[peosuslik]

Tere.

Mu arvutisse on ennast smuugeldanud miski kutsumata sõber, kes ise kutsub ennast MyWebSearch.

Kas keegi oskab näpunäiteid anda, kuidas ma sellest uuest sõbrast lahti saan.

Adaware tundub selle vastu võimetu olema. Peale igat scannimist lehvitab ta mulle sõbralikult uuesti.

Olen scannind ka HijackThis aga oma mõistusest jääb väheks et aru saada mis search.logis on crap ja mis asjalik.

Äkki on kellelgi kasulik link edastada või on keegi võimeline search loogist välja lugema mis pasa ma ära fixima pean.

Tervitades Peosuslik

[haigo]

copy-paste see logi siis siia.
Muidu http://www.scanspyware.net/info/MyWebSearch.htm on ka kirjas mingi lahendus.

[peosuslik]

Re:Haigo

Tänan vastuse eest. Olen praegu tööjuures ja log ja probleemne arvuti on kodus, loodan et oled online ka 18:00 ümber siis saan loogi foorumi kaudu ka sinuni toimetada.

Tänud selle lingi eest ka uurin asja pisut ka sealt.

Tervitades peosuslik

[haigo]

Looda ikka, et mõni targem ka vaatab seda . HijackThis teeb vist mingid backup'id ka eemaldamisel.

[HacaX]

Kas tollest mitte lihtsalt Control Panel=>Add/Remove Programs'i kaudu lahti ei saanud? Ja Ad-aware on ikka *viimane* versioon + viimased uuendused?

[t-force]

[peosuslik]

See on hijackthis log.

Logfile of HijackThis v1.97.7
Scan saved at 23:20:54, on 06.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\EXPLORER32.EXE
C:\WINDOWS\SYSTEM\TWINK64.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\EXPLORER32.EXE
C:\WINDOWS\APPLICATION DATA\OHDW.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\WINSYNC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\IR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\REGEDIT.EXE
C:\WINDOWS\SYSTEM\USB.EXE
C:\WINDOWS\SYSTEM\NTAPI32D.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neti.ee/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.neti.ee/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {565A25A1-17DD-11D9-A86C-00E0E3EA2293} - C:\WINDOWS\SYSTEM\OIEDBA.DLL
O2 - BHO: BHO - {06CAD548-14DD-4fa3-9EA9-05F83C18CBD7} - C:\WINDOWS\SYSTEM\MSPXS32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe
O4 - HKCU\..\Run: [Auew] C:\WINDOWS\Application Data\ohdw.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.blazefind.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - link
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O19 - User stylesheet: (file missing)

Selle trusted zone pasa kiskusin ma juba maha.

Jääb miski veel kellelegi silma mis siaa ei tohiks kuuluda?

Tervitades Peosuslik

[haigo]

Windupdates, whenusearch, SyncroAd, Winsync, Twink64, jäid silma.
Muidugi QuickTime ja Realplayeri käimalaskmine startupis on ka kaheldava väärtusega.

[peosuslik]

Saad sa äki copyda siia need read mis on sinu poolt nimetatud spywaredega seotud (mis ma maha lasen)

Peosuslik

[airm]

O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
Jäta ainult need.

*********************************
Peaks olema viirus ka sul, sest:
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
ei tee sul kindlasti internetti kiiremaks, vaid raha teeb.
O4 - HKCU\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe
Viirus see on.


Lase maha, tee restart, viirusetõrje, uuesti hijackthis, spyvare,
restart, uuesti, .... Siis saad lahti.
Mõni üksik brauseri blugin "võib" tagasi tulla pärast restarti, siis käsitsi eemaldatakse neid.

[HacaX]

Tegelikult võiba ka selle alles jätta: O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
Too ning järnev peaks olema Inteli graafikadraiverid (või täpsemalt öeldes see user access thingy mis sul tray peal istub ja flatmonitori moodi välja näeb). Samas pole nad just ka eluliselt vajalikud.

[peosuslik]

Kas explorer 32.exe pole mitte eluliselt vajalik fail?

[HacaX]

Ei ole. Mis on eluliselt vajalik on *EXPLORER.EXE*... tegu on tüüpilise "kasutame tuntud failile sarnast nime" võttega.
Üldiselt paistab, et seda isendit seostakse CoolWWWSearchiga, seega oleks soovitatav masinast korra ka CWShredderiga üle käia.

[kopamees]

GIANT AntiSpyware peaks selle probleemi ära lahendama.
http://www.giantcompany.com/(epdteb45qqgvff4533qcbe45)/download.aspx?prodID=70

[toxic]

Ad-Aware SE Professional ja Pest Patrol peksid ka sellest kinlasti lahti
saama mõne hetkega.