Witam mam problem, gdy wyszukuje jakieś hasło w googlach to po kliknięciu przekierowuje mnie na jakies beznadziejne strony, uzywałem juz np. spybotu i nic problem jest nadal…
Tak ma to wyglądać
Asterisk
Masz ukraińską infekcję czyli Rootkit “Windows Security Center”.
Użyj FixWareout
Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.
Potem te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.
Nie pomyl się przy “017”!
Widzę w logu, że system został w sposób szkodliwy przerobiony, ale na to jest tylko jedna rada: sformatowanie dysku.
Ale chyba nie warto tego robić, jeśli te przeróbki Ci w niczym nie przeszkadzają?
Potem daj tu:
-
raport z C:\FixWareout.txt
-
log z DeckardSS (na dole tej strony z linku) -
Log wklej na http://wklej.org/, a w poście daj tylko link.
jessi
Username “Rumun” - 2007-09-01 23:51:26 [Fixwareout edited 2007/07/05]
»»»»»Prerun check
HKLM\SOFTWARE~\Winlogon\ “System”=“kdbaa.exe”
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces{9FF3239E-A5BE-4B07-B9E7-8870179067D0}
“nameserver”=“85.255.116.99,85.255.112.226”
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces{AC45FD61-C044-4E53-8AF6-61FCAE8211C2}
“nameserver”=“85.255.116.99,85.255.112.226”
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces{9FF3239E-A5BE-4B07-B9E7-8870179067D0}
“DhcpNameServer”=“85.255.116.99,85.255.112.226”
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces{AC45FD61-C044-4E53-8AF6-61FCAE8211C2}
“DhcpNameServer”=“85.255.116.99,85.255.112.226”
Pomyślnie opróżniono pamięć podręczną programu rozpoznawania nazw DNS.
System was rebooted successfully.
»»»»» Postrun check
HKLM\SOFTWARE~\Winlogon\ “system”=""
…
…
»»»»» Misc files.
…
»»»»» Checking for older varients.
…
»»»»» Other
C:\WINDOWS\Temp\kdbaa.ren 71233 2007-06-13
»»»»» Current runs (hklm hkcu “run” Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“DAEMON Tools-1033”="“C:\Program Files\D-Tools\daemon.exe” -lang 1033 -lock"
“KernelFaultCheck”=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
“Flashget”=“C:\Program Files\FlashGet\flashget.exe /min”
“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe”
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe”
“RAM Medic”=“C:\Program Files\Iomatic\RAM Medic\RAMMedic.exe”
“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”="“C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe”"
“MSMSGS”="“C:\Program Files\Messenger\msmsgs.exe” /background"
“Gadu-Gadu”="“C:\Program Files\Gadu-Gadu\gg.exe” /tray"
“Free Uploader Oe Integration”=“C:\Program Files\Free Download Manager\FUM\fumoei.exe”
“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe”
…
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»
Złączono Posta : 02.09.2007 (Nie) 0:17
http://wklej.org/id/ac56aff153
Złączono Posta : 02.09.2007 (Nie) 0:28
działa dziekuje serdecznie
p.s
A czy te ,przeróbki’’ sa powazne?
Przecież pisałam wyraźnie, żebyś nie pomylił się przy fiksowaniu “017”, bo oprócz wpisów Rootkita, miałeś tam także wpisy prawidłowe.
A Ty sfiksowałeś także te prawidłowe!
Jeśl ustawiłeś już od nowa DNSy, to nie jest problem, ale jeśli nie ustawiłeś, to te prawidłowe wpisy przywróć z Backupu Hijacka.
Zobacz, co jest w tych nieznanych folderach. Prawdopodobnie jakieś pliki multimedialne, ale sprawdź to.
Nic tu więcej podejrzanego nie widzę.
jessi
Odzyskałem tamte 017 a w tamtych folderach nic nie ma a pozatym dziekuje
sam tego nigdy nie zrobił
To usuń te foldery, jeśli są puste.
jessi
Witam, mam ten sam problem z google co popuri. To moje logi z hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:30:00, on 2007-09-02
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\VDOTool\TBPanel.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\neostrada tp\neostradatp.exe
C:\Program Files\neostrada tp\ComComp.exe
C:\PROGRA~1\NEOSTR~1\Toaster.exe
C:\PROGRA~1\NEOSTR~1\Inactivity.exe
C:\PROGRA~1\NEOSTR~1\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\neostrada tp\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
e:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AQQ] C:\PROGRA~1\WapSter\AQQ\AQQ.exe
O4 - HKCU\..\Run: [BitTorrent] "E:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpeedX] C:\DOCUME~1\Ja\Pulpit\Speed-X.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D96E263-C719-4A7C-AB26-E918EA7C597E}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC4B4AB2-9D46-4210-9424-EB1EE901E301}: NameServer = 85.255.113.107,85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBB0DBC5-D61F-4423-83A5-502EFEBE49C4}: NameServer = 85.255.113.107,85.255.112.238
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.238
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.238
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - d:\Program Files\Ares\chatServer.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Proszę o pomoc , ponieważ staje sie to strasznie denerwujące
@Californian88 - Na tym forum nie mamy prawa odpowiadać na posty podczepione pod cudze tematy. Ro nieważne, że problem jest taki sam - każdy musi mieć założony własny temat.
W nowym, swoim temacie daj też od razu raport z C:\FixWareout.txt
Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.
jessi