Problem z google

Witam mam problem, gdy wyszukuje jakieś hasło w googlach to po kliknięciu przekierowuje mnie na jakies beznadziejne strony, uzywałem juz np. spybotu i nic problem jest nadal…

daj logi z Hijackthis i Silent Runners

http://forum.dobreprogramy.pl/viewtopic.php?t=36654


Tak ma to wyglądać

Asterisk

Masz ukraińską infekcję czyli Rootkit “Windows Security Center”.

Użyj FixWareout

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

Potem te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Nie pomyl się przy “017”!

Widzę w logu, że system został w sposób szkodliwy przerobiony, ale na to jest tylko jedna rada: sformatowanie dysku.

Ale chyba nie warto tego robić, jeśli te przeróbki Ci w niczym nie przeszkadzają?

Potem daj tu:

  1. raport z C:\FixWareout.txt

  2. log z DeckardSS (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

Username “Rumun” - 2007-09-01 23:51:26 [Fixwareout edited 2007/07/05]

»»»»»Prerun check

HKLM\SOFTWARE~\Winlogon\ “System”=“kdbaa.exe”

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces{9FF3239E-A5BE-4B07-B9E7-8870179067D0}

“nameserver”=“85.255.116.99,85.255.112.226”

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces{AC45FD61-C044-4E53-8AF6-61FCAE8211C2}

“nameserver”=“85.255.116.99,85.255.112.226”

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces{9FF3239E-A5BE-4B07-B9E7-8870179067D0}

“DhcpNameServer”=“85.255.116.99,85.255.112.226”

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces{AC45FD61-C044-4E53-8AF6-61FCAE8211C2}

“DhcpNameServer”=“85.255.116.99,85.255.112.226”

Pomyślnie opróżniono pamięć podręczną programu rozpoznawania nazw DNS.

System was rebooted successfully.

»»»»» Postrun check

HKLM\SOFTWARE~\Winlogon\ “system”=""

»»»»» Misc files.

»»»»» Checking for older varients.

»»»»» Other

C:\WINDOWS\Temp\kdbaa.ren 71233 2007-06-13

»»»»» Current runs (hklm hkcu “run” Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“DAEMON Tools-1033”="“C:\Program Files\D-Tools\daemon.exe” -lang 1033 -lock"

“KernelFaultCheck”=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\

65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

“Flashget”=“C:\Program Files\FlashGet\flashget.exe /min”

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe”

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe”

“RAM Medic”=“C:\Program Files\Iomatic\RAM Medic\RAMMedic.exe”

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”="“C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe”"

“MSMSGS”="“C:\Program Files\Messenger\msmsgs.exe” /background"

“Gadu-Gadu”="“C:\Program Files\Gadu-Gadu\gg.exe” /tray"

“Free Uploader Oe Integration”=“C:\Program Files\Free Download Manager\FUM\fumoei.exe”

“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe”

Hosts file was reset, If you use a custom hosts file please replace it

»»»»» End report »»»»»

Złączono Posta : 02.09.2007 (Nie) 0:17

http://wklej.org/id/ac56aff153

Złączono Posta : 02.09.2007 (Nie) 0:28

działa dziekuje serdecznie :smiley:

p.s

A czy te ,przeróbki’’ sa powazne?

Przecież pisałam wyraźnie, żebyś nie pomylił się przy fiksowaniu “017”, bo oprócz wpisów Rootkita, miałeś tam także wpisy prawidłowe.

A Ty sfiksowałeś także te prawidłowe!

Jeśl ustawiłeś już od nowa DNSy, to nie jest problem, ale jeśli nie ustawiłeś, to te prawidłowe wpisy przywróć z Backupu Hijacka.

Zobacz, co jest w tych nieznanych folderach. Prawdopodobnie jakieś pliki multimedialne, ale sprawdź to.

Nic tu więcej podejrzanego nie widzę.

jessi

Odzyskałem tamte 017 a w tamtych folderach nic nie ma a pozatym dziekuje

sam tego nigdy nie zrobił :smiley:

To usuń te foldery, jeśli są puste.

jessi

Witam, mam ten sam problem z google co popuri. To moje logi z hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:30:00, on 2007-09-02

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\VDOTool\TBPanel.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\neostrada tp\neostradatp.exe

C:\Program Files\neostrada tp\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Toaster.exe

C:\PROGRA~1\NEOSTR~1\Inactivity.exe

C:\PROGRA~1\NEOSTR~1\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\neostrada tp\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

e:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [AQQ] C:\PROGRA~1\WapSter\AQQ\AQQ.exe

O4 - HKCU\..\Run: [BitTorrent] "E:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [SpeedX] C:\DOCUME~1\Ja\Pulpit\Speed-X.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D96E263-C719-4A7C-AB26-E918EA7C597E}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC4B4AB2-9D46-4210-9424-EB1EE901E301}: NameServer = 85.255.113.107,85.255.112.238

O17 - HKLM\System\CCS\Services\Tcpip\..\{FBB0DBC5-D61F-4423-83A5-502EFEBE49C4}: NameServer = 85.255.113.107,85.255.112.238

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.238

O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.238

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.238

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - d:\Program Files\Ares\chatServer.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Proszę o pomoc , ponieważ staje sie to strasznie denerwujące :confused:

@Californian88 - Na tym forum nie mamy prawa odpowiadać na posty podczepione pod cudze tematy. Ro nieważne, że problem jest taki sam - każdy musi mieć założony własny temat.

W nowym, swoim temacie daj też od razu raport z C:\FixWareout.txt

FixWareout

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

jessi