok mindenben tud segíteni.....

Idézet

CWShredder 1.53.4



A small utility for removing CoolWebSearch (aka CoolWwwSearch, YouFindAll, White-Pages.ws and a dozen other names). Spybot S&D tends to forget essential parts of the hijack, so until it updates, you can just this to completely remove the hijack. Updated to remove the new variants once they come out.

More information on the CWS hijacker, including recent variants of it, can be found here.

Note: CoolWWWSearch.SmartKiller (v1 and v2) is a new, real ugly variant of CoolWWWSearch. When running, it will close every browser window you use to visit a large list of anti-spyware-sites, and even will close Spybot-S&D and some other anti-spyware applications as well. Download CoolWWWSearch.SmartKiller (v1/v2) MiniRemoval which can disable this latest version.

Szerkesztette: lameXpert 2004. 04. 07. 15:42 -kor

[Lala9]

idézet:

---

Ezt írta lameXpert:
Állítólag az olvasás sok mindenben tud segíteni.....

[/quote]

Ó Lame, ha nõ lennél kapnál egy nagy puszit
Csak egy délután ment el erre, és fél perc alatt is megoldható lett volna.
Köszönöm szépen!

[Attish]

Végigolvastam a topicot (nagyrészt), hátha valaki beleszaladt az én problémámba, de nem találtam hasonló esetet. Szóval:

Az én esetemben az IE kezdõlapja blank, de olyan mégis, mintha egy "háttérkép" lenne az üres lapon tele linkekkel. Az összes link egy cc.mizuba.org nevû helyre mutat. Széttúrtam érte a regitryt, a reg állományokat, de semmi. Ráeresztettem egy rakat progit (antivir, spyware, stb), semmi. Fogalmam sincs, mi a fene ez, de olyan, mintha a blank.htm-be írt volna bele valami. Ilyen fájl ugyan nincs, de a registryben több ilyen hivatkozás van: "res://mshtml.dll/blank.htm".

Szóval valami további tipp?
Kellemes hétvégét.

[Kontar]

Nékem a gondom az állandoan elindul 2web oldal automatikussan .Gép inditáskor az asztalon megjelenik a web linkjük is.Probáltam már a fent emlitett programok mindegyikét mit lehetne még?

[Brokkoli]

cc.mizuba.org:
Nézd meg melyik fájl tartalmazza.
Kereséssel próbáld - szövegként.

[Attish]

idézet:

---

Ezt írta Brokkoli:
cc.mizuba.org:
Nézd meg melyik fájl tartalmazza.
Kereséssel próbáld - szövegként.[/quote]

A tipp jó volt, Brokkoli, és a megoldás, hátha valaki rászalad még: A %system% könyvtárba bekerült egy winres.dll nevõ állomány (ezt az említett string keresésével szúrtam ki) - na ez csinálja az egész balhét. Kitöröltem, megszûnt.

köszi és üdv.