Uporczywy Tradedoubler

Dla specjalistów Bezpieczeństwo
#1

mam problem z robakiem Tradedoubler, znajduję go Spybotem i usuwam ale po następnym restarcie on znowu się pojawia. Proszę o sprawdzenie loga i pomoc

#2

usuń wpisy HJT

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz MySQL

#3

Niepotrzebny wpis po AVG do wywalenia

#4

tego wpisu nie wywali HJT

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz AVG7 Resident Shield Service , ale zbedników jest więcej

#5

zrobiłem wg waszych instrukcji, jednak nie mogę wykasować:

O13 - DefaultPrefix:

O13 - WWW Prefix:

O13 - Home Prefix:

O13 - Mosaic Prefix:

O13 - FTP Prefix:

O13 - Gopher Prefix:

Złączono Posta : 25.11.2006 (Sob) 17:54

niestety ostatnie próby usunięcia szkodnika nic nie dały, dzisiaj po przeskanowaniu Spybotem Tradedoubler zrobił trzy wpisy.

proszę o pomoc

Logfile of HijackThis v1.99.1

Scan saved at 17:54:47, on 2006-11-25

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

D:\Programy użytkowe\eMule\emule.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\Programy użytkowe\anty-trojan\Programy do logów\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [spamihilator] “C:\Program Files\Spamihilator\spamihilator.exe”

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O13 - DefaultPrefix:

O13 - WWW Prefix:

O13 - Home Prefix:

O13 - Mosaic Prefix:

O13 - FTP Prefix:

O13 - Gopher Prefix:

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab

O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{76AF6661-0E3C-4CE6-9F2C-05285B73184F}: NameServer = 194.204.152.34 217.98.63.164

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

#6

Zapytam, czy cos więcej wiadomo na temat tego trdedoubler`a, bo to jest plik cookies. Kiedys Bit Defender reagował na niego i mi go wywalał, potem gdy kupiłem Kaspra było tak samo ale po niedługim czasie przestał reagować na ten plik choć on cięgle sie w katalogu cookies znajduje - co sie go usunie to wraca. Teraz gdy przeskanuje Spybot lub Ad-aware SE to ciągle go znajdują i usuwają.

Logi wrzucałem już kilka razy przy okazji innych problemów i były zawsze czyste !

#7

Ten problem występuje przy korzystaniu z IE, możesz zmienić przeglądarkę na alternatywę :slight_smile:

#8

A możesz powiedzieć dokładniej jaki to problem, czy to faktycznie jakis adware lub inne swinstwo, czy co? A ja korzystam praktycznie z Firefoxa, bardzo rzadko z IE, a on sie i tak pojawia bardzo często. Ale co to jest??