Przekierowanie na niechciane strony i coś jeszcze

system · 6 Listopad 2007 05:46

Witam Od pewnego czasu przekierowuje mnie z google na strony typu http://www.govitwiki , zenwiki.com, http://www.hrena.com, http://www.kotek, annuitywhiz.com, fast-loans.org. Niewiem jak pozbyć się dodatku Skype dla firefoxa.(z niebieską ikonką w prawym górnym rogu )Kerio zarejestrował w swym logu ( Nips ) atak misc-activity ( Bad traffic udp port 0 traffic) w kierunku wychodzącym(?!) , co mnie zaciekawiło .Obawiam się aplikacji szpiegujących - zwłaszcza że odbieram pewne sygnały od ludzi orientujących się na odległość. (GG) Niewiem czy nie są robione screeny z pulpitu … (naprawdę niewiem )

Czy aplikacja descript.ion (ukryta)na pulpicie jest czymś normalnym ? Pierwszy raz korzystam z narzędzi diagnostycznych. . Będę wdzięczny za sprawdzenie loga jak i każdą wskazówkę co do bliższego zdiagnozowania problemu ( :P)

Logfile of HijackThis v1.99.1

Scan saved at 06:06:30, on 2007-11-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe

E:\PROGRAMY INSTALOWANE JUŻ\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

E:\PROGRAMY INSTALOWANE JUŻ\foobar 0.9.4.3\foobar2000.exe

C:\WINDOWS\system32\sndvol32.exe

D:\P\eMule\emule.exe

C:\Program Files\Windows NT\Accessories\WORDPAD.EXE

E:\PROGRAMY INSTALOWANE JUŻ\a-squared Free\a2service.exe

C:\WINDOWS\system32\taskmgr.exe

E:\PROGRAMY INSTALOWANE JUŻ\Gadu-Gadu\gg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

G:\RÓŻNOŚCI\hijackthis\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Windows NT\Accessories\WORDPAD.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=61005

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61005

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=61005

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=61005

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=61005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\PROGRAMY INSTALOWANE JUŻ\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase2895.cab

O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) - 

O17 - HKLM\System\CCS\Services\Tcpip\..\{BF928225-67CC-409C-98C9-A4B8ACA2CADA}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - E:\PROGRAMY INSTALOWANE JUŻ\a-squared Free\a2service.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Program Files\WinClamAVShield\sp_clamsrv.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

Dziękuję

jessica · 6 Listopad 2007 06:57

Nie widzę w logu nic podejrzanego.

Możesz dać jeszcze log z ComboFix .

jessi

system · 6 Listopad 2007 08:15

ComboFix 07-11-01.1** - :) 2007-11-06 8:58:37.1 - NTFSx86

jessica · 6 Listopad 2007 08:28

ComboFix usunął samoczynnie jednego Trojana i dwa robaki.

I nic więcej podejrzanego w logu już nie widzę.

Czy poprawiło to sytuację?

jessi

system · 6 Listopad 2007 08:49

kdvld.exe --czy to był trojan ?

ps. czy zmiany jakie wywołał Combo Fix są normalne ? —log ze spybot’a

2007-11-06 05:14:39 Zezwolono (based on user decision) value "KernelFaultCheck" (new data: "") usunięte in System Startup global entry!

2007-11-06 08:54:25 Zezwolono (based on user decision) value "AutoRun" (new data: "") usunięte in Command processor!

2007-11-06 08:55:17 Zezwolono (based on user decision) value "Search Bar" (new data: "") usunięte in Browser page!

2007-11-06 08:55:48 Zezwolono (based on user decision) value "SearchAssistant" (new data: "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm") zmienione in Browser page!

2007-11-06 08:55:56 Zezwolono (based on user decision) value "CustomizeSearch" (new data: "http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm") zmienione in Browser page!

2007-11-06 08:56:03 Zezwolono (based on user decision) value "load" (new data: "") usunięte in NT startup!

2007-11-06 08:56:10 Zezwolono (based on user decision) value "run" (new data: "") usunięte in NT startup!

2007-11-06 08:56:21 Zezwolono (based on user decision) value "scrnsave.exe" (new data: "") usunięte in Desktop settings!

2007-11-06 08:56:23 Zezwolono (based on user decision) value "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}" (new data: "") dodane in Internet Explorer searches!

2007-11-06 09:05:56 Zezwolono (based on user decision) value "System" (new data: "") zmienione in Winlogon!

2007-11-06 09:06:38 Zezwolono (based on user decision) value "combofix" (new data: "C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat") dodane in System Startup global entry!

2007-11-06 09:08:45 Zezwolono (based on user decision) value "combofix" (new data: "") usunięte in System Startup global entry!

Jessi ----dzięki

jessica · 6 Listopad 2007 08:58

“kdvld.exe” - tak, to był Trojan.

ComboFix wywołuje pewne zmiany, ale trudno mi powiedzieć, czy także akurat te, które wystąpiły u Ciebie.

jessi