romek Opublikowano 17 Września 2007 Zgłoś Opublikowano 17 Września 2007 Ok. Jeden z komputerów oberwał przez członka mojej rodziny bo chciał jakieś zdjęcia obejrzeć z Rosji i mamy teraz gryzonia w jednym z komputerów. Przy wyszukiwaniu czegoś przez Google (Firefox 2.0.0.6) i naciśnięciu w link jakie się pojawiły po wyszukaniu przez Google, system przenosi do stron porno oraz stron z płatną telewizją. Przykłady: http://f1sponsor.com/Download_Videos.cfm?p...p;kt=4&kp=2 http://101links.info/rns/b-search/c-dom/ System przeskanowany NOD32 - brak zagrożeń System przeskanowany Ad-Aware - brak zagrożeń Gmer: Log 1 - Rootkit - http://www.wklej.org/id/0b76eb8863 Log 2 - Usułgi - http://www.wklej.org/id/235dad7856 HijackThis: LOG: Logfile of Trend Micro HijackThis v2.0.2Scan saved at 19:43:26, on 2007-09-17Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Eset\nod32krn.exeC:\WINDOWS\System32\nvsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wdfmgr.exeC:\Program Files\Eset\nod32kui.exeC:\PROGRA~1\NEOSTR~1\TaskBarIcon.exeC:\Program Files\neostrada tp\neostradatp.exeC:\Program Files\neostrada tp\ComComp.exeC:\PROGRA~1\NEOSTR~1\Toaster.exeC:\PROGRA~1\NEOSTR~1\Inactivity.exeC:\PROGRA~1\NEOSTR~1\PollingModule.exeC:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXEC:\WINDOWS\System32\alg.exeC:\Program Files\neostrada tp\Watch.exeC:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exeC:\WINDOWS\explorer.exeH:\eMule\emule.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeC:\WINDOWS\System32\wbem\wmiprvse.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tpR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLLO2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dllO2 - BHO: (no name) - {36ADA89D-2440-4DC4-820A-3A05E8630935} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing)O2 - BHO: Share_Accelerator_MM toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dllO3 - Toolbar: Share_Accelerator_MM toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICEO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exeO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\Office\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programy\Office\OFFICE11\REFIEBAR.DLLO9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dllO9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dllO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1179867603733O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1179867591858O17 - HKLM\System\CCS\Services\Tcpip\..\{59B25505-E1E5-4053-A8F5-F89B10BA9E35}: NameServer = 194.204.159.1 217.98.63.164O17 - HKLM\System\CCS\Services\Tcpip\..\{7599E8B0-1DA4-4871-BF62-B69EC040DD3B}: NameServer = 85.255.116.66,85.255.112.201O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.66 85.255.112.201O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.66 85.255.112.201O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO22 - SharedTaskScheduler: cankered - {44e670f2-d57b-4815-a576-955d17dbbf2d} - C:\WINDOWS\system32\dooep.dll (file missing)O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exeO23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exeO23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe--End of file - 5103 bytes Proszę o informację jakie zagrożenia występują i w jaki sposób je usunąć. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
SGJ Opublikowano 17 Września 2007 Zgłoś Opublikowano 17 Września 2007 Te dnsy 85.255.116.66 85.255.112.201 to nie wyglądają na tepsowe. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ParanoiK Opublikowano 17 Września 2007 Zgłoś Opublikowano 17 Września 2007 Dns'y Ukraińskie Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 17 Września 2007 Zgłoś Opublikowano 17 Września 2007 Uzyj fixwareout, smitfraudfix (opcja 2. clean) oraz combofix + nowy log z hjt, nie zaszkodzi tez log z SDFix zrobiony w trybie awaryjnym. Logi wklej na wklej.org i daj link. Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
romek Opublikowano 17 Września 2007 Zgłoś Opublikowano 17 Września 2007 OK DNS'y zmieniam, daje zmianę, wyłączamy Neostradę i włączamy jeszcze raz lecz system już nie zapisuje ustawień DNS'ów tylko zostawia na automatycznie pobierane. Co do DNS'ów to wiedziałem, że są złe bo je sprawdziłem lecz jak je zmienić by automat ich nie cofał na te Ukraińskie? [uPDATE 21:24] HijackThis LOG: http://wklej.org/id/2818bd42df ComboFix: http://www.wklej.org/id/6892e02f64 ComboFix Q: http://www.wklej.org/id/7434a5d904 Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 18 Września 2007 Zgłoś Opublikowano 18 Września 2007 Daj jeszcze log z smitfraudfix oraz fixwareout. W hjt wywal tylko: R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL Usun z dysku: C:\Program Files\Share_Accelerator_MM Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
