po wejsciu do sieci jako strona startowa wysakuje mi strona : http://www.msn.com i za cholerę nie da się jej zmienić,bo kiedy zmieniam w opcjach internetowych np.na onet to i tak zaraz wszystko wraca do poprzedniego stanu i ładuje sie http://www.msn.com!co robić?pomóżcie jak wiecie co to za /cenzura/…
Masz po prostu trojana startpage - a jakiego, to się dopiero można dowiedzieć z ewentualnych skanów.
Czy Twój stacjonarny antyvirus nie podniósł alarmu w trakcie uzytkowania kompa? :?
Spróbuj przejechać system po kolei 3 scanerami online - na stronie tytulowej Vortalu; po lewej stronie na dole!
Nie zadowalaj się wynikami tylko z jednego scanu, chociażby coś znalazł.
Zrób po kolei wszystkie - bo każdy z nich różni się bazą danych.
Ewentualne brzydkie znaleziska do usunięcia! Tak, jak sugeruje skaner.
Następnie przeczesz system:
Trojan Remover, Ad-aware, Spybot (tam: uruchom wersję “advance mode”, masz zakładkę Narzędzia --> Przegladarka stron; sprawdź - co masz wpisane; syfy potraktuj opcją zmień na taką, jaką chcesz mieć).
Progsów do tego jest mnóstwo :shock:, na razie tyle - wpisz tu swoje obserwacje, co i jak po tych zabiegach.
Potem wklej loga z Hijack’a - nic narazie samemu nie usuwając!
Tu program i opis tworzenia loga!
http://www.searchengines.pl/phpbb203/in … opic=15989
Bez względu na to, czy coś udało Ci się już zlikwidować, log z Hijack’a jest nieodzownym podsumowaniem. Koledzy pomogą Ci ze złosliwymi wpisami! 8)
heh.log mam czysty bo juz dałem do sprawdzenia…ale jak uczynię te twoje zabiegi to dam znać jak i codzieki
PS-przeczesałem juz tym:ad-aware,spybot,regcleaner i nic…
Dobra.Skończyłem.Moje spostrzerzenia i pytania:
Więc tak:
Mks-czysto
Symantec-czysto
Panda-czysto
Problem zniknął dopiero gdy zmieniłem ustawienia w spybocie.
Dziekuję ci bardzo gorąco.
I jeszcze jedno pytanie dotyczące tej opcji Narzędzie ->przeglądarka stron w spybocie:Czy to ma tak wyglądać czy jeszcze coś zmienić na onet?
Spybot - Search && Destroy browser pages report, 2004-10-23 03:46:55
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINDOWS\System32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.microsoft.com/isapi/redir.dl … r=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
%SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.microsoft.com/isapi/redir.dl … r=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
http://www.microsoft.com/isapi/redir.dl … r=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
Tam gdzie jest onet to zmieniłem.Ale nie wiem czy w tych pozostałych też zmieniać.Zmienić?
Msn.com to jest oczywiście strona Microsoftu. W zasadzie po zmianie w opcjach internetowych powinna już nie włazić, a Tobie uporczywie uprzednio właziła. Bardzo często są to fałszywki… zwłaszcza gdy są tak natrętne!
Ja sobie radziłam w ten sposób, że nie zostawiałam nic - i wszystko dla bezpieczeństwa zmieniałam na moją startową. W efekcie miałam przez te zmiany np. parę takich samych wpisów mojej startowej. Potem usuwałam je z loga Hijack’a. Zostawiałam jeden, obojętnie który! I oczywiście ich już w Spybocie potem nie było: była tylko jedna - przeze mnie ustawiona.
Można też wejść w rejestr i te klucze wywalić ręcznie.
Zasada jest taka - że strona startowa może być tylko jedna! 8) I wszystko inne jest czymś niebezpiecznym. I w zasadzie się nie trzyma takich kluczy.
Najciekawsze jest jednak to, że jak weszłam w Twój log (niekontynuowany topik :x ), to ja tych wpisów prezentowanych przez raport Spybota - nie widzę
Notabene - widzę tam chyba jeszcze coś do wyrzutki :roll:
http://forum.dobreprogramy.pl/viewtopic … ght=#75327
Jednak bym Ci radziła bewzględnie poczekać na opinie innych userów!
Nie wiem, czy nie lepiej wkleić nowego loga z Hijacka - ale błagam już tu, w tym temacie!
Prośba do wszystkich: kontynuujcie swoje topiki; bo to tylko ułatwi sprawę.
Wiem, że jesteś od niedawna na Forum… no to masz prawo jeszcze nie mieć pewnych rzeczy oblookanych!
Zainsraluj SP1 na windei SP1 na IE.
log jakgby czysty ale cośik chyba okrojony. Sprawdz system CWShredder Version 2.0
Wejdz ręcznie do kluczy i usuń wszystkie wartości z http://www…
Restartuj kompa.
Oczywiście usuń wcześniej to co wins zaznaczył.
ok.no to oto mój log:
Logfile of HijackThis v1.98.2
Scan saved at 14:26:27, on 2004-10-23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
E:\eMule\emule.exe
C:\WINDOWS\system32\winlogon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Michał\Moje dokumenty\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.onet.pl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 8038332895
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
Tryb awaryjny
…::X-Scan::…
http://www.spywareinfo.com/xscan.php
Poźniej tryb awaryjny
…::GeCAD (RAV)::…
http://www.ravantivirus.com/scan/
…::Do wyczyszczenia można także użyć JV 16::…
http://dobreprogramy.com/index.php?dz=2 … d=509&t=29
Pozdrawiam …::GeCAD (RAV)::… powinien wykryć …
Log wygląda na czysty .
Restrykcje na zamianę strony internetowych , czyli
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
To ci założył chyba jakiś program - SPYBOT ? Usuń te wpisy co wyżej oraz
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
Już go chyba nie masz.
Restart kompa i sprawdz czy wpisy znikneły i jak chodzą stronki.
Sprawdzałeś kompa programem CWShredder Version 2.0 ???
No i co ???
To między innymi brak tego powoduje to co masz , zawsze badziesz miał takie problemy…
Phylby:
**** Run Keys ****
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
RUN: [nwiz] nwiz.exe /install
RUN: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
RUN: [soundMan] SOUNDMAN.EXE
RUN: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
RUN: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
RUN: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s
RUN: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
RUN: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray
**** Browser Helper Objects ****
BHO: [] C:\PROGRA~1\SPYBOT~1\SDHelper.dll
**** IE Toolbars ****
TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx
**** IE Extensions ****
**** Hosts File Entries ****
HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost
**** IE Settings ****
Default Page: http://www.onet.pl
Default Search: http://www.microsoft.com/isapi/redir.dl … r=iesearch
Local Page: C:\WINDOWS\System32\blank.htm
Search Page: http://www.microsoft.com/isapi/redir.dl … r=iesearch
**** IE Context Menu (Right click) ****
**** Layered Service Providers ****
LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [uDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ED58DD00-F156-4A7C-8A43-A0F803FBE1AE}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ED58DD00-F156-4A7C-8A43-A0F803FBE1AE}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FB7C01B5-D512-4BAF-B39F-6770190B8FC2}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FB7C01B5-D512-4BAF-B39F-6770190B8FC2}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{8DFBDE40-0DFB-4407-9C84-E79BD1A061EA}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{8DFBDE40-0DFB-4407-9C84-E79BD1A061EA}] DATAGRAM 2
**** Blocked Control Panel Items ****
BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No
**** Downloaded Program Files ****
{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} [http] C:\WINDOWS\Downloaded Program Files\navapi.vxd C:\WINDOWS\Downloaded Program Files\navapi32.dll C:\WINDOWS\Downloaded Program Files\avsniff.dll
{6414512B-B978-451D-A0D8-FCFDF33E833C} [http]
{644E432F-49D3-41A1-8DD5-E099162EEEC5} [http]
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http]
{9A9307A0-7DA4-4DAF-B042-5009F29E09E1} [http]
{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} [http]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http]
{E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} [http]
**** Custom IE Search Items ****
SEARCH: [searchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
no przeskanowałem,ale ty mi musisz powiedziec o co w tym chodzi bo ja tego programu na oczy w życiu nie widziałem i nie wiem co tu jest grane…
aha no i ja nie wiem gdzie szukać tego SP1 do IE.Sorki ze jestem taki tępy ale ja mało co znam sie na kompie.Musicie mi wybaczyć moją nie wiedze…dzięki za wszystko…
Scanujesz HT i w okienkach przy
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
dajesz ptaszka . Naciskasz Fix checked.
Koniec.
Uruchamiasz CWShredder klikasz Fix OK i na końcu OK i NexT> i dalej Exit
Koniec.
Restart kompa
Robisz scan HT i dajesz tu nowego loga.
odwiedzasz http://v5.windowsupdate.microsoft.com/v … aspx?ln=pl
i czekasz cierpliwie . Czytaj- wszystko jest wyjasnione.
Ps.
Jesli masz zainstalowany Spybot - Search & Destroy to go narazie odinstaluj w dodaj / usuń.
ok.zrobiłem to jak mówiłeś.A oto log :
Logfile of HijackThis v1.98.2
Scan saved at 01:45:59, on 2004-10-24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Michał\Moje dokumenty\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.onet.pl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 8038332895
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
No i wszedłem na ten adres który podałeś.I nie wiem czy updatować ten pierwszy:Instalacja expresowa czy instalacja niestandardowa?
I mam jeszcze jedno pytanko.Kiedy mogę znów zainstalować spybota?w końcu czyści on dużo śmieci ,nieprawdaż?
Pisząc to - miałam na myśli do usunięcia jeszcze to:
C:\Program Files\Messenger\msmsgs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
Utkwiło mi to, bo już jak gdyby standartowo - jest to polecane do kasacji przy wszystkich logach.
Ale jeszcze niech Phylby się wypowie w tej kwestii!
O Spybota się nie martw - jak log będzie czysty i SP1 na stanie - to go sobie zainstalujesz z powrotem.
ok.no to poczekam jeszcze na Phylbyego(nie wiem jak się odmienia ).dzięki wam za wszystko…
W uruchom wpisz msconfig >>> Enter.
Na zakładce uruchamianie odhacz :
CloneCD , NeroCheck , jusched , NvCpl , nwiz , Messenger
Restartuj.
Usuń Messenger w/g http://forum.dobreprogramy.pl/viewtopic.php?t=954
Stronki działają bez problemu ? To zainstaluj znowu
Spybot Search & Destroy 1.3 . To on ci chronił stronki przed znianami . Jak ustawisz w nim odpowiednia funkcję znowu ci bedzie blokował.
SP1 na IE i winde możesz pobrać pobierać z http://www.dobreprogramy.com/index.php?dz=1&t=35
Potem możesz zainstalować SP2 . ale z tym radzę jeszcze poczekać.
Ps.
Po instalacji poprawek Messenger może znowu sie pojawić. Więc go znowu - na aut.
Odiedz jeszcze raz http://v5.windowsupdate.microsoft.com/v … aspx?ln=pl
i niech stronka sprawdzi czego ci jeszcze brekuje. Poprawki krytyczne zainstaluj wszystkie.
zrobiłem wszystko co radziłeś.dzięki wielkie wam wszystkim.jesteście kochani.wszystko na razie chodzi ok.jak bedzie znów coś nie tak to wiem ze tu są konkretni ludzie którzy znają się na rzeczy.MIłego dnia i dzięki jeszcze raz.Miś.
no i długo sobie nie poszalałem.znów to samo.znów włazi startowa http://www.msn.com i wiesz co zauważyłem?zawsze zaczyna mi ona wskakiwać jako startowa jak użyję ad-aware!
No a zainstalowałeś sobie z powrotem Spybota - z naszej stronki - i zablokowałeś startową, co już wiesz gdzie?
A z tym Ad-aware - to nie widzę żadnych przesłanek! :shock:
A pamiętasz, co było w scanie do usunięcia?
Pytam, bo trzeba znaleźć przyczynę - ale nie spotkałam się z takim przypadkiem, by użycie Ad-aware spowodowało coś takiego! :roll:
Mogą ewentualnie pewne “dzikie” progsy nie działać, ale to…
nie zainstalowałem spybota…
No to trzeba zainstalować…
Ale i tak mi coś tu nie pasi; przecież to nie polega na tym - że trzeba blokować Spybotem - bo inaczej wejdzie badziewna strona.
Strona ma być ustawiona wg naszego pomysłu, a Spybot to już jest inna bajka; możemy go mieć - lub też nie. A strona powinna się wyświetlać prawidłowo, bez patrzenia na blokadę w Spybocie!
No ale Twój log przejrzany; mówisz - że wszystko zrobiłeś wg instrukcji Phylby’ego - to w sumie nie ma się czego czepić! :roll:
No nic - czekaj do jutra - zobaczymy, co kolega powie… albo ktoś inny się zetknął z takim czymś…
Dobra, zainstaluj Spybota (poblokuj wpisy) i nie wiem… pewnie wypadałoby, żebyś po tym manewrze zrobił nowego loga! :mrgreen:
czyli znów zmieniać wszystkie w spybocie na onet?ok