Samoistnie uruchamia się IE


(Allnews) #1

Problem jest taki, że podczas użytkowania Firexox'a (nie używam IE 7.0, używam Firefoxa 1.5.0.12), samoczynnie uruchamia się przeglądarka IE i otwiera sie dowolna stronka za każdym razem inna, takie których nie znam i nie mam ich dodanych do ulubionych, nie wiem jak tego się pozbyć, antywirus oczywiście milczy..

Wykonałam loga z hijacka i wygląda on tak:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:13:40, on 2008-06-02

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20733)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\AQQ\AQQ.exe

C:\Program Files\Skype\Phone\Skype.exe

E:\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Mozilla Firefox 3 Beta 4\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: SafeGuard Popup Blocker - {B824E7B0-E8E3-4D75-895E-2C309EA4CC5D} - C:\Program Files\SafeGuard Popup Blocker Pro\SGPopupBlocker.dll

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [skyTel] SkyTel.EXE

O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\PowerDVD\PDVDServ.exe"

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [AQQ] C:\PROGRA~1\AQQ\AQQ.exe

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [Gadu-Gadu] "E:\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {D5770C25-E0F4-4bb9-BCB6-DB17F7BFBB7F} - C:\Program Files\SafeGuard Popup Blocker Pro\PBOptions.exe

O9 - Extra 'Tools' menuitem: Popup Blocker Options - {D5770C25-E0F4-4bb9-BCB6-DB17F7BFBB7F} - C:\Program Files\SafeGuard Popup Blocker Pro\PBOptions.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 7077 bytes

Nie orientuję się co może być źle więc proszę o radę, naprawdę nie wiem co się dzieje i jak się do tego zabrać.

Proszę o pomoc jak się z tym uporać.

Z góry dziekuję za wszelkie porady.


(Łukasz14) #2

Carissa , log wydaje się czysty. A co za strony Ci wyskakują?


(Allnews) #3

Różne, jest około 3 stronek które sie cały powtarzają - jedna z nich to wyniki wyszukiwania z google, ale nie powiem w tej chwili czego, nie pamietam. Druga to np. http://webfetti.smileycentral.com/downl ... r=ZKxdm012 i tu próbuje mi cos instalować.. Odruchowo wyłaczam te okienka, no ale to się dzieje na jakąkolwiek stronę wejdę i jest już trochę denerwujace. HELP.


(Leon$) #4

wpisy

usuń HijackThisem >> Fix checked

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Pobierz Deckard's System Scanner (DSS) http://www.searchengines.pl/index.php?s ... ntry392369 przeskanuj daj log Main.txt

:slight_smile:


(Allnews) #5

A więc tak.. zrobiłam wszystko zgodnie z zaleceniami do momentu skanowania za pomocą DSS - tutaj pojawia się standardowy tekścik "wystąpił błąd z aplikacją dss.exe i zostanie zamknięta".. Log z avengera tutaj: http://wklej.org/id/ef0eff2797.

A problem jak jest tak był... ale tak myślałam że nie chodzi o ten program do blokowania pop-up'ów, bo zainstalowałam go w ten weekend, a problem jest już od jakiegoś czasu.

Dziękuje bardzo za poradę i niestety czekam na dalsze :frowning:

W dniu 02.06.2008 , o godzinie 21:39 został dopisany post przez Carissa

a jedna ze stronek o których mówiłam, ta z wynikami wyszukiwania z goole - to pokazują mi się wyniki "free travel"..... :?


(Gutek) #6

Skan + raport http://www.kaspersky.pl/virusscanner.html


(Allnews) #7

Ok, przeskanuję i wrzucę raporta :wink: trochę to potrwa więc pewnie dopiero jutro.. jutro walczymy dalej

W dniu 03.06.2008 , o godzinie 8:00 został dopisany post przez Carissa

Oto raport: http://www.wklej.org/id/bc4cc643f6

:confused:

W dniu 03.06.2008 , o godzinie 13:35 został dopisany post przez Carissa

No to wg Kasperskyego wyhodowałam takie wirusy:

AdWare.Win32.Veevo.a

P2P-Worm.Win32.Kapucen.b

Backdoor.Win32.Visel.no

Backdoor.Win32.Rbot.pbz

Backdoor.Win32.Rbot.bqa

Trojan-Dropper.Win32.Delf.xo

AdWare.Win32.Gator.3202

Proszę pomóżcie jak to cholerstwo pousuwać, i czy to wogóle może być przyczyną tych wyskoków IE..


(Leon$) #8

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

nie foldery tylko obszar Mój komputer

:slight_smile:


(Allnews) #9

raport po skanowaniu Mojego komputera - http://wklej.org/id/77fed03572

a skrótowo:

C:\System Volume Information_restore{07ADCEDF-F6B1-4D9A-8287-A1431D98E1CD}\RP2\A0000114.dll AdWare.Win32.Veevo.a

D:\System Volume Information_restore{07ADCEDF-F6B1-4D9A-8287-A1431D98E1CD}\RP2\A0000110.dll Backdoor.Win32.Rbot.pbz

D:\System Volume Information_restore{07ADCEDF-F6B1-4D9A-8287-A1431D98E1CD}\RP2\A0000113.dll Backdoor.Win32.Rbot.pbz

E:\System Volume Information_restore{07ADCEDF-F6B1-4D9A-8287-A1431D98E1CD}\RP2\A0000106.exe/stream/data0019 AdWare.Win32.Gator.3202

E:\System Volume Information_restore{07ADCEDF-F6B1-4D9A-8287-A1431D98E1CD}\RP2\A0000106.exe/stream AdWare.Win32.Gator.3202

E:\System Volume Information_restore{07ADCEDF-F6B1-4D9A-8287-A1431D98E1CD}\RP2\A0000106.exe NSIS

HELP :frowning:

W dniu 03.06.2008 , o godzinie 18:30 został dopisany post przez Carissa

Pliki tamte wymienione wyżej usunęłam normalnie, ręcznie - zanim przeczytałam wiadomość od Leon$.. avenger ich już nie znalazł, ale tutaj w razie czego raport:

http://wklej.org/id/8e3a9902c2

a IE nie popuszcza, i wciąż wyskakuje..


(Leon$) #10

Aby to usunąć obowiązkowo Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 przeskanuj daj log

Silent Runners http://www.searchengines.pl/index.php?showtopic=15989&st=15 przeskanuj daj log

:slight_smile:


(Allnews) #11

Log z SILENT RUNNERS: http://wklej.org/id/6f52b80470