X

Problem z otwierającymi się stronami

20 Dec 2004 14:00 BRbreski
  • #1 20 Dec 2004 14:00
    breski
    Level 9  
    Helpful post? (0)
    Witam nie wiem czy to odpowiedni dział na moje pytanie ale spytam
    Kiedy otwieram jakąś stronę np. onet prawie natychmiast otwierają
    się różne inne strony nie chodzi mi o reklamy tylko o strony www
    i ciągle muszę je zamykać . Nawet teraż podczas pisania tego postu
    już otworzyło się kilka stron
    Jak się tego pozbyć ?
    Przepraszam jeśli to nie ten dział

    Pozdrawiam
  • #2 20 Dec 2004 14:18
    aren
    Level 28  
    Helpful post? (0)
    najpierw trzeba przeskanowac system programami ad aware, swshreder, i innymi tego typu wcelu oczyszczenia systemu z robali.
  • #3 20 Dec 2004 14:35
    breski
    Level 9  
    Topic author Helpful post? (0)
    Próbowałem kilka razy i wciąż to samo
    Nie mam nic w autostarcie
    W msconfig odznaczyłem prawie wszystko
    Próbowałem różne ustawienia w opcjach internetowych
    Kiedy skanuję ad -awarem zawsze są jakieś wpisy
  • #4 20 Dec 2004 14:46
    aren
    Level 28  
    Helpful post? (0)
    a pokaz loga z hijackthis'a zobaczymy co tam masz.
  • #5 20 Dec 2004 15:04
    breski
    Level 9  
    Topic author Helpful post? (0)
    A możesz sprecyzować o co chodzi
    Nie jestem jeszcze zaawansowany w temacie internet
  • #6 20 Dec 2004 15:08
    aren
    Level 28  
    Helpful post? (0)
    sciagnij program o nazwie hijackthis przeskanuj system, zapisz loga do pliku i wstaw to zawartosc tego loga.
  • #7 20 Dec 2004 15:40
    breski
    Level 9  
    Topic author Helpful post? (0)
    Czy chodzi o te pliki
    Logfile of HijackThis v1.99.0
    Scan saved at 15:24:40, on 2004-12-20
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\LEXBCES.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\LEXPPS.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\WINRAR\WINRAR.EXE
    C:\WINDOWS\TEMP\RAR$EX08.695\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
    O1 - Hosts: 127.0.0.3 x.full-tgp.net
    O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
    O1 - Hosts: 127.0.0.3 autoescrowpay.com
    O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
    O1 - Hosts: 127.0.0.3 www.awmdabest.com
    O1 - Hosts: 127.0.0.3 www.sexfiles.nu
    O1 - Hosts: 127.0.0.3 awmdabest.com
    O1 - Hosts: 127.0.0.3 sexfiles.nu
    O1 - Hosts: 127.0.0.3 allforadult.com
    O1 - Hosts: 127.0.0.3 www.allforadult.com
    O1 - Hosts: 127.0.0.3 www.iframe.biz
    O1 - Hosts: 127.0.0.3 iframe.biz
    O1 - Hosts: 127.0.0.3 www.newiframe.biz
    O1 - Hosts: 127.0.0.3 newiframe.biz
    O1 - Hosts: 127.0.0.3 www.vesbiz.biz
    O1 - Hosts: 127.0.0.3 vesbiz.biz
    O1 - Hosts: 127.0.0.3 www.pizdato.biz
    O1 - Hosts: 127.0.0.3 pizdato.biz
    O1 - Hosts: 127.0.0.3 www.aaasexypics.com
    O1 - Hosts: 127.0.0.3 aaasexypics.com
    O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER.DLL
    O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\QUESTMOD.DLL
    O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\SYSTEM\MSCB.DLL (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [load32] C:\WINDOWS\SYSTEM\netda.exe
    O8 - Extra context menu item: Web Rebates - file://C:\PROGRAM FILES\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
    O15 - Trusted IP range: 69.50.161.82 (HKLM)
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=cfec0ec2b22d02540636448ff78c5d5d8d4f631f230aaa35a0eef1f7c88acd5ada90eaebeb2b4c960ee16f7d47b66b736ea8914a44e6:2b5eeef42ebd462369f47aed52d141ca
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=2732
    O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
    O16 - DPF: {3E339D3C-4B12-4E8C-A529-9CC4BEEAFD4F} (VacPro.russia_ver3) - http://www.globalphon.com/dialer/russia.CAB
    O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://iframedollars.biz/dl/adv407/x.chm::/load.exe
    O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572E5D639} - C:\WINDOWS\SYSTEM\Afadfn32.dll
    O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\WINDOWS\SYSTEM\child.dll
  • #8 20 Dec 2004 19:23
    aren
    Level 28  
    Helpful post? (0)
    Wywal to :


    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
    O1 - Hosts: 127.0.0.3 x.full-tgp.net
    O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
    O1 - Hosts: 127.0.0.3 autoescrowpay.com
    O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
    O1 - Hosts: 127.0.0.3 www.awmdabest.com
    O1 - Hosts: 127.0.0.3 www.sexfiles.nu
    O1 - Hosts: 127.0.0.3 awmdabest.com
    O1 - Hosts: 127.0.0.3 sexfiles.nu
    O1 - Hosts: 127.0.0.3 allforadult.com
    O1 - Hosts: 127.0.0.3 www.allforadult.com
    O1 - Hosts: 127.0.0.3 www.iframe.biz
    O1 - Hosts: 127.0.0.3 iframe.biz
    O1 - Hosts: 127.0.0.3 www.newiframe.biz
    O1 - Hosts: 127.0.0.3 newiframe.biz
    O1 - Hosts: 127.0.0.3 www.vesbiz.biz
    O1 - Hosts: 127.0.0.3 vesbiz.biz
    O1 - Hosts: 127.0.0.3 www.pizdato.biz
    O1 - Hosts: 127.0.0.3 pizdato.biz
    O1 - Hosts: 127.0.0.3 www.aaasexypics.com
    O1 - Hosts: 127.0.0.3 aaasexypics.com
    O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O8 - Extra context menu item: Web Rebates - file://C:\PROGRAM FILES\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
  • #9 20 Dec 2004 20:12
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    :arrow: aren
    A co z reszta? ;-)

    O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\QUESTMOD.DLL <- trojan
    O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\SYSTEM\MSCB.DLL (file missing) <- pozostalosc po virusie?
    O4 - HKLM\..\Run: [load32] C:\WINDOWS\SYSTEM\netda.exe <- backdoor ;-)
    O8 - Extra context menu item: Web Rebates - file://C:\PROGRAM FILES\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm <- wywal caly katalog WEB_REBATES
    O15 - Trusted IP range: 69.50.161.82 (HKLM) <- smiec
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=cfec0ec2b22d02540636448ff78c5d5d8d4f631f230aaa35a0eef1f7c88acd5ada90eaebeb2b4c960ee16f7d47b66b736ea8914a44e6:2b5eeef42ebd462369f47aed52d141ca
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=2732 <- spyware?
    O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx <- spyware
    O16 - DPF: {3E339D3C-4B12-4E8C-A529-9CC4BEEAFD4F} (VacPro.russia_ver3) - http://www.globalphon.com/dialer/russia.CAB <- dialer ;-)
    O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://iframedollars.biz/dl/adv407/x.chm::/load.exe <- virus, nawet moj skaner antyvirusowy pokazuje alert jak otwieram ten watek ;-)
    O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572E5D639} - C:\WINDOWS\SYSTEM\Afadfn32.dll <- spyware?trojan?
    O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\WINDOWS\SYSTEM\child.dll <- nie wiem ale watpie ze to cos dobrego ;-)


    To chyba tyle ;-)
  • #10 20 Dec 2004 21:08
    aren
    Level 28  
    Helpful post? (0)
    wcisnolem zmień i wywalilem to co niechcialem, i nie sprawdzilem posta.

    nie bylem pewnien tylko tego wpisu O4 - HKLM\..\Run: [load32] C:\WINDOWS\SYSTEM\netda.exe

    "jak dobrze ze Kolobos jest tak blisko" ;)
  • #11 20 Dec 2004 21:22
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    :arrow: aren
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DUMARU.AI
    http://www.sophos.com/virusinfo/analyses/trojdumaruam.html

    Najlepiej sprawdzac na stronie sophos'a, tam jest wszystko, a przynajmniej wiekszosc :-)
  • #12 20 Dec 2004 22:20
    breski
    Level 9  
    Topic author Helpful post? (0)
    Dzięki za pomoc
    Zainstalowałem jeszcze taki program SpySubtract, który
    podobno nie pozwala na otwieranie się niechcianych stron
    i wykrywa wszystkie pliki dotyczące tych niechcianych stron
    Po przeskanowaniu tym programem zostało niewiele z tego
    co wcześniej podałem w poście Skojarzyłem to co zostało
    z tym co kazałeś wyrzucić i na razie jest spokuj
    Dzięki
Mouser  Search 4 million + Products
Browse Products