Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Przekierowanie stron. Zamieszczony log.

Borys85 12 Mar 2006 12:18 2507 7
  • #1 12 Mar 2006 12:18
    Borys85
    Poziom 19  

    1. Znajomy wpisuje na google np. "elektroda"
    2. Po znalezieniu paru(set) stron klika na wybrany link.
    3. Następuje przekierowanie na sróżne strony (m. in. www.simsing.de www.google.de www.213.83.55.150/promo.html )

    Wklejam log z Hijackthis-a (PS WG mnie czysty, pomijając zbędne aplikacje TP) i z programu Ad-ware (PS Tutaj się nie orientuję.)


    Code:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:35:46, on 2006-03-12
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SYSTEM32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
    C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\apvxdwin.exe
    C:\Program Files\Wanadoo\taskbaricon.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE
    C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
    C:\Documents and Settings\xxx\Pulpit\Nieużywane skróty pulpitu\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {19F301FE-5CBC-45E8-9E15-5194A7D3AD43} - C:\WINDOWS\system32\ciaSvbClsSvr.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
    O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [QuickTime Task] "G:\roboty\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"
    O4 - HKCU\..\Run: [PicoZip] F:\INSTAL~1\PICOZIP\PicoZipTray.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: hp psc 1000 series.lnk = ?
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{146FBB7D-9861-46E8-98E5-7F63461F68D5}: NameServer = 194.204.152.34 217.98.63.164
    O17 - HKLM\System\CS1\Services\Tcpip\..\{146FBB7D-9861-46E8-98E5-7F63461F68D5}: NameServer = 194.204.152.34 217.98.63.164
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe
    O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe
    O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe
    O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe
    O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe
    O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe






    Code:
    ArchiveData(auto-quarantine- 2006-03-11 21-29-19.bckp)
    
    Referencefile : SE1R96 09.03.2006
    ======================================================

    MRU LIST
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[0]=MRU FileReference : C:\Documents and Settings\xxx\recent\Desktop.ini
    obj[1]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles\c1
    obj[2]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c1
    obj[3]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c2
    obj[4]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c3
    obj[5]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c4
    obj[6]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles\c5
    obj[8]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\ahead\cover designer\recent file list
    obj[9]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\ahead\nero - burning rom\recent file list
    obj[10]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\direct3d\mostrecentapplication name
    obj[11]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
    obj[12]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\direct3d\mostrecentapplication name
    obj[13]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
    obj[14]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name
    obj[15]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\directinput\mostrecentapplication name
    obj[16]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\directinput\mostrecentapplication id
    obj[17]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\internet explorer download directory
    obj[18]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\internet explorer\main save directory
    obj[19]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\medialibraryui mllastselectednode
    obj[20]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\player\settings opendir
    obj[21]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\preferences lastplaylistindex
    obj[22]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\preferences lastplaylist
    obj[23]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\mediaplayer\preferences searchpath
    obj[24]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\microsoft management console\recent file list
    obj[25]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\clip organizer\search\last query
    obj[26]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\common\general symbolmru
    obj[27]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\common\search\last query
    obj[28]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\excel\recent files
    obj[29]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\search assistant\acmru\5603
    obj[30]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\search assistant\acmru\5604
    obj[31]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\office\10.0\powerpoint\recentfolderlist
    obj[32]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\applets\paint\recent file list
    obj[33]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\explorer\recentdocs\.rar
    obj[34]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\explorer\recentdocs\Folder
    obj[76]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips8
    obj[69]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips1
    obj[70]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips2
    obj[71]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips3
    obj[72]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips4
    obj[73]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips5
    obj[74]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips6
    obj[75]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\MostRecentClips7
    obj[65]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\realnetworks\realplayer\6.0\preferences\LastLoginTime
    obj[105]=MRU RegReference : .DEFAULT\software\microsoft\windows media\wmsdk\general computername
    obj[106]=MRU RegReference : S-1-5-18\software\microsoft\windows media\wmsdk\general computername
    obj[107]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows media\wmsdk\general computername
    obj[108]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\winrar\dialogedithistory\extrpath

    COOLWEBSEARCH
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[41]=Regkey : interface\{18e6c36a-c45f-4b60-a1a4-5c0bb16d4cc2}
    obj[62]=Regkey : software\microsoft\downloadmanager
    obj[63]=RegValue : software\microsoft\internet explorer\search\searchproperties\en-us "SingleProvider"
    obj[64]=RegValue : software\microsoft\internet explorer\search "SearchAssistant"
    obj[65]=RegValue : software\microsoft\internet explorer\main "Use Custom Search URL"
    obj[66]=RegValue : software\microsoft\internet explorer\main "Enable Browser Extensions"
    obj[67]=RegValue : software\microsoft\internet explorer\main "Search Bar"
    obj[75]=Plik : C:\WINDOWS\system32\wbem\logs\wbemess.log

    VX2
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[42]=Regkey : typelib\{3fa866ac-40d7-4fe6-babf-78ee854a4325}
    obj[43]=Regkey : interface\{a42c0ef4-1c76-43cc-989f-eadc7e4b755d}
    obj[68]=Regkey : software\vendor\xml
    obj[69]=Regkey : software\vendor
    obj[76]=Plik : C:\DOCUME~1\xxx\USTAWI~1\Temp\binkw32.dll

    INTEXUSDIAL
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[44]=Regkey : software\intexusdial
    obj[45]=RegValue : software\intexusdial "PreNumber"
    obj[46]=RegValue : software\intexusdial "DeviceName"
    obj[47]=RegValue : software\intexusdial "Country"
    obj[48]=RegValue : software\intexusdial "Language"
    obj[49]=RegValue : software\intexusdial "Machine"
    obj[50]=RegValue : software\intexusdial "InstallFlags"
    obj[51]=RegValue : software\intexusdial "PassFlags"
    obj[52]=RegValue : software\intexusdial "Password"
    obj[70]=Regkey : software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\- clevercrackers -
    obj[71]=Regkey : software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\- p2p -
    obj[72]=RegData : software\microsoft\internet explorer\main "Check_Associations"

    POSSIBLE BROWSER HIJACK ATTEMPT
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[53]=Regkey : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7}
    obj[54]=RegValue : SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} "Installer"
    obj[73]=Plik : C:\Documents and Settings\xxx\Ulubione\Onet.pl - Polski Portal Internetowy.url
    obj[74]=Plik : C:\Documents and Settings\xxx\Ulubione\MotoNet.pl - Internetowa Giełda Samochodowa [ motocykl ].url

    TRACKING COOKIE
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[55]=IECache Entry : Cookie:xxx@stat.4u.pl/cgi-bin/
    obj[56]=IECache Entry : Cookie:xxx@mediaplex.com/
    obj[57]=IECache Entry : Cookie:xxx@partners.webmasterplan.com/
    obj[58]=IECache Entry : Cookie:xxx@tradedoubler.com/
    obj[59]=IECache Entry : C:\Documents and Settings\xxx\Ustawienia lokalne\Temp\Cookies\xxx@please[1].txt
    obj[60]=IECache Entry : C:\Documents and Settings\xxx\Ustawienia lokalne\Temp\Cookies\xxx@cgi-bin[1].txt
    obj[61]=IECache Entry : C:\Documents and Settings\xxx\Ustawienia lokalne\Temp\Cookies\xxx@list[1].txt





    Code:
    ArchiveData(auto-quarantine- 2006-03-12 11-34-27.bckp)
    
    Referencefile : SE1R96 09.03.2006
    ======================================================

    MRU LIST
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[0]=MRU FileReference : C:\Documents and Settings\xxx\recent\Desktop.ini
    obj[1]=MRU FileReference : C:\Documents and Settings\xxx\recent\ad-aware se.TXT.lnk
    obj[3]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
    obj[4]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name
    obj[5]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name
    obj[6]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru\*
    obj[7]=MRU RegReference : S-1-5-21-1957994488-1757981266-839522115-1004\software\microsoft\windows\currentversion\explorer\recentdocs\.TXT



    PS Proszę o podanie przyczyny przekierowań

    0 7
  • #2 12 Mar 2006 14:25
    piooo
    Poziom 29  

    ja bym zaczął od totalnej czystki -wszystkie tempa i inne śmieci . Rzeczywiście niby wszystko jest ok , jedynie co mnie zastanawia to : obj[70]=Regkey : software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\- clevercrackers -
    , po czym jest to ślad? wygląda ,że masz powiązanego IE z jakimś plikiem wykonywalnym , który najprawdopodobniej znajduje się w windows/system32 , poszukaj tam po datach może jakiś .exe lub .dll jest w miarę świeże i podejrzane , sprawdzaj każde w google . Przeskanuj ewido , może się zdziwisz ,co znajdzie . Możesz też zainstalować Operę i sprawdzić czy ten objaw wystąpi , jeśli nie to znaczy ,że mam rację . Aha , jeszcze sprawdź plik hosta czy nie ma przekierowań .I oczywiście przywracanie systemu masz wyłączone na ten moment? pozdrawiam

    0
  • #3 12 Mar 2006 14:41
    paweliw
    Spec od komputerów

    Rzeczywiście log wygląda na czysty.
    Nie wiem tylko co to jest:
    O2 - BHO: (no name) - {19F301FE-5CBC-45E8-9E15-5194A7D3AD43} - C:\WINDOWS\system32\ciaSvbClsSvr.dll
    Jak Ty wiesz to ok, jak nie to sprawdź we właściwościach pliku - może będzie producent lub aplikacja.

    Oprócz polecanego wcześniej ewido, przeskanuj też tym:
    skaner online http://www.spywareinfo.com/xscan.php
    ftp://download.hirekmedia.hu/ssfsetup1_0.exe <- zrób update przed skanowaniem, po przeskanowaniu odinstaluj.

    Wklej może jeszcze log z Silent Runners http://www.searchengines.pl/phpbb203/index.php?showtopic=15989&st=0&#entry207029

    0
  • #4 13 Mar 2006 14:01
    Borys85
    Poziom 19  

    Dorzucam jeszcze log z innego antivira.

    Code:

    2006-03-12 12:07:51> Zablokowano okienko wyskakujace (http://adfarm.mediaplex.com/ad/ck/707-3922-3266-15?RedirectEnter&partner=25910&loc=http://searc - Neostrada Plus wita Cie w Int)
    2006-03-12 12:07:51> 2006-03-12 12:07:51: Zablokowano okienko wyskakujace "http://adfarm.mediaplex.com/ad/ck/707-3922-3266-15?RedirectEnter&partner=25910&loc=http://searc - Neostrada Plus wita Cie w Int"
    2006-03-12 12:07:51> Zdarzenie przegladarki
    2006-03-12 12:07:51> Parentprocess:
    2006-03-12 12:07:51> "http://adfarm.mediaplex.com/ad/ck/707-3922-3266-15?RedirectEnter&partner=25910&loc=http://searc - Neostrada Plus wita Cie w Int"
    2006-03-12 12:07:51> Handle:382664704
    2006-03-12 12:07:51> Classname:WorkerW
    2006-03-12 12:07:51>
    2006-03-12 12:08:09> Sledzacy plik cookie zablokowany.
    2006-03-12 12:08:09> Czas ostatniej synchronizacji: 2006-03-12 12:07:52
    2006-03-12 12:08:09> Nazwa: Cookie:xxx@mediaplex.com/
    2006-03-12 12:08:09> Rozmiar: 78 Bytes.
    2006-03-12 12:08:09> Trafienia: 1
    2006-03-12 12:08:09> Liczba prób uzycia: 0
    2006-03-12 12:08:09> Wygasa: 2009-06-22 01:00:00
    2006-03-12 12:08:09>
    2006-03-12 12:08:09> Sledzacy plik cookie zablokowany.
    2006-03-12 12:08:09> Czas ostatniej synchronizacji: 2006-03-12 12:07:50
    2006-03-12 12:08:09> Nazwa: Cookie:xxx@partners.webmasterplan.com/
    2006-03-12 12:08:09> Rozmiar: 217 Bytes.
    2006-03-12 12:08:09> Trafienia: 1
    2006-03-12 12:08:09> Liczba prób uzycia: 0
    2006-03-12 12:08:09> Wygasa: 2006-03-22 12:06:46
    2006-03-12 12:08:09>
    2006-03-12 12:13:09> Sledzacy plik cookie zablokowany.
    2006-03-12 12:13:09> Czas ostatniej synchronizacji: 2006-03-12 12:12:52
    2006-03-12 12:13:09> Nazwa: Cookie:xxx@kelkoo.co.uk/
    2006-03-12 12:13:09> Rozmiar: 172 Bytes.
    2006-03-12 12:13:09> Trafienia: 2
    2006-03-12 12:13:09> Liczba prób uzycia: 0
    2006-03-12 12:13:09> Wygasa: 2008-03-11 12:11:46
    2006-03-12 12:13:09>
    2006-03-12 12:13:42> Zablokowano okienko wyskakujace (http://adfarm.mediaplex.com/ad/ck/710-12978-3160-19?RedirectEnter&partner=36646&loc=http://sear - Neostrada Plus wita Cie w Int)
    2006-03-12 12:13:42> 2006-03-12 12:13:42: Zablokowano okienko wyskakujace "http://adfarm.mediaplex.com/ad/ck/710-12978-3160-19?RedirectEnter&partner=36646&loc=http://sear - Neostrada Plus wita Cie w Int"
    2006-03-12 12:13:42> Zdarzenie przegladarki
    2006-03-12 12:13:42> Parentprocess:
    2006-03-12 12:13:42> "http://adfarm.mediaplex.com/ad/ck/710-12978-3160-19?RedirectEnter&partner=36646&loc=http://sear - Neostrada Plus wita Cie w Int"
    2006-03-12 12:13:42> Handle:382664704
    2006-03-12 12:13:42> Classname:tooltips_class32
    2006-03-12 12:13:42>
    2006-03-12 12:14:01> Sledzacy plik cookie zablokowany.
    2006-03-12 12:14:01> Czas ostatniej synchronizacji: 2006-03-12 12:13:42
    2006-03-12 12:14:01> Nazwa: Cookie:xxx@mediaplex.com/
    2006-03-12 12:14:01> Rozmiar: 77 Bytes.
    2006-03-12 12:14:01> Trafienia: 1
    2006-03-12 12:14:01> Liczba prób uzycia: 0
    2006-03-12 12:14:01> Wygasa: 2009-06-22 01:00:00
    2006-03-12 12:14:01>
    2006-03-12 17:16:57> Zablokowano okienko wyskakujace (http://www.geldverdienen-heute.com/pscript/klick.php?wid=2&pid=25013&sub=wpop - Neostrada Plus wita Cie w Internecie)
    2006-03-12 17:16:57> 2006-03-12 17:16:57: Zablokowano okienko wyskakujace "http://www.geldverdienen-heute.com/pscript/klick.php?wid=2&pid=25013&sub=wpop - Neostrada Plus wita Cie w Internecie"
    2006-03-12 17:16:57> Zdarzenie przegladarki
    2006-03-12 17:16:57> Parentprocess:
    2006-03-12 17:16:57> "http://www.geldverdienen-heute.com/pscript/klick.php?wid=2&pid=25013&sub=wpop - Neostrada Plus wita Cie w Internecie"
    2006-03-12 17:16:57> Handle:382337024
    2006-03-12 17:16:57> Classname:IEFrame
    2006-03-12 17:16:57>
    2006-03-12 17:27:51> Wykryto modyfikacje rejestru
    2006-03-12 17:27:51>
    2006-03-12 17:27:51> Glówny:HKEY_CURRENT_USER
    2006-03-12 17:27:51> Klucz:Software\Microsoft\Windows\CurrentVersion\Run
    2006-03-12 17:27:51> Wartosc:Pop-Up-Blocker
    2006-03-12 17:27:51> Dane:
    2006-03-12 17:27:51> Nowe dane:"C:\Program Files\Tweak-XP Pro 4\popup.exe"
    2006-03-12 17:27:51>
    2006-03-12 17:28:03> Wykryto modyfikacje rejestru
    2006-03-12 17:28:03>
    2006-03-12 17:28:03> Glówny:HKEY_CURRENT_USER
    2006-03-12 17:28:03> Klucz:Software\Microsoft\Windows\CurrentVersion\Run
    2006-03-12 17:28:03> Wartosc:Pop-Up-Blocker
    2006-03-12 17:28:03> Dane:"C:\Program Files\Tweak-XP Pro 4\popup.exe"
    2006-03-12 17:28:03> Nowe dane:
    2006-03-12 17:28:03>
    2006-03-12 18:17:44> Sledzacy plik cookie zablokowany.
    2006-03-12 18:17:44> Czas ostatniej synchronizacji: 2006-03-12 18:17:26
    2006-03-12 18:17:44> Nazwa: Cookie:xxx@kelkoo.co.uk/
    2006-03-12 18:17:44> Rozmiar: 172 Bytes.
    2006-03-12 18:17:44> Trafienia: 2
    2006-03-12 18:17:44> Liczba prób uzycia: 0
    2006-03-12 18:17:44> Wygasa: 2008-03-11 18:16:22
    2006-03-12 18:17:44>
    2006-03-12 18:32:13> Zablokowano okienko wyskakujace (http://www.smsland.de/?pid=land-2 - Neostrada Plus wita Cie w Internecie)
    2006-03-12 18:32:13> 2006-03-12 18:32:13: Zablokowano okienko wyskakujace "http://www.smsland.de/?pid=land-2 - Neostrada Plus wita Cie w Internecie"
    2006-03-12 18:32:13> Zdarzenie przegladarki
    2006-03-12 18:32:13> Parentprocess:
    2006-03-12 18:32:13> "http://www.smsland.de/?pid=land-2 - Neostrada Plus wita Cie w Internecie"
    2006-03-12 18:32:13> Handle:382337024
    2006-03-12 18:32:13> Classname:IEFrame
    2006-03-12 18:32:13>


    Code:


    2006-03-12, 18:40:58
    Memory scanning started...
    No virus body found in memory.
    Memory scanning finished (35,0s).
    ----------
    Files scanning started...
    C:\WINDOWS\system32\drivers\atapi.sys... file could not be scanned!
    C:\WINDOWS\system32\CatRoot2\tmp.edb... file could not be scanned!
    C:\WINDOWS\system32\CatRoot2\edb.log... file could not be scanned!
    No virus body found.
    Files scanning finished  (93773 files, 0 infected, 602,6s).
    Drives scanned: C: F: G:
    ----------

    0
  • #5 13 Mar 2006 14:12
    paweliw
    Spec od komputerów

    Nie odpowiedziałeś na moje pytanie, nie wkleiłeś logu z Silent Runners !
    Przeskanowałeś tym co poleciłem ?
    Po co nam log z niewiadomo-czego !?
    Albo rozmawiamy poważnie albo dajmy sobie spokój ..

    0
  • #7 14 Mar 2006 10:33
    Kolobos
    Spec od komputerów

    Wystarczy log z silent + hjt, reszta nie jest potrzebna.Wiec juz nie wklejaj tych zbednych log'ow.

    Aplikacje od neostrady mozna wywalic:
    http://www.msinfo.pl/msinfoweb2/DesktopDefault.aspx?tabid=77

    W hijackthis:
    O4 - HKCU\..\Run: [PicoZip] F:\INSTAL~1\PICOZIP\PicoZipTray.exe <- pliku juz nie ma wiec mozna usunac.

    W rejestrze do kasacji w:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ ten wpis:
    {19F301FE-5CBC-45E8-9E15-5194A7D3AD43}
    Plik:
    C:\WINDOWS\system32\ciaSvbClsSvr.dll
    Do usuniecia z dysku co miales zrobic(a raczej kolega) juz dawno...

    0
  • #8 08 Sie 2006 10:31
    Borys85
    Poziom 19  

    Przyczyną były popularne ostatnio rootkity.

    Udało się ich pozbyć po przeskanowaniu programami:

    SpybotSearch&Destroy
    SpywareAdwareRemover
    Vcleaner

    0