Text prvenstveno objasnjava kako da se uklone Begin2Search / CoolWebSearch, ali je jako poucan da bi se vidjela prava funkcija HijackThis programa.

======================================

Download-ovati i instalirati sljedeca 4 programa, svaki u njegov stalni folder:

1.) Spybot S&D (u daljem tekstu SSD) sa adrese: http://www.safer-networking.org ; tokom instalacije, dozvolite programu da odradi tzv. "immunise" vaseg racunara (tj. da ucini vas racunar otpornijim na spyware i sl. dosade), to traje samo nekoliko sekundi.

2.) Adaware Personal SE (u daljem tekstu APSE) sa adrese: http://www.lavasoftusa.com.

3.) HijackThis (u saljem tekstu HJT) sa adrese: http://www.tomcoyote.org/hjt/.

- napomena 1: procitati TomCoyoteove instrukcije za HJT!
- napomena 2: HJT ne instalirati na desktop ili u Temp folder!
- napomena 3: HJT sam pravi backup svega sto "popravlja", tako da se moze uraditi "undo" svih losih popravki!


4.) CWshredder (u daljem tekstu CWS) sa adrese: http://www.spywareinfo.com/~merijn/downloads.html ili http://cwshredder.net/bin/CWSInstall.exe.

kada pokusate da ih pokrenete pojedine anti-spyware aplikacije, varijante Coolwebsearch trojanaca ih zatvaraju (onemogucavaju). Ovo moze da se otkloni tako sto cete prvo download-ovati i pokrenuti tzv. CoolWWWSearch.SmartKiller sa adrese: http://www.safer-networking.org/files/delcwssk.zip. Nakon toga, CWS, HJT, SSD, APSE i jos neke palikacije bi trebale da rade ispravno (neometano).

Prije pokretanja bilo kog od navedenih programa (kako sada tako i kasnije), uvijek izvrsite najnoviji update programskih verzija i izvrsite on-line update SSD i APSE definicija.

U Windows Explorer-u ukljucite opcije "show all files and folders, including hidden and system". Korisna adresa za ukljucivanje ovih opcija za razne varijante operativnih sistema jeste: http://www.bleepingcomputer.com/forums/tutorial62.html.

Kada je sve odradjeno, potrebno je restartovati racunar i pokrenuti ga u Safe Mode-u. Korisna adresa za pokretanje racunara u Safe Mode-u za razne varijante operativnih sistema jeste: http://www.bleepingcomputer.com/forums/tutorial61.html.

Potrebno je isprazniti "Temp" folder: C:\Documents and Settings\{user}\Local Settings\Temp.

U Internet Exploreru, "Tools>Internet options" i isprazniti Temporary Internet Files, sve Offline sadrzaje i obrisati cookies-e.

PREPORUKA: Prestanite koristiti Internet Explorer, osim za Windows Update. Download-ujte Firefox sa adrese: http://www.getfirefox.com.

Ukoliko ste "zaradili" Begin2Search ili Websearch itd., prvo pokrenite CWShredder i pustite ga da popravi sve sto moze.

Nakon toga, pokrenite AdAware, kliknite "Start", UNcheck-irajte opciju "Scan for negligible risk entries", selektujte opciju "Perform full system scan" i kliknite na "Next". Pustite APSE da odradi svoj posao i obrisite sve sto nadje.

Sada je potrebno da pokrenete Spybot. Pustite i njega da popravi sve sto moze.

===============================================

Ponovo je potrebno restartovati racunar i pokrenuti ga u Safe Mode-u, a zatim pokrenuti Hijackthis, ali da svi ostali programi budu zatvoreni!

Sljedeca lista nije kompletirana, ali sadrzi nevaljalce koji se najcesce javljaju. Pustiti HJT da potrazi bilo sta od nize navedenog.

"Fix" svaki od nize navedenih procesa, ukoliko ih imate:

C:\WINDOWS\winupdate.exe
C:\WINDOWS\System32\DllHost.exe
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\System32\twink64.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINNT\system32\updatesp2.exe .... (sve instance)
C:\WINNT\system32\bcvsrv32.exe

(Gore navedeno moze da se nalazi ili u Windows ili u WINNT, zavisno od vaseg operativnog sistema)

C:\PROGRA~1\AWS\WEATHE~1\Weather.exe
C:\PROGRA~1\Web Offer\wo.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe

"Fix" SVAKI R0 i R1 ukoliko sadrze Begin2search, Coolwebsearch ili neki drugi dosadan Search, kao npr:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,Search***istant = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://websearch.drsnsrch.com/sidesearch.cgi?id=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,Search***istant = http://websearch.drsnsrch.com/sidesearch.cgi?id=

"Fix" SVAKI R3 koji sadrzi (no file) ili (file missing), kao npr:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - Default URLSearchHook is missing

"Fix" SVE O1 ulaze, kao npr:
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com

"Fix" SVAKI O2 sa (no name) i sa ili (no file) ili (file missing), kao npr:

O2 - BHO: (no name) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll (file missing)

Fix SVAKI OD NIZE NAVEDENIH O2, O3 i O4, oni su zagarantovani BADDIES, pobijte ih:

O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\SYSTEM\DSKTRF.DLL
O2 - BHO: ohb Cl*** - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\SYSTEM32\winb2s32.dll
O2 - BHO: MultiMPPObj Cl*** - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: Band Cl*** - {01F44A8A-8C97-4325-A378-76E68DC4AB2E} - C:\WINDOWS\systb.dll

O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\SYSTEM\WINB2S32.DLL

O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\winupdate.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [svc] C:\WINDOWS\system32\svc.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common Files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [vs2P38h] oddtreg.exe ..... (this one's [name between brackets] might vary)
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKCU\..\Run: [Weather] C:\PROGRA~1\AWS\WEATHE~1\Weather.exe 1
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [sp2update] updatesp2.exe
O4 - HKLM\..\Run: [Bcvsrv32] bcvsrv32.exe
O4 - HKLM\..\RunServices: [Bcvsrv32] bcvsrv32.exe
O4 - HKLM\..\RunServices: [sp2update] updatesp2.exe

Ovo su (pravi pravcati) primjeri spyware-a. Sve sto makar malo slici njima je sumnjivo. Ukoliko imate takvih, uradite "Google" pretragu samo sa imenom fajla. Ukoliko ne mozete da nadjete nikakvo objasnjenje za takav fajl - rjesenje je "Fix", a ukoliko ste u nedoumici - ostavite ga privremeno.

O4 - HKLM\..\Run: [mqkumupqecyfw] C:\WINDOWS\System32\xvbfxo.exe
O4 - HKLM\..\Run: [Rxagik] C:\WINDOWS\Meruoq.exe
O4 - HKLM\..\Run: [bgsocc] C:\WINDOWS\System32\bgsocc.exe
O4 - HKLM\..\Run: [jmruplg] C:\WINDOWS\Lmddwz.exe
O4 - HKLM\..\Run: [pgtaff] C:\WINDOWS\pgtaff.exe

"Fix" ovaj O9, ukoliko ga imate:

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (HKCU)

"Fix" ove O14, ukoliko ih imate:

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

"Fix" SVE O16 - DPF: ulaze, cak i ako imaju poznata / povjerljiva / uobicajena imena, kao npr:

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Cl***) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/...director/sw.cab

"Fix" SVE O17 - HKLM..... ulaze.

Sada kliknite na "Fix checked" dugme i pustite da HijackThis odradi svoj posao.

Nakon sto je HJT zavrsio, dok ste jos u Safe Mode-u, obrisite sve od navedenih foldera, ukoliko ih imate:

C:\Program Files\AWS\WEATHE~1
C:\Program Files\AWS
C:\Program Files\Web Offer
C:\Program Files\Windows ControlAd
C:\Program Files\AutoUpdate
C:\Program Files\Common Files\WinTools
C:\Program Files\TV Media
C:\WINDOWS\System32\P2P Networking

Za svaki slucaj, opet ispraznite "Temp" folder: C:\Documents and Settings\{user}\Local Settings\Temp

Konacno, restartujte racunar i pokrenite ga u normalnom modu i vidite kako se sada ponasa vas racunar.

===============================================

Ukoliko i dalje imate problema:

- opet restartujte racunar i pokrenite ga u Safe Mode-u,
- pokrenite HJT, ali da svi ostali programi budu zatvoreni,
- Kopirajte kompletan HJT log, pa ce vec neko biti u mogucnosti da vam pomogne.

===============================================