Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Przekierowanie stron. Zamieszczony log.

Borys85 12 Mar 2006 12:18 2789 7
  • #1
    Borys85
    Level 19  
    1. Znajomy wpisuje na google np. "elektroda"
    2. Po znalezieniu paru(set) stron klika na wybrany link.
    3. Następuje przekierowanie na sróżne strony (m. in. www.simsing.de www.google.de www.213.83.55.150/promo.html )

    Wklejam log z Hijackthis-a (PS WG mnie czysty, pomijając zbędne aplikacje TP) i z programu Ad-ware (PS Tutaj się nie orientuję.)


    Code:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:35:46, on 2006-03-12
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SYSTEM32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
    C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\apvxdwin.exe
    C:\Program Files\Wanadoo\taskbaricon.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    C:\Documents and Settings\xxx\Pulpit\Nieużywane skróty pulpitu\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {19F301FE-5CBC-45E8-9E15-5194A7D3AD43} - C:\WINDOWS\system32\ciaSvbClsSvr.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
    O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [QuickTime Task] "G:\roboty\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
    O4 - HKCU\..\Run: [PicoZip] F:\INSTAL~1\PICOZIP\PicoZipTray.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{146FBB7D-9861-46E8-98E5-7F63461F68D5}: NameServer = 194.204.152.34 217.98.63.164
    O17 - HKLM\System\CS1\Services\Tcpip\..\{146FBB7D-9861-46E8-98E5-7F63461F68D5}: NameServer = 194.204.152.34 217.98.63.164
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
    O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
    O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
    O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
    O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
    O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe






    Code:
    ArchiveData(auto-quarantine- 2006-03-11 21-29-19.bckp)
    
    Referencefile : SE1R96 09.03.2006
    ======================================================

    MRU LIST
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[0]=MRU FileReference : C:\Documents and Settings\xxx\recent\Desktop.ini
    obj[1]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles\c1
    obj[2]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c1
    obj[3]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c2
    obj[4]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c3
    obj[5]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c4
    obj[6]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c5
    obj[8]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\ahead\cover designer\recent file list
    obj[9]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\ahead\nero - burning rom\recent file list
    obj[10]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\direct3d\mostrecentapplication name
    obj[11]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
    obj[12]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\direct3d\mostrecentapplication name
    obj[13]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
    obj[14]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name
    obj[15]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\directinput\mostrecentapplication name
    obj[16]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\directinput\mostrecentapplication id
    obj[17]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\internet explorer download directory
    obj[18]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\internet explorer\main save directory
    obj[19]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\medialibraryui mllastselectednode
    obj[20]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\player\settings opendir
    obj[21]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\preferences lastplaylistindex
    obj[22]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\preferences lastplaylist
    obj[23]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\preferences searchpath
    obj[24]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\microsoft management console\recent file list
    obj[25]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\clip organizer\search\last query
    obj[26]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\common\general symbolmru
    obj[27]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\common\search\last query
    obj[28]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\excel\recent files
    obj[29]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\search assistant\acmru\5603
    obj[30]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\search assistant\acmru\5604
    obj[31]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\powerpoint\recentfolderlist
    obj[32]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\applets\paint\recent file list
    obj[33]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\explorer\recentdocs\.rar
    obj[34]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\explorer\recentdocs\Folder
    obj[76]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips8
    obj[69]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips1
    obj[70]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips2
    obj[71]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips3
    obj[72]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips4
    obj[73]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips5
    obj[74]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips6
    obj[75]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips7
    obj[65]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\LastLoginTime
    obj[105]=MRU RegReference : .DEFAULT\software\microsoft\windows media\wmsdk\general computername
    obj[106]=MRU RegReference : S-1-5-18\software\microsoft\windows media\wmsdk\general computername
    obj[107]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows media\wmsdk\general computername
    obj[108]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\winrar\dialogedithistory\extrpath



    COOLWEBSEARCH
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[41]=Regkey : interface\{18e6c36a-c45f-4b60-a1a4-5c0bb16d4cc2}
    obj[62]=Regkey : software\microsoft\downloadmanager
    obj[63]=RegValue : software\microsoft\internet explorer\search\searchproperties\en-us "SingleProvider"
    obj[64]=RegValue : software\microsoft\internet explorer\search "SearchAssistant"
    obj[65]=RegValue : software\microsoft\internet explorer\main "Use Custom Search URL"
    obj[66]=RegValue : software\microsoft\internet explorer\main "Enable Browser Extensions"
    obj[67]=RegValue : software\microsoft\internet explorer\main "Search Bar"
    obj[75]=Plik : C:\WINDOWS\system32\wbem\logs\wbemess.log

    VX2
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[42]=Regkey : typelib\{3fa866ac-40d7-4fe6-babf-78ee854a4325}
    obj[43]=Regkey : interface\{a42c0ef4-1c76-43cc-989f-eadc7e4b755d}
    obj[68]=Regkey : software\vendor\xml
    obj[69]=Regkey : software\vendor
    obj[76]=Plik : C:\DOCUME~1\xxx\USTAWI~1\Temp\binkw32.dll

    INTEXUSDIAL
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[44]=Regkey : software\intexusdial
    obj[45]=RegValue : software\intexusdial "PreNumber"
    obj[46]=RegValue : software\intexusdial "DeviceName"
    obj[47]=RegValue : software\intexusdial "Country"
    obj[48]=RegValue : software\intexusdial "Language"
    obj[49]=RegValue : software\intexusdial "Machine"
    obj[50]=RegValue : software\intexusdial "InstallFlags"
    obj[51]=RegValue : software\intexusdial "PassFlags"
    obj[52]=RegValue : software\intexusdial "Password"
    obj[70]=Regkey : software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\- clevercrackers -
    obj[71]=Regkey : software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\- p2p -
    obj[72]=RegData : software\microsoft\internet explorer\main "Check_Associations"

    POSSIBLE BROWSER HIJACK ATTEMPT
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[53]=Regkey : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7}
    obj[54]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} "Installer"
    obj[73]=Plik : C:\Documents and Settings\xxx\Ulubione\Onet.pl - Polski Portal Internetowy.url
    obj[74]=Plik : C:\Documents and Settings\xxx\Ulubione\MotoNet.pl - Internetowa Giełda Samochodowa [ motocykl ].url

    TRACKING COOKIE
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[55]=IECache Entry : Cookie:xxx@stat.4u.pl/cgi-bin/
    obj[56]=IECache Entry : Cookie:xxx@mediaplex.com/
    obj[57]=IECache Entry : Cookie:xxx@partners.webmasterplan.com/
    obj[58]=IECache Entry : Cookie:xxx@tradedoubler.com/
    obj[59]=IECache Entry : C:\Documents and Settings\xxx\Ustawienia lokalne\Temp\Cookies\xxx@please[1].txt
    obj[60]=IECache Entry : C:\Documents and Settings\xxx\Ustawienia lokalne\Temp\Cookies\xxx@cgi-bin[1].txt
    obj[61]=IECache Entry : C:\Documents and Settings\xxx\Ustawienia lokalne\Temp\Cookies\xxx@list[1].txt





    Code:
    ArchiveData(auto-quarantine- 2006-03-12 11-34-27.bckp)
    
    Referencefile : SE1R96 09.03.2006
    ======================================================

    MRU LIST
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[0]=MRU FileReference : C:\Documents and Settings\xxx\recent\Desktop.ini
    obj[1]=MRU FileReference : C:\Documents and Settings\xxx\recent\ad-aware se.TXT.lnk
    obj[3]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
    obj[4]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
    obj[5]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name
    obj[6]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru\*
    obj[7]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\explorer\recentdocs\.TXT



    PS Proszę o podanie przyczyny przekierowań
  • #2
    piooo
    Level 29  
    ja bym zaczął od totalnej czystki -wszystkie tempa i inne śmieci . Rzeczywiście niby wszystko jest ok , jedynie co mnie zastanawia to : obj[70]=Regkey : software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\- clevercrackers -
    , po czym jest to ślad? wygląda ,że masz powiązanego IE z jakimś plikiem wykonywalnym , który najprawdopodobniej znajduje się w windows/system32 , poszukaj tam po datach może jakiś .exe lub .dll jest w miarę świeże i podejrzane , sprawdzaj każde w google . Przeskanuj ewido , może się zdziwisz ,co znajdzie . Możesz też zainstalować Operę i sprawdzić czy ten objaw wystąpi , jeśli nie to znaczy ,że mam rację . Aha , jeszcze sprawdź plik hosta czy nie ma przekierowań .I oczywiście przywracanie systemu masz wyłączone na ten moment? pozdrawiam
  • #3
    paweliw
    IT specialist
    Rzeczywiście log wygląda na czysty.
    Nie wiem tylko co to jest:
    O2 - BHO: (no name) - {19F301FE-5CBC-45E8-9E15-5194A7D3AD43} - C:\WINDOWS\system32\ciaSvbClsSvr.dll
    Jak Ty wiesz to ok, jak nie to sprawdź we właściwościach pliku - może będzie producent lub aplikacja.

    Oprócz polecanego wcześniej ewido, przeskanuj też tym:
    skaner online http://www.spywareinfo.com/xscan.php
    ftp://download.hirekmedia.hu/ssfsetup1_0.exe <- zrób update przed skanowaniem, po przeskanowaniu odinstaluj.

    Wklej może jeszcze log z Silent Runners http://www.searchengines.pl/phpbb203/index.php?showtopic=15989&st=0&#entry207029
  • #4
    Borys85
    Level 19  
    Dorzucam jeszcze log z innego antivira.

    Code:

    2006-03-12 12:07:51> Zablokowano okienko wyskakujace (http://adfarm.mediaplex.com/ad/ck/707-3922-3266-15?RedirectEnter&partner=25910&loc=http://searc - Neostrada Plus wita Cie w Int)
    2006-03-12 12:07:51> 2006-03-12 12:07:51: Zablokowano okienko wyskakujace "http://adfarm.mediaplex.com/ad/ck/707-3922-3266-15?RedirectEnter&partner=25910&loc=http://searc - Neostrada Plus wita Cie w Int"
    2006-03-12 12:07:51> Zdarzenie przegladarki
    2006-03-12 12:07:51> Parentprocess:
    2006-03-12 12:07:51> "http://adfarm.mediaplex.com/ad/ck/707-3922-3266-15?RedirectEnter&partner=25910&loc=http://searc - Neostrada Plus wita Cie w Int"
    2006-03-12 12:07:51> Handle:382664704
    2006-03-12 12:07:51> Classname:WorkerW
    2006-03-12 12:07:51>
    2006-03-12 12:08:09> Sledzacy plik cookie zablokowany.
    2006-03-12 12:08:09> Czas ostatniej synchronizacji: 2006-03-12 12:07:52
    2006-03-12 12:08:09> Nazwa: Cookie:xxx@mediaplex.com/
    2006-03-12 12:08:09> Rozmiar: 78 Bytes.
    2006-03-12 12:08:09> Trafienia: 1
    2006-03-12 12:08:09> Liczba prób uzycia: 0
    2006-03-12 12:08:09> Wygasa: 2009-06-22 01:00:00
    2006-03-12 12:08:09>
    2006-03-12 12:08:09> Sledzacy plik cookie zablokowany.
    2006-03-12 12:08:09> Czas ostatniej synchronizacji: 2006-03-12 12:07:50
    2006-03-12 12:08:09> Nazwa: Cookie:xxx@partners.webmasterplan.com/
    2006-03-12 12:08:09> Rozmiar: 217 Bytes.
    2006-03-12 12:08:09> Trafienia: 1
    2006-03-12 12:08:09> Liczba prób uzycia: 0
    2006-03-12 12:08:09> Wygasa: 2006-03-22 12:06:46
    2006-03-12 12:08:09>
    2006-03-12 12:13:09> Sledzacy plik cookie zablokowany.
    2006-03-12 12:13:09> Czas ostatniej synchronizacji: 2006-03-12 12:12:52
    2006-03-12 12:13:09> Nazwa: Cookie:xxx@kelkoo.co.uk/
    2006-03-12 12:13:09> Rozmiar: 172 Bytes.
    2006-03-12 12:13:09> Trafienia: 2
    2006-03-12 12:13:09> Liczba prób uzycia: 0
    2006-03-12 12:13:09> Wygasa: 2008-03-11 12:11:46
    2006-03-12 12:13:09>
    2006-03-12 12:13:42> Zablokowano okienko wyskakujace (http://adfarm.mediaplex.com/ad/ck/710-12978-3160-19?RedirectEnter&partner=36646&loc=http://sear - Neostrada Plus wita Cie w Int)
    2006-03-12 12:13:42> 2006-03-12 12:13:42: Zablokowano okienko wyskakujace "http://adfarm.mediaplex.com/ad/ck/710-12978-3160-19?RedirectEnter&partner=36646&loc=http://sear - Neostrada Plus wita Cie w Int"
    2006-03-12 12:13:42> Zdarzenie przegladarki
    2006-03-12 12:13:42> Parentprocess:
    2006-03-12 12:13:42> "http://adfarm.mediaplex.com/ad/ck/710-12978-3160-19?RedirectEnter&partner=36646&loc=http://sear - Neostrada Plus wita Cie w Int"
    2006-03-12 12:13:42> Handle:382664704
    2006-03-12 12:13:42> Classname:tooltips_class32
    2006-03-12 12:13:42>
    2006-03-12 12:14:01> Sledzacy plik cookie zablokowany.
    2006-03-12 12:14:01> Czas ostatniej synchronizacji: 2006-03-12 12:13:42
    2006-03-12 12:14:01> Nazwa: Cookie:xxx@mediaplex.com/
    2006-03-12 12:14:01> Rozmiar: 77 Bytes.
    2006-03-12 12:14:01> Trafienia: 1
    2006-03-12 12:14:01> Liczba prób uzycia: 0
    2006-03-12 12:14:01> Wygasa: 2009-06-22 01:00:00
    2006-03-12 12:14:01>
    2006-03-12 17:16:57> Zablokowano okienko wyskakujace (http://www.geldverdienen-heute.com/pscript/klick.php?wid=2&pid=25013&sub=wpop - Neostrada Plus wita Cie w Internecie)
    2006-03-12 17:16:57> 2006-03-12 17:16:57: Zablokowano okienko wyskakujace "http://www.geldverdienen-heute.com/pscript/klick.php?wid=2&pid=25013&sub=wpop - Neostrada Plus wita Cie w Internecie"
    2006-03-12 17:16:57> Zdarzenie przegladarki
    2006-03-12 17:16:57> Parentprocess:
    2006-03-12 17:16:57> "http://www.geldverdienen-heute.com/pscript/klick.php?wid=2&pid=25013&sub=wpop - Neostrada Plus wita Cie w Internecie"
    2006-03-12 17:16:57> Handle:382337024
    2006-03-12 17:16:57> Classname:IEFrame
    2006-03-12 17:16:57>
    2006-03-12 17:27:51> Wykryto modyfikacje rejestru
    2006-03-12 17:27:51>
    2006-03-12 17:27:51> Glówny:HKEY_CURRENT_USER
    2006-03-12 17:27:51> Klucz:Software\Microsoft\Windows\CurrentVersion\Run
    2006-03-12 17:27:51> Wartosc:Pop-Up-Blocker
    2006-03-12 17:27:51> Dane:
    2006-03-12 17:27:51> Nowe dane:"C:\Program Files\Tweak-XP Pro 4\popup.exe"
    2006-03-12 17:27:51>
    2006-03-12 17:28:03> Wykryto modyfikacje rejestru
    2006-03-12 17:28:03>
    2006-03-12 17:28:03> Glówny:HKEY_CURRENT_USER
    2006-03-12 17:28:03> Klucz:Software\Microsoft\Windows\CurrentVersion\Run
    2006-03-12 17:28:03> Wartosc:Pop-Up-Blocker
    2006-03-12 17:28:03> Dane:"C:\Program Files\Tweak-XP Pro 4\popup.exe"
    2006-03-12 17:28:03> Nowe dane:
    2006-03-12 17:28:03>
    2006-03-12 18:17:44> Sledzacy plik cookie zablokowany.
    2006-03-12 18:17:44> Czas ostatniej synchronizacji: 2006-03-12 18:17:26
    2006-03-12 18:17:44> Nazwa: Cookie:xxx@kelkoo.co.uk/
    2006-03-12 18:17:44> Rozmiar: 172 Bytes.
    2006-03-12 18:17:44> Trafienia: 2
    2006-03-12 18:17:44> Liczba prób uzycia: 0
    2006-03-12 18:17:44> Wygasa: 2008-03-11 18:16:22
    2006-03-12 18:17:44>
    2006-03-12 18:32:13> Zablokowano okienko wyskakujace (http://www.smsland.de/?pid=land-2 - Neostrada Plus wita Cie w Internecie)
    2006-03-12 18:32:13> 2006-03-12 18:32:13: Zablokowano okienko wyskakujace "http://www.smsland.de/?pid=land-2 - Neostrada Plus wita Cie w Internecie"
    2006-03-12 18:32:13> Zdarzenie przegladarki
    2006-03-12 18:32:13> Parentprocess:
    2006-03-12 18:32:13> "http://www.smsland.de/?pid=land-2 - Neostrada Plus wita Cie w Internecie"
    2006-03-12 18:32:13> Handle:382337024
    2006-03-12 18:32:13> Classname:IEFrame
    2006-03-12 18:32:13>


    Code:


    2006-03-12, 18:40:58
    Memory scanning started...
    No virus body found in memory.
    Memory scanning finished (35,0s).
    ----------
    Files scanning started...
    C:\WINDOWS\system32\drivers\atapi.sys... file could not be scanned!
    C:\WINDOWS\system32\CatRoot2\tmp.edb... file could not be scanned!
    C:\WINDOWS\system32\CatRoot2\edb.log... file could not be scanned!
    No virus body found.
    Files scanning finished  (93773 files, 0 infected, 602,6s).
    Drives scanned: C: F: G:
    ----------
  • #5
    paweliw
    IT specialist
    Nie odpowiedziałeś na moje pytanie, nie wkleiłeś logu z Silent Runners !
    Przeskanowałeś tym co poleciłem ?
    Po co nam log z niewiadomo-czego !?
    Albo rozmawiamy poważnie albo dajmy sobie spokój ..
  • #7
    Kolobos
    IT specialist
    Wystarczy log z silent + hjt, reszta nie jest potrzebna.Wiec juz nie wklejaj tych zbednych log'ow.

    Aplikacje od neostrady mozna wywalic:
    http://www.msinfo.pl/msinfoweb2/DesktopDefault.aspx?tabid=77

    W hijackthis:
    O4 - HKCU\..\Run: [PicoZip] F:\INSTAL~1\PICOZIP\PicoZipTray.exe <- pliku juz nie ma wiec mozna usunac.

    W rejestrze do kasacji w:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ ten wpis:
    {19F301FE-5CBC-45E8-9E15-5194A7D3AD43}
    Plik:
    C:\WINDOWS\system32\ciaSvbClsSvr.dll
    Do usuniecia z dysku co miales zrobic(a raczej kolega) juz dawno...
  • #8
    Borys85
    Level 19  
    Przyczyną były popularne ostatnio rootkity.

    Udało się ich pozbyć po przeskanowaniu programami:

    SpybotSearch&Destroy
    SpywareAdwareRemover
    Vcleaner