Форум Торонто - Torontovka.com
[Search] [Rules] [Register] [Login]
Forums » Archive » I hate POPUPS!!!!! 
Page: 1 2 [All]
Author Message
Joined: 8/15/2002
Posts: 2710
Posted on Sunday, March 14, 2004 11:19:00 PM
 
Закачалась мне в общем эта дрянь. Антивирус ее не находит, всякие spyware detectors требуют бабки, те что не требуют пользы с них как с козла молока. Некоторые еще и умудляются в договоре написать, что почистим, но хотим доступ ко всем .doc файлам (полезно эту фигню порой читать оказывается) :-)

В общем: ААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА!!!!!!!!

Не хочу диск форматировать. Куча невосполнимаой инфы на нём :-(((((((((
Joined: 10/28/2003
Posts: 1842
Posted on Sunday, March 14, 2004 11:53:00 PM
 
А какой у тебя процессор?

Ну хотя бы пример здесь повесь, что там у тебя открывается, а то никакого полезного совета не получишь
Joined: 10/28/2002
Posts: 1843
Posted on Monday, March 15, 2004 12:08:00 AM
 
Ispolzyi Opery vmesto IE. Nikakix pop-upov ne bydet, tol'ko vot na torontovke po rysski ne pishet:((
Joined: 8/11/2002
Posts: 248
Posted on Monday, March 15, 2004 12:53:00 AM
 
Ad-aware and spyboat. these are free. kill all the pop ups.
Joined: 10/28/2003
Posts: 1842
Posted on Monday, March 15, 2004 1:08:00 AM
 
Joined: 7/14/2002
Posts: 3304
Posted on Monday, March 15, 2004 9:26:00 AM
 
Стаська а ты Adaware 6.0 вкупе с Касперкой пробовала?
Joined: 1/21/2003
Posts: 2768
Posted on Monday, March 15, 2004 9:56:00 AM
 
Ребята, я вчера «зайдя за неск-ко дней» получила вирус (и что обидно- точно с Торонтовки, момент открытия одного файла, ну это ладушки – моя проблема, я её решу) но есть вопрос такой вот несентементальный – а можно, чтобы этого в буд-щем точно не случалось? И как? Мечта моя девичья? =)
Joined: 1/21/2003
Posts: 2768
Posted on Monday, March 15, 2004 9:59:00 AM
 
НесентИментальный, конечно. (расстроилась очень =(
Joined: 9/5/2001
Posts: 3745
Posted on Monday, March 15, 2004 12:17:00 PM
 
Use "hijackthis" (search and download from google) - and post here report... I can take a look later...
Joined: 12/28/2003
Posts: 178
Posted on Monday, March 15, 2004 2:40:00 PM
 
Правила поведения на Internet'e и др.
==============================

NO's:
~~~
1. Never click Yes or OK in any pop-up message boxes
2. Never install software from unknown sources
3. Never open email attachments even if from people you know
4. Disable Messenger service in Administrative Tools
5. (If WinXP) set 'Protect My Computer' option for all connections
6. Never give away you email address online (to avoid SPAM)

YES's:
~~~~
1. Install Antivirus program (update it on a regular basis)
2. Install Firewall program
3. Install Windows Updates (critical)
4. Install Ad-Aware (update & run on a regular basis)
5. Install Google Toolbar (to supress all pop-ups)

==================================

+ меняй блок питания раз в 2-3 года (чтобы не сгорел компьютер)

... Это краткий свод золотых правил.

ER
Joined: 9/3/2001
Posts: 22722
Posted on Monday, March 15, 2004 3:33:00 PM
 
значит так , если ad aware и антивирус ничего не находят то у тебя messenger spam
лечится это так http://www.re-quest.net/computers/messenger-spam/ здесь все описанно
Joined: 8/15/2002
Posts: 2710
Posted on Monday, March 15, 2004 5:47:00 PM
 
Ребята, спасибо огромное за помощь.
К сожалению все вышеперечисленные программы я уже перепробовала. Кроме того никакие атачменты не открывала и вообще фиг его знает откуда оно появилось вдруг. В Program Files наинсталировалось куча всякой дряни рекламной. :-(((
SpyBot вчера днем мило выдало "congradulations your computer is clean now" на фоне продолжающих открываться попапс :-)))


Бэмби, вот результат hijakthis:

Logfile of HijackThis v1.97.5
Scan saved at 5:43:13 PM, on 15/03/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Insall\Apache Group\Apache2\bin\Apache.exe
C:\Program Files\NavNT\defwatch.exe
C:\insall\iFtpSvc\iFtpSvc.exe
C:\Program Files\NavNT\rtvscan.exe
C:\Insall\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\TDispVol.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Insall\QuickTime\qttask.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\D-Link\AirPro Utility\WLANmon.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\t2HP0.exe
C:\Program Files\Bargain Buddy\bin\bargains.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\Common files\updater\wupdater.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe
C:\Documents and Settings\Enchantress\Application Data\eilu.exe
C:\Program Files\Common Files\PSD Tools\blengine.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\wnstsit.exe
C:\Program Files\SpyKiller\spykiller.exe
C:\Insall\ABBYY Lingvo\LvAgent.exe
C:\Insall\INCRED~1\bin\IMApp.exe
C:\Insall\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Insall\Webshots\WebshotsTray.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Enchantress\Local Settings\Temp\Temporary Directory 1 for hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132702
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ca/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
F2 - REG:system.ini:
Joined: 10/28/2003
Posts: 1842
Posted on Monday, March 15, 2004 11:50:00 PM
 
http://www.mozilla.org/products/firebird/ - Установи вот это и используй.


C:\Program Files\Bargain Buddy\bin\bargains.exe - троян
C:\Program Files\Internet Optimizer\optimize.exe - троян
C:\Program Files\ISTsvc\istsvc.exe - троян

Так называемый оптимизатор интернета это не что иное как dialer, используется как междугородний телефон, так что если у тебя в компе нет обычного модема (56k или ниже,) то считай что тебе повезло.

C:\Program Files\Common files\updater\wupdater.exe - windows update может конфликтовать с Казой. И вообще, если на машине есть каза, ее лучше убрать. В крайнем случае используй kazaa light.
Joined: 8/15/2002
Posts: 2710
Posted on Tuesday, March 16, 2004 10:11:00 AM
 
За браузер спасибо. Но попапс открываются даже если ничего не открыто. Насчет модема и правда повезло. У меня кабель.
А что с этими троянами делать? :-(((
Я их вчера пыталась стереть, не стераются, копалась в registry в общем "имела фан" ничего не получается.
Joined: 8/15/2002
Posts: 2710
Posted on Tuesday, March 16, 2004 10:23:00 AM
 
После моего длительного издевательства над компьютером c (и наоборот) помощью hijackthis и в ручную .
Вот опять результат hijackthis
Теперь еще чтото есть?
Logfile of HijackThis v1.97.5
Scan saved at 10:22:56 AM, on 16/03/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Insall\Apache Group\Apache2\bin\Apache.exe
C:\Program Files\NavNT\defwatch.exe
C:\insall\iFtpSvc\iFtpSvc.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Insall\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\TDispVol.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Insall\QuickTime\qttask.exe
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\t2HP0.exe
C:\Program Files\Common files\updater\wupdater.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Documents and Settings\Enchantress\Application Data\eilu.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Insall\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wnstsit.exe
C:\Insall\ABBYY Lingvo\LvAgent.exe
C:\Insall\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Insall\Webshots\WebshotsTray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Enchantress\Local Settings\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Insall\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Insall\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SIDEBAR] C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Webshots.lnk = C:\Insall\Webshots\WebshotsTray.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Joined: 11/25/2003
Posts: 71
Posted on Tuesday, March 16, 2004 10:34:00 AM
 
я сам не большой программер, но пока с вирусами справляться удавалось.
пойди на symantec.ca и вбей в поиск по очереди все .exe файлы, которые вызывают подозрение. они тебе в ответ выдадут, вирус ето или нет, и раскажут, как с ним бороться (даже если нортон самостоятельно вирус удалить не может, проинструктируют, как удалить вручную).
а с поп(ап)ами смотри пост выше: поставь spybot и в настройках отметь block all... только он не попы блокирует, а файлы от tracking companies. одним словом, там все просто - разберешся.

удачи.
Joined: 11/25/2003
Posts: 71
Posted on Tuesday, March 16, 2004 10:45:00 AM
 
смотри, вот это твой wuauclt.exe

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.clt.html
Joined: 8/15/2002
Posts: 2710
Posted on Tuesday, March 16, 2004 11:26:00 AM
 
Cool. spasibo
a teper'?


Logfile of HijackThis v1.97.5
Scan saved at 11:28:21 AM, on 16/03/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Insall\Apache Group\Apache2\bin\Apache.exe
C:\Program Files\NavNT\defwatch.exe
C:\insall\iFtpSvc\iFtpSvc.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Insall\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\TDispVol.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Insall\QuickTime\qttask.exe
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\t2HP0.exe
C:\Program Files\Common files\updater\wupdater.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Documents and Settings\Enchantress\Application Data\eilu.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Insall\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wnstsit.exe
C:\Insall\ABBYY Lingvo\LvAgent.exe
C:\Insall\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Insall\Webshots\WebshotsTray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Enchantress\Desktop\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Insall\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Insall\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SIDEBAR] C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Webshots.lnk = C:\Insall\Webshots\WebshotsTray.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Joined: 8/15/2002
Posts: 2710
Posted on Tuesday, March 16, 2004 11:34:00 AM
 
rrrrrrrrrrrrrrr, esche 2 virusa. Teh kto virusi delaet chetvertovat' nado, na glavnoy ploschadi, ili net, im nado dat' sdelat' project na paru mesyatsev a potom im vseh ih na computer zakachat', blin :-(
Joined: 9/5/2001
Posts: 3745
Posted on Tuesday, March 16, 2004 12:03:00 PM
 
http://www.rockymountain.com/ref_startup.htm#O

http://www.3feetunder.com/krick/startup/list.html

There's so much Toshiba-specific software running, it's hard to know what to advise.

But please take a look at this - http://www.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ee.html - I'm not sure if this is one of your issue but last hijackthis is kind too small...

I can't find anything regarding this: C:\WINDOWS\t2HP0.exe
So I would say either remove this file or rename... if you don't know what is that...


C:\Program Files\Common files\updater\wupdater.exe
Wupdater is a backdoor program that logs your keystrokes.
SO I would recommend to remove this one too :) using hijackthis
Then reboot, find and delete this folder :-
C:\Program Files\Common files\updater\wupdater.exe


C:\Documents and Settings\Enchantress\Application Data\eilu.exe
don't know about this one...



C:\WINNT\System32\wnstsit.exe
is the latest versions of mindspring that are popping up everywhere
Delete this file
C:\WINNT\System32\wnstsit.exe



O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
This is also doesn't look good... Fix this :)



That's it for now... try those fixes and post you hijackthis again if you still has problems
Joined: 9/5/2001
Posts: 3745
Posted on Tuesday, March 16, 2004 12:06:00 PM
 
wow пока тут на работе занят был уже куча изменений :)... лана переписывать не буду - сама смотри ... если до вечера лучше не станет - еще разок посмотрю :)
Joined: 8/15/2002
Posts: 2710
Posted on Tuesday, March 16, 2004 1:02:00 PM
 
ubirau a vsyo vozraschaetsya na mesto posle perezagruzki
Joined: 9/5/2001
Posts: 3745
Posted on Tuesday, March 16, 2004 1:12:00 PM
 
After you remove with hijackthis you need either rename/delete folder/file or login in safe mode and clean this all stuff from there
Joined: 8/15/2002
Posts: 2710
Posted on Wednesday, March 17, 2004 9:20:00 PM
 
spasibo vsem ogromnoe za pomosch.
do sih por kopayus' s compom. :-(
v obschem vsyo chto smogla perepisala na diski.
formatirovat' pridetsya, ne vsyo ubiraetsya + mnogoe poporchenno :-(
Joined: 8/15/2002
Posts: 2710
Posted on Wednesday, March 17, 2004 10:32:00 PM
 
aaaaaaaaaaa, karaul. pereformatirovala vsyo nafig virus ostalsya :-(

TFNF5.exe

http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ee.html#removalinstructions
Joined: 4/23/2001
Posts: 11337
Posted on Thursday, March 18, 2004 1:15:00 AM
 
Энчантрес, для того чтоб ранить веб сервера на домашнем компьютере, нужны особо веские причины. А пускать Апач под виндами это, насколько я слышал, очень небезопасно если ты не эксперт по windows security.
Дешёвый хостинг (со всеми прибамбасами) можно найти за пять долларов в месяц. Удачи.
Joined: 8/15/2002
Posts: 2710
Posted on Thursday, March 18, 2004 1:30:00 AM
 
Maxim, mne apache dlya raboti bil nuzhen. Ya ne mogla ego NE installirovat'.

Naschet faila o kotorom ya napisala...symantec kozeeeeeeel, a ya lopuuuuuuuh.
Netu v etom faile nikakogo virusa, on vidaet etu infu po zaprosu o etom faile tolko potomu chto this file gets affected as well as others.

Oy oy oy.
Vsem esche raz bolshoe spasibo. :-)
Page: 1 2 [All]
Forums » Archive » I hate POPUPS!!!!! 
Copyright © 2020 Torontovka.com, All rights reserved