[gerli2311]

Mul on selline vastik probleem. Pole võimalik muuta interneti alguslehekülge. Viskab ikka ette mysearchnow.com. Olen proovinud seda kõikvõimalike programmidaga eemaldada. Äkki saaks keegi aidata ja täpsemalt õpetada.

[HacaX]

Hmm... mis programmidega sa täpselt oled proovinud? Ad-aware peaks leidma küll mingi jubina ja võimaldama sul selle maha lasta. Ka tasub tööle lasta SpyBot ja ette võtta "BHO's" leht ning sealt kõik tundmatud vidinad ära keelata.

PS! Ega probleem juhtumisi tekkinud peale MSN Plusi installimist?

[reimers66]

ma sain sellest lahti spy sweeperiga ja siis võtsin veel registrist maha !!! see on igati loll ja tülikas asi kui sa niisama
remove teed siis tuleb ise kohe tagasi

[gerli2311]

Nii Ad aware leiab kenasti üles selle, kuid järgmisel korral on juba jälle olemas.
Ma katsetan siis spy sweeperit.

Ps! Vist tuli jah msn plus- ga.

[marx115]

https://foorum.hinnavaatlus.ee/viewtopic.php?t=81783&highlight=mysearch
https://foorum.hinnavaatlus.ee/viewtopic.php?t=73220&highlight=mysearch

[gerli2311]

"Ette võtta "BHO's" leht ning sealt kõik tundmatud vidinad ära keelata."
Kuda???

[HacaX]

Esmalt, kui veel ei ole, lülita Spybot Advanced resiimi (Mode=>Advanced Mode), siis valid vasakult Tools=>BHOs. Seal valid välja sellised millel puuduv roheline linnuke (nood on kasulikud vidinad mida ka SB tunneb) ja mis ka endale tundmatud on (näide: kui juhtud Google toolbari kasutama siis võid Google Toolbar Helperi rahule jätta, kui on aga mingi WinActive siis võid tolle ära märkida) ja vajutad üleval olevale Toggle nupule.
Mida veel võiksid teha on sealtsamast vasemalt võtta Browser Pages ja siis kõik mysearchnow'd google'ks (või millekski analoogseks) muuta.

Ja lõppeks, kuna juba asjaga tegeled, võiksid vaadata System Startup lehele. Minu koopia MSN Plusist genereeris sinna AutoUpdater ja bolt default nimelised sissekanded millelt linnukese eest ära kiskusin. Nüüd veel alglaadimine ja asi *peaks* korras olema (ja kui ei ole siis võid *veelkord* Ad-Aware'iga üle lasta).

[gerli2311]

Paistab, et ka sellest ei aita. Nii... browser pages all pole isegi märkigi mysearch ist.
Äkki oskate veel midagi soovitada

[Bad Sector]

ma vaatan, et see mysearchnow on mingi asi, mis korraga kõikidel pead vaevama on hakanud (vähemalt neid teemasid siin tekkinud omajagu).
Tõmba netist säherdune asi nagu Hijackthis ja copy-paste'i scan'i tulemus siia... äkki saab sealt kaudu jälile.

Või siis tsekka BHODemon'iga, mis loom see mysearchnow selline on...

[Dijital]

uninstalli msn plus ja tõmba siis uus korralik versioon sellest

[clocker]

[droz]

[HacaX]

Siinkohal märkus: kuna eesmärk oligi mysearch masinasse saada siis eriti hoolega ei vaadanud, a kus krdi kohas see "Do not install sponsorprogram" koht üldse oli? Otse silma ta küll ei jäänud... Või ei tulegi seda "Custom" (või mis iganes see nimi oligi) installi puhul ette?

[Spacefly]

ekd ta sealsamas on, kus sa oled harjunud nägema
Yes I accept conditions
No, I disregard them vms
käsi väänab automaatselt linnukese Yes algavasse kasti ja voilaa oledki acceptinud sponsorprogrammi installi oma arvutisse

[HacaX]

Kusagil ju väideti, et Plusi installimisel saab *otseselt* ära keelata nuhkvara masinassepaneku (ma laisk, ei viitsi MSNi ja Plusi uuesti installima hakata ).

[gerli2311]

Nii..... siin on siis hijackthis scan tulemused.

Logfile of HijackThis v1.97.5
Scan saved at 11:35:35, on 7.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\STOREG~1\Extra itch.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Priit\LOCALS~1\Temp\Rar$EX00.692\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mysearchnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neti.ee
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neti.ee
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [junk flaw] C:\PROGRA~1\STOREG~1\Extra itch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

[HacaX]

Esimene eemaldatav rida: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mysearchnow.com

See "Extra itch.exe" jubin on samuti kahtlane...

Võid vast ka selle ära parandada: R3 - Default URLSearchHook is missing

[gerli2311]

Mysearchnow ja exstra itch.exe tulevad aja möödudes jälle tagasi.

[gerli2311]

Aga nortoniga on kah midagi korrast ära ja BHODemon leidis säänse värgi ainult. (Mysearchnow- d ei leidnudki)

Details for BHO C:\Program Files\Norton AntiVirus\NavShExt.dll
----------------------------------------------------------------------------------------
CLSID: {BDF3E430-B101-42AD-A544-FADC6B084872}
File Size (bytes): 103592
Time Accessed: 2004/3/7 0:0:0
Time Modified: 2003/8/18 1:34:14
Time Created: 2003/8/18 1:34:14
Drive Number: 2
Comments:
CompanyName: Symantec Corporation
FileDescription: Norton AntiVirusNAVShellExt Module
FileVersion: 10.00.109
InternalName: NAVShellExt
LegalCopyright: Norton AntiVirus 2004 for Windows 98/ME/2000/XP Copyright (c) 2003 Symantec Corporation. All rights reserved.
LegalTrademarks:
OLESelfRegister:
OriginalFilename: NAVShExt.dll
PrivateBuild:
ProductName: Norton AntiVirus
ProductVersion: 10.00.109
SpecialBuild:

[HacaX]

Norton ei peagi leidma
HBODaemon leidis NAVi kuna too on end IEsse integreeritud.

Kui sa räägid Extra Itch.exe mahavõtmisest siis kas see hõlmas ka toda mälus istuvat osa? Kui mitte siis tappa esmalt too maha (Ctrl-Alt-Del => processes => valid Itchi => end process) ja lase *siis* uuesti HijackThisiga üle. Muuda algusleht ära. *Tee alguslaadimine*. Tuleb ikka veel tagasi? Siis muuda uuesti algusleht ära. Nüüd peale brauseri sulgemist-taasavamist *peaks*olema ees see algusleht mille ise panid (oehh...)

[gerli2311]

No igatahes on nüüd 10 min juba õige algusleht olnud.

Ja suured tänud kõigile, kes aitasid.

[Djomka]

noo juhuks kui kellelgi see tagasi tuleb, siis mina minul oli ka täpselt sama asi ja lahti sain väga lihtsalt - uuendasin ad-aware'i ja spybot'i ning lasin uuesti nendega arvuti üle...
ilusti leidid üles ja enam pole probleemi ka

[Tomek]

Lõpp hea - kõik hea... kuni MSN Plus! uuenduseni. Siis jälle automatic install ja masin saasta täis.

Järgmisel uuendamisel valige "Custom install" ja seal siis "Ära paigalda sponsorprogrammi". Igatahes ei kaota te selle läbi midagi

[henri333]

otsi registris yles ja tee kõik võimalikud un installid mul on ka see asi sees olnud aga ma sain registtri abi selelst lahti 8) proovi kaa aga see on täiega jama asi

[henri333]

ja veel on ka abiks ad ware võta too ka too puhastab ka kõik ära

[Märt.]

[HacaX]

Kindlasti, aga RegEditiga parandamisel peab ka ettevaatlik olema: mõni kord ei tule mitte kogu stringi maha lasta vaid ainult osa ära kustutada. Kui lisada siia fakt, et spykillerid võivad asjaga tegeledes avastada ka muud kraami (mille masinas elutsemisest sul aimugi ei olnud) ja et LSP hijackerite kallale minemisel võivad kohati üpris kurvad tagajärjed olla siis soovitaks keskmisele arvutikasutajale iga kell need lisaminutid ohverdada ning käsitsi häkkimise asemel parandamiseks ettenähtud programme jooksutada.

[Max Powers]

Http://search-town.com tuleb avaleheks

Tundub mingi uuem asi olevat. Kui see kedagist siin juba vaevab siis lingilt peaks abi saama

[henri333]

ad-ware tegelt ei võta nagu ära aga selline asi nagu Cwshedder on ka olemas ja too peaks vist ära näitama kuhu on spyware ennast registrisse peitnud no ja sis seal nagu teada on ju kolm asjaRegistry value:
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http://
need muuda registris selliseks ja läheb vähem aega kui uue winni pealepanekuga mina sain hakkama

[mad]

spysweeperi nimelisel programmil on mingi lisa : browser homepage shield. äkki on sellest kasu?

[henri333]

tõma endale CWshredder ja Hijakthis ja siis safe mode alt tööle (Bootimisel F8) no scannid üle ja ongi

[Max Powers]

[Djomka]

ühe päevaga jäi hilljaks, muidu oleks viimasest postist siin teemas täpselt 6 kuud mõõdas olnud

[Kull]

see ajab mu hulluks, kustutad registrist ära, kustutad hijackeriga ära, kurat, ikka ronib koduleheks tagasi

[HacaX]

Viska HijackThisi (*viimase* versiooni, s.t. 1.99) logi siia, vaatame mis silma hakkab (kui CWShredder/SpyBot/Ad-aware (ja jutt ikka viimastest versioonidest - 2.1, 1.4beta, SE 1.05) lahti ei saa).

[Kull]

aitas selline asi, kui uninstallisin selle vigase MSN Plus´i.

[Nokia]

Tere, tegin ka scanni ja tahaks teada, et kas mul ka siin midagi ohtliku on?

Logfile of HijackThis v1.99.0
Scan saved at 13:54:43, on 3.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Lepik\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neti.ee/
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107350463686

[HacaX]

Iseenesest korras, kui välja arvata see, et sul ühtegi servicepack'i/antiviirust/tulemüüri peal ei ole...

[Nokia]

[HacaX]

Selle lause najal pead vanduma, et ei tule HV'sse kunagi kurtma, et viirus pühkis kõvaketta tühjaks või et keegi tundmatu kasutab su masinat SMTP serverina spämmi laiali saatmiseks

[Nokia]