Internet-kezdõlap megváltozása

(35 Oldal)
« Elsõ
←
24
25
26
27
28
→
Utolsó »

Nem indíthatsz témát.
A téma zárva.

Internet-kezdõlap megváltozása (pl.: searchx.cc)

#501 Gaspy

Törzsvendég

Csoport: Fórumtag
Hozzászólások: 1.697
Csatlakozott: --

Elküldve: 2004. 12. 20. 19:39

Niceday!nekem a te általad ajánlott progival sikerült kiküszöbölnöm a hibát

Asus A7N8X rev 2.0, AMD Athlon XP 3200+, 2*512 Mb DDR400 RAM(Samsung+Hynix), Chaintech 6800GT, 200GB Samsung PATA 133+60GB Samsung PATA 100, LG DVD-ROM, NEC 4550A DVD-RW(black), SB Live! 24 bit, Creative Inspire P5800 5.1, LG 1730B TFT, Macron 400W, Windows XP hun with Service Pack 2

${lang:go_to_top}$
Tetejére of the page up there ^

#502 hapi

Csoport: Fórumtag
Hozzászólások: 105
Csatlakozott: --

Elküldve: 2004. 12. 31. 01:42

Azt hiszem én is beálltam sorba, és besz...tam egy trójait ami megváltoztatja a kezdõlapomat. Én tudtam azonosítani, mert a NOD32 kiírja hogy van de nem tud vele semmit kezdenii. A neve a kis aranyosnak:
TLBAssUI.exe, Startpage.NBS1 trojan
Nem értem miért van az hogy a fizetõs vírusirtóm felismeri a férget de semmit nem tud ellene tenni még a legújabb update sem. Ez már egy hete így van, és végig olvastam ezt a topikot lefuttattam a progikat amiket ajánlottatok de csak oda jutottam hogy szinte minden oldalt ahova rendszeresen járok blokkolt. Nekem már csak az volt megoldás hogy másik böngészõt használok ezzel semmi gondom, csak zavar a tudat hogy itt van a szemét a gépemen. Várjak újabb frissítésekre, vagy pedig van megoldás csak eddig láma voltam?

${lang:go_to_top}$
Tetejére of the page up there ^

#503 John Black

Törzsvendég

Csoport: Fórumtag
Hozzászólások: 1.279
Csatlakozott: --

Elküldve: 2004. 12. 31. 03:51

Idézet: hapi - Dátum: 2004. dec. 31., péntek - 1:42

Várjak újabb frissítésekre, vagy pedig van megoldás csak eddig láma voltam?

Elõször is a szokásos: egy HijackThis log... Azonkívül SafeMode, fájl megkeresése, törlése stb. Mivel a víruskergetõd megtalálja, de nem tudja törölni, valószínûleg a vírusos fájlod (vagy trójai, "vagymi") a Windows-zal együtt indul.

Szerkesztette: John Black 2004. 12. 31. 03:55 -kor

${lang:go_to_top}$
Tetejére of the page up there ^

#504 eRPeti

Csoport: Fórumtag
Hozzászólások: 323
Csatlakozott: --

Elküldve: 2004. 12. 31. 20:58

Idézet: hapi - Dátum: 2004. dec. 31., péntek - 1:42

EZT NÉZD MEG!

A tudatlanság nem bûn csak hiányosság.Szándékosan tudatlanságban tartani, na az már bûn.

${lang:go_to_top}$
Tetejére of the page up there ^

#505 aXXon

Újonc

Csoport: Alkalmi fórumtag
Hozzászólások: 33
Csatlakozott: --

Elküldve: 2005. 01. 02. 04:03

Idézet: John Black - Dátum: 2004. dec. 31., péntek - 4:51

Ugyanez a problema, en toroltem is, sot nekem meg safe modeban a nod32 is torolte, de igy is visszajon a kis rohadek...

${lang:go_to_top}$
Tetejére of the page up there ^

#506 lameXpert

Őstag

Csoport: Kitiltott
Hozzászólások: 43.097
Csatlakozott: --

Hozzászólás ikon Elküldve: 2005. 01. 02. 09:24

Note: Any malware can be named anything - so you should check where the files of the running processes are located on your disk. If a "non-Microsoft" .exe file is located in the C:\Windows or C:\Windows\System32 folder, then there is a high risk for a virus, spyware, trojan or worm infection!

¤
® "A legjobb tanácsadók nem azok, akik különleges esetekben megmondják, hogy hogyan cselekedjünk; hanem azok, akik elkötelezett szellemiségükbõl és cselekedni vágyásukból adnak, majd ránk hagyják, hogy még ha sok hibával is de magunk találjuk meg a cselekvés véleményünk szerinti legjobb formáját."

${lang:go_to_top}$
Tetejére of the page up there ^

#507 eRPeti

Csoport: Fórumtag
Hozzászólások: 323
Csatlakozott: --

Elküldve: 2005. 01. 02. 11:41

Idézet: aXXon - Dátum: 2005. jan. 2., vasárnap - 4:03

...en toroltem is, sot...a nod32 is torolte, de igy is visszajon a kis rohadek...

Hmmmmm........ :think:

most akkor töröltük, vagy nem?

Te tudod, mi az amit töröltél és mégse?Megosztanád velünk?

A tudatlanság nem bûn csak hiányosság.Szándékosan tudatlanságban tartani, na az már bûn.

${lang:go_to_top}$
Tetejére of the page up there ^

#508 eRPeti

Csoport: Fórumtag
Hozzászólások: 323
Csatlakozott: --

Elküldve: 2005. 01. 02. 11:43

Hmmmmm..... :think:

............ :omg:

F or ever

A tudatlanság nem bûn csak hiányosság.Szándékosan tudatlanságban tartani, na az már bûn.

${lang:go_to_top}$
Tetejére of the page up there ^

#509 hapi

Csoport: Fórumtag
Hozzászólások: 105
Csatlakozott: --

Elküldve: 2005. 01. 03. 14:41

Én gondolom mit törölt. Magát az exe filet és esetleg a bejegyzést a regisztriben. Én is ezt csináltam de nem segít valóban visszajön. Megnéztem ezt a high jack dolgot is, és kiszedtem ami szerintem a vírushoz tartozott de semmi hatása nem volt.
Még mindig nem értem hogy miért nem tudja egy NOD32 ezt a vírust kirtani?

${lang:go_to_top}$
Tetejére of the page up there ^

#510 lameXpert

Őstag

Csoport: Kitiltott
Hozzászólások: 43.097
Csatlakozott: --

Hozzászólás ikon Elküldve: 2005. 01. 03. 15:44

Idézet: hapi - Dátum: 2005. jan. 3., hétfõ - 14:41

Én gondolom mit törölt. Magát az exe filet és esetleg a bejegyzést a regisztriben. .

Mert talán nem csak ennyi? :think:

${lang:go_to_top}$
Tetejére of the page up there ^

#511 hapi

Csoport: Fórumtag
Hozzászólások: 105
Csatlakozott: --

Elküldve: 2005. 01. 04. 23:26

Biztos hogy nem csak annyi mert vissza jött. Talán van más belyegyzés is a rgystriben esetleg futott 1 folyamat ami vissza írta... Nem tudom de hamarosan feladom!

${lang:go_to_top}$
Tetejére of the page up there ^

#512 ics

Törzsvendég

Csoport: Fórumtag
Hozzászólások: 633
Csatlakozott: --

Hozzászólás ikon Elküldve: 2005. 01. 05. 16:25

Egy about:blank átirányítással kezdõdhetett, és lehet, hogy a lemezkiadók által terjesztett WMA + DRM "vírust" kaptam be. Tegnap még ennyit írtam az Origo virushirado topikjába, de semmi válasz nem jött. Azóta még arra tippelek, hogy a belassulások oka, hogy azért a tûzfal, stb. megfog valamit, csak emiatt a gép is leáll. Csak tipp. Most melóhelyen írok.

A tegnap esti (ma hajnali 4 óra) állapotom:

w2k server, SP4, NetShield (frissített leíró), AdAware (frissített dettó), ZoneAlarmPro 4, RAID1-en a rendszer, vinyók jónak tûnnek (reset miatt volt rebuild, semmit sem talált), kábelmodem
NetShield nem talál semmit, AdAware kiírtott egy about:blank átirányítást
Temp-ben van jusched.log, meg volt hsperfdata_[username] könyvtár. Azaz valaki szórakozik a MS VJM-mel? A jusched.log-ba amikor indul a gép, szépen beírásra kerül egy új sor.
Idõ után gép behal: lemezmûveletek és/vagy hálózat behalnak -> minden leáll, örülök ha netelni tudok boot után 10 percig
chkdsk c: /f boot alatt (!) semmit sem talál, eventlog dettó semmi érdemi
chkdsk c: futó windózer (!) alatt egyre súlyosabbakat mond 2-3 futás és vége a gépnek: volume bitmap-ben, MFT-ben talál hibát, szabad területek vannak foglaltnak jelölve, index, stb. /f nélkül is "kijavít" néhányat, gépnek annyi is lesz tõle (persze lehet, hogy nem ettõl hal be, de ilyet még nem láttam, hogy boot alatt lemegy simán, utána meg romokban találja a rendszert, tudom, fut más is ilyenkor mellette, de amiket talál, az nekem nonszensz)
Google semmit használhatót sem dob fel a jusched.log-ra.
Ja, és a gépem boot során van hogy rendesen bejön (esetek 10%-a), többnyire az Initializing network connections vagy mi alatt vár 10 percet, természetesen event-log-ban semmi nyom.
Most mi vaaaaaan? Nem vagyok kezdõ de most itt állok szõkén.

${lang:go_to_top}$
Tetejére of the page up there ^

#513 lameXpert

Őstag

Csoport: Kitiltott
Hozzászólások: 43.097
Csatlakozott: --

Hozzászólás ikon Elküldve: 2005. 01. 05. 17:18

Én letiltanék minden Javás alkalmazást - jusched.log ahhoz tartozik - talán nem ez a legfontosabb, aminek futnia kell, és safe módban HijackThis, meg CWShredder... dehát te mondtad, nem vagy kezdõ...

${lang:go_to_top}$
Tetejére of the page up there ^

#514 DKG

Csoport: Fórumtag
Hozzászólások: 211
Csatlakozott: --

Elküldve: 2005. 01. 06. 14:18

Idézet: ics - Dátum: 2005. jan. 5., szerda - 15:25

Egy about:blank átirányítással kezdõdhetett.....

Én megnézném, nem-e gondoskodik folyamatosan valami arról, hogy a registryben nyoma maradjon.

ezzel nézd meg:
http://www.sysintern...ce/regmon.shtml

${lang:go_to_top}$
Tetejére of the page up there ^

#515 akaido

Senior tag

Csoport: Fórumtag
Hozzászólások: 2.563
Csatlakozott: --

Elküldve: 2005. 01. 06. 14:59

Idézet: ics - Dátum: 2005. jan. 5., szerda - 17:25

Remélem tudok segíteni Nektek about:blank ügyben.
Benyeltem ezt a cuccot, és napokat töltöttem azzal, hogy leszedjem valahogy. Szóval átrágtam magam a témán. Igazából nem tett kárt, inkább csak idegesítõ, hogy folyton blank oldal ugrik fel, amikor elindítom az explorert, és hiába módosítom, visszajön újra.

Próbáltam rengeteg ilyen olyan vírus és egyéb szemét mentesítõt, de mind hatástalanok voltak: Spybot Search and destroy, Hijack This, Ad-aware SE (amit mindenki nagyon ajánl, de erre nem volt jó), AVG vírusirtó,Registry First Aid, és még vagy 4-5, az internetrõl free letöltött keresõ és irtó, amik semmit nem értek. Illetve megtalálták a hibát, elvileg le is szedték, de gyakorlatilag rögtön utána újra jelentkezett a probléma.

Szóval eltöltöttem egy kis idõt a témával foglalkozó topicok nézegetésével, és egy küldöldi fórumban találtam rá arra a programra, ami ingyen letölthetõ és leszedte az about:blank-et.
A program az alábbi helyrõl tölthetõ le:

adwareway

Az oldal alján van, hogy download Adware Away, klikk, és már tölti is.

http://adwareaway.com/aboutblank.htm Itt még lehet olvasni egy kis útmutatót, hogy miként használjuk a szoftvert, ami lényegében tök egyszerû. Ki kell jelölni, hogy milyen férget (vagy mit) akarsz leszedni a gépedrõl, és direkt arra mozdul rá. Nekem 1mp alatt leszedte, és azóta nyoma sincs. Hehe

))))))

Na remélem segíthettem!!!

Eme nemesnek nem mondható Spyware eltávolítására van egy másik +oldás is de az túl hosszú. A Registryben kell kotorászni a gépet Csökkentett módban indítva. Mindjárt beírom. :cool:

A legbiztosabb jele annak, hogy létezik intelligens élet a Földön kívül az az, hogy még nem próbáltak kapcsolatba lépni velünk.

${lang:go_to_top}$
Tetejére of the page up there ^

#516 akaido

Senior tag

Csoport: Fórumtag
Hozzászólások: 2.563
Csatlakozott: --

Elküldve: 2005. 01. 07. 07:56

Idézet: DKG - Dátum: 2005. jan. 6., csütörtök - 15:18

Én megnézném, nem-e gondoskodik folyamatosan valami arról, hogy a registryben nyoma maradjon.

ezzel nézd meg:
http://www.sysintern...ce/regmon.shtml

http://www.faqfarm.c...ter/Virus/19285

Az about:blank irtása. :up:

A legbiztosabb jele annak, hogy létezik intelligens élet a Földön kívül az az, hogy még nem próbáltak kapcsolatba lépni velünk.

${lang:go_to_top}$
Tetejére of the page up there ^

#517 ics

Törzsvendég

Csoport: Fórumtag
Hozzászólások: 633
Csatlakozott: --

Hozzászólás ikon Elküldve: 2005. 01. 09. 00:16

Bocsi, hogy eltûntem, de pár éjszakát átkûzdöttem a géppel... Egy gépem van, vagy safe mód, vagy a neten olvasgatom az okosságokat (safe+net tûzfal nélkül nem játszik), azaz reboot forever...
Röviden:

Köszönöm az ötleteket!!!
about:blank: (ha élt egyáltalán) nem tûnt fel, nekem eleve ez a defaultom... Ad-Aware likvidálta (ha valós volt egyáltalán).
regmon: letöltöttem, de még nem volt erõm hozzá, nem itt lehet megfogni szerintem
CWShredder: két dolgot talált Mupdate és AlfaSearch. AlfaSearch csak a registry-ben, .exe már nincs, azaz nem mûködõképes, azért reg-et rendberaktam. Az Mupdate-hoz se .exe-t se reg-et nem találok órák után se, így azt se tudom honnan veszi, kénytelen vagyok vaklármának minõsíteni.
HijackThis: Na ez már talált sokmindent. Törölgettem. Mellékelek log-ot, valaki nézzen már rá, elõre is köszi.
adwareaway: nagyon korrekt kis progi, szépen kipirosította a gyanúsnak vélt dolgokat eszement sok szempontból, de nem talált semmit (elõdei megtették). Egy óvatlan pillanatban letiltattam vele 3 service-et, amibõl a Task scheduler és Messenger azért kell (UPS és Netshield is ezt használja), a Remote Registry belátom fölösleges.

Folytatás
Jelenleg a CHKDSK úgy tûnik lenyugodott, Explorer futkározik, egyszer csak BUMM, megint leáll minden... Nem fagy le, kapcsolgatni lehet a task-ok között, de minden ablak üres, semmi se történik, shutdown soha se fut le...
Reset.
Betelt a pohár, eldöntöm, hogy novemberi image-et visszahúzom, de elõtte azért lementem a jelenlegit. Boot CD + Drive Image 5.0 lefut, kiírja, hogy lementve, nagy OK a képernyõ közepén, de ekkor az egér már áll, nincs billentyû... Most mi a f#sz van??? Hardware szállt el??? Hálókártya??? Annak mi köze a Drive Image-hez???
Reset, boot és itt vagyok.

Kiporszívóztam a gépet, megmozgattam a PCI kártyákat és eldöntöttem, hogy kicserélem a proci melleti kondikat (ez is hülyeség, akkor úgy fagyna mint a kõ). Ha ezek után lefagy megint, lementem az adatokat megint (ha lehet egyáltalán) és esküszöm kidobom az egészet a hatodikról a p#csába... Van udvar, nem fog meghalni senki.

...Ha ez mégsem következne be, itt jönnek a HiJackThis log-og.

Lac

-------------------

Amit leszedtem Safe módban (valaki átfuthatná, lehet hogy van amit nem kellett volna leszednem)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx #Windows Media Player, legalább megszabadultam tõle az IE-bõl
O4 - HKLM\..\Run: [anvshell] anvshell.exe #Asus video, eleve fölösleges volt a taskbar-on
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe #MS Java: nincs ember, nincs probléma
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe #Creative Labs emlékeztetõ, eleve fölösleges
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) #??? Ez mi lehetett?
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/sher/x.chm::/load.exe #soha nem tûnt fel, hogy futna
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200207...meInstaller.exe #nem tudom mi, de nem tetszik
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/do...d/o2cplayer.cab #nem tudom már, hogy mi, de nem kell
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE #3D Studio nincs a gépen, esetleg valamikor volt, nem kell
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINNT\System32\PLServ.exe #vmi software DRM, nem tudom mit keres a gépemen, de nem tetszik

Amit "normál" módban szedtem most le
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , #Ez mi lehetett? A Backup file is üres.
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , #Ez mi lehetett? A Backup file is üres.

Mellékelném a mostani log-ot. Szerintem negatív, de valaki azért átfuthatná. Köszi, ha mégis...
Logfile of HijackThis v1.99.0
Scan saved at 21:40:13, on 2005. 01. 08.
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\devldr32.exe
C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\ups.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Psion\PsiWin\Psconsv.exe
C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
C:\Program Files\United Devices\UD.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Microsoft Office\Office\1033\wfxmsrvr.exe
C:\PROGRA~1\MICROS~3\Office\1033\OLFMOD32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
J:\Temporary\tmp\___\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Speed racer] C:\Program Files\Creative\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot #vaklárma, az Update_OB zavarja meg, csak .exe-ként lenne

gáz
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McUpdate.lnk = C:\Program Files\Network Associates\NetShield 2000\MCUPDATE.EXE
O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program Files\Psion\PsiWin\Psconsv.exe
O4 - Global Startup: SiICfg.lnk = C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
O4 - Global Startup: SymmTime.lnk = C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
O4 - Global Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.exe
O4 - Global Startup: Windows Task Manager.lnk = C:\WINNT\system32\taskmgr.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = icsw.hu #én így hívom a gépemet is...

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2AB423-E983-43E1-8706-839106F669A5}: Domain = icsw.hu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = icsw.hu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = icsw.hu
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Associates Alert Manager - McAfee Division of Network Associates, Inc. - C:\Program Files\Common Files\Network Associates\Alert

Manager\amgrsrvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\vstskmgr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

${lang:go_to_top}$
Tetejére of the page up there ^

#518 lameXpert

Őstag

Csoport: Kitiltott
Hozzászólások: 43.097
Csatlakozott: --

Hozzászólás ikon Elküldve: 2005. 01. 09. 00:37

Idézet: ics - Dátum: 2005. jan. 9., vasárnap - 0:16

Logfile of HijackThis v1.99.0
Scan saved at 21:40:13, on 2005. 01. 08.
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\devldr32.exe
C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\ups.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Psion\PsiWin\Psconsv.exe
C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
C:\Program Files\United Devices\UD.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Microsoft Office\Office\1033\wfxmsrvr.exe
C:\PROGRA~1\MICROS~3\Office\1033\OLFMOD32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
J:\Temporary\tmp\___\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Speed racer] C:\Program Files\Creative\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot #vaklárma, az Update_OB zavarja meg, csak .exe-ként lenne gáz
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McUpdate.lnk = C:\Program Files\Network Associates\NetShield 2000\MCUPDATE.EXE
O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program Files\Psion\PsiWin\Psconsv.exe
O4 - Global Startup: SiICfg.lnk = C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
O4 - Global Startup: SymmTime.lnk = C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
O4 - Global Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.exe
O4 - Global Startup: Windows Task Manager.lnk = C:\WINNT\system32\taskmgr.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = icsw.hu #én így hívom a gépemet is...

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2AB423-E983-43E1-8706-839106F669A5}: Domain = icsw.hu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = icsw.hu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = icsw.hu
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Associates Alert Manager - McAfee Division of Network Associates, Inc. - C:\Program Files\Common Files\Network Associates\Alert Manager\amgrsrvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\vstskmgr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

A zöldek keményen átgondolandók, tényleg kellenek-e? A sok Notepad micsoda?

A narancs kidobandó, a piros szintén

${lang:go_to_top}$
Tetejére of the page up there ^

#519 akaido

Senior tag

Csoport: Fórumtag
Hozzászólások: 2.563
Csatlakozott: --

Elküldve: 2005. 01. 09. 15:37

Idézet: ics - Dátum: 2005. jan. 9., vasárnap - 0:16

Köszönöm az ötleteket!!!
about:blank: (ha élt egyáltalán) nem tûnt fel, nekem eleve ez a defaultom... Ad-Aware likvidálta (ha valós volt egyáltalán).
regmon: letöltöttem, de még nem volt erõm hozzá, nem itt lehet megfogni szerintem
CWShredder: két dolgot talált Mupdate és AlfaSearch. AlfaSearch csak a registry-ben, .exe már nincs, azaz nem mûködõképes, azért reg-et rendberaktam. Az Mupdate-hoz se .exe-t se reg-et nem találok órák után se, így azt se tudom honnan veszi, kénytelen vagyok vaklármának minõsíteni.
HijackThis: Na ez már talált sokmindent. Törölgettem. Mellékelek log-ot, valaki nézzen már rá, elõre is köszi.
adwareaway: nagyon korrekt kis progi, szépen kipirosította a gyanúsnak vélt dolgokat eszement sok szempontból, de nem talált semmit (elõdei megtették). Egy óvatlan pillanatban letiltattam vele 3 service-et, amibõl a Task scheduler és Messenger azért kell (UPS és Netshield is ezt használja), a Remote Registry belátom fölösleges.

Üdv ics! Sajnálom a menet közbeni hibát.

Ez utásn a Crash után félve írom le:ha még aktuális, akkor egy registrys about:blank irtás:

Néha az alábbi ágba telepszik REJTVEa bejegyzés.
1. Irány a HKEY_LOCAL_MACHNIE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\ ág.
2. A Windows kulcsot nevezd át Windows2-re, mert a windows kulcsot nem lehet módosítani.
3. Ebben a most már Windows2-ben keresd meg az Appinit_dlls bejegyzést.
4. Jobb klikk az Appinit_dlls bejegyzésen, ha ezután azt választjuk, hogy Módosítás nincs értéke.
De ha a modify binary data-t választod, akkor két lehetõség van:
A: nincs benne semmi, csak ennyi, hogy 00 00
B: egy elindításra váló dll nevével együtt.-->B esetben "fertõzött" a PC.
Ha B eset lõn, akkor Appinit_dlls bejegyzést ahogy van DELETE! De csak akkor ha a
..\Windows-t ..\Windows2-re nevezted át.
5. Del Appinit_dlls után, Windows2 vissza-átnevezése az eredeti Windows-ra.
6. Ezután Temp könyvtárak ürítése a ../Local Settings/temp-et is.
7. Safe módban fenteb említett HijackThis, Adwareaway futtatása talált dll-ek törlése.
8. Reboot után ELVILEG OK kéne hogy legyen.

Néhány példa a HijackThisnél mit érdemes törölni:
HKCU\Software\Microsoft\IE\Main, Search Bar=file://C:\Dokume~1\User1\Locals~1\Temp\sp.html
HKCU\Software\Microsoft\IE\Main, Search Page=file://C:\Dokume~1\User1\Locals~1\Temp\sp.html
HKCU\Software\Microsoft\IE\Main, Search Assistant=file://C:\Dokume~1\User1\Locals~1\Temp\sp.html
HKCU\Software\Microsoft\IE\Main, HomeOldSP=about:blank
C:\Windows\System32\feocii.dll ez volt a registryben a fertõzõtt a fájl.
Ezek után el kéne tûnnie.
Üdv! és sok sikert mindenhez! Nekem így sikerált. :up:

A legbiztosabb jele annak, hogy létezik intelligens élet a Földön kívül az az, hogy még nem próbáltak kapcsolatba lépni velünk.

${lang:go_to_top}$
Tetejére of the page up there ^

#520 Garmacor

Törzsvendég

Csoport: Fórumtag
Hozzászólások: 617
Csatlakozott: --

Elküldve: 2005. 01. 14. 08:32

Elnezest nem vettem eszre a kiemelt forumot.

http://here4search.com

Naszoval en is benyaltam egy ilyet es fel nap kuzkodes utan odaig jutottam valahol megbujik a rendszeben es visszatolti magat az IE kezdolapjara. A szornyu az hogy ez huzogatja a torjai lovakat lefele.
HiJack, Ad-adware, spybot, zonealar, panda mind nem segit.
Egyszeruen ha meg is talalom a gyoker filet nem tom kitorolni. Lassan linux bootcd-t fogok csinalni azzal csak megengedi letorolni magat.
Csak tudnam honnet szedtem ossze mert nem jarok ilyen buzi http cimeken...

"De sagittis Hungarorum libera nos, Domine."