Skocz do zawartości


Zdjęcie

[wirus] Problem z wirusem - prośba o pomoc

Rozpoczęty przez anoe , 13 03 2008 12:11

  • Zamknięty Temat jest zamknięty
2 odpowiedzi w tym temacie

#1 anoe

anoe

    Nowy

  • 1 postów

Napisano 13 03 2008 - 12:11

Mam taki problem: coś przekierowuje mnie ze stron kończących się na com.pl (przynajmniej te narazie zauważyłem) na strony porno lub wrzuca mnie na google (ale nie czysty adres tylko łamany przez coś). Przekierowywania odbywają się często przez ip 60.50.190.131.
Próbowałem formatować kompa (właściwie dwa kompy - oba mają tego wira). Na jednym mam XP a na drugim Vistę. Formatowałem je nawet kilka razy. Sprawdzałem mnóstwem antywirusów i antyspywareów, ale żaden nic konkretnego, co dałoby się usunąć nie znalazł. Skanowałem pod trybem awaryjnym. Nic nie pomogło. Nie wiem gdzie to siedzi, ale zauważyłem że jak dzisiaj rano zrobiłem formata na kompie z xp (potem natychmiast instalacja Kasperyskiego i aktualizacja) to w momencie pierwszego wejścia było ok. Dopiero jak zrestartowałem (na żądanie Kasperyskiego) to problem wrócił. Próbowałem zaraz po instalacji xp, instalować Kasperyskiego, aktualizować i dopiero sprawdzać czy jest przekierowanie ale wtedy było od razu. Wydaje mi się że łapię tego wirusa przy pierwszym wejściu do internetu i po restarcie on się "wgryza", albo jest gdzieś w kompie i się uaktywnia czy coś.

Załączam loga z lapka z vistą (mogę też wrzucić ze stacjonarnego z xp jeśli będzie potrzeba)

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 10:17:24, on 2008-03-13Platform: Windows Vista  (WinNT 6.00.1904)MSIE: Internet Explorer v7.00 (7.00.6000.16386)Boot mode: NormalRunning processes:C:\Windows\system32\taskeng.exeC:\Program Files\Hewlett-Packard\IAM\bin\asghost.exeC:\Windows\system32\Dwm.exeC:\Windows\Explorer.EXEC:\WINDOWS\SMINST\scheduler.exeC:\Program Files\Windows Defender\MSASCui.exeC:\Program Files\Analog Devices\Core\smax4pnp.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\WINDOWS\System32\igfxpers.exeC:\Program Files\PDF Complete\pdfsty.exeC:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\pthosttr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exeC:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exeC:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exeC:\Program Files\Hp\HP Software Update\hpwuSchd2.exeC:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exeC:\Program Files\Java\jre1.6.0_05\bin\jusched.exeC:\Program Files\Windows Sidebar\sidebar.exeC:\Windows\system32\igfxsrvc.exeC:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exeC:\Program Files\Hewlett-Packard\Shared\HpqToaster.exeC:\Program Files\Opera\Opera.exeC:\Program Files\Gadu-Gadu\gg.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhostO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hideO4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exeO4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exeO4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /StartO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exeO4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exeO4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exeO4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /StartO4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModuleO4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exeO4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"O4 - HKLM\..\RunOnce: [ST Recovery Launcher] %WINDIR%\SMINST\launcher.exeO4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRunO4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenterO4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hiddenO4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA SIECIOWA')O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exeO8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dllO9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLLO13 - Gopher Prefix: O20 - AppInit_DLLs: APSHook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dllO23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exeO23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exeO23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exeO23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exeO23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exeO23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exeO23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exeO23 - Service: HP Service (hpsrv) - Unknown owner - C:\Windows\system32\Hpservice.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exeO23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exeO23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exeO23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exeO23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe--End of file - 7705 bytes

Będę wdzięczny za jakiekolwiek rady, bo męczę się już tydzień i żadnych efektów :)

  • 0

#2 Marko_

Marko_

    Stały użytkownik

  • 279 postów

Napisano 14 03 2008 - 19:23

Tu jest informacja o tym IP
60.50.190.131 = 131.190.50.60.cbj01-home.tm.net.my


inetnum:	  0.0.0.0 - 255.255.255.255
netname:	  IANA-BLK
descr:		The whole IPv4 address space
country:	  EU # Country is really world wide
org:		  ORG-IANA1-RIPE
admin-c:	  IANA1-RIPE
tech-c:	   IANA1-RIPE
status:	   ALLOCATED UNSPECIFIED
remarks:	  The country is really worldwide.
remarks:	  This address space is assigned at various other places in
remarks:	  the world and might therefore not be in the RIPE database.
mnt-by:	   RIPE-NCC-HM-MNT
mnt-lower:	RIPE-NCC-HM-MNT
mnt-routes:   RIPE-NCC-RPSL-MNT
source:	   RIPE # Filtered

organisation: ORG-IANA1-RIPE
org-name:	 Internet Assigned Numbers Authority
org-type:	 IANA
address:	  see http://www.iana.org
remarks:	  The IANA allocates IP addresses and AS number blocks to RIRs
remarks:	  see http://www.iana.org/ipaddress/ip-addresses.htm
remarks:	  and http://www.iana.org/assignments/as-numbers
e-mail:	   bitbucket@ripe.net
admin-c:	  IANA1-RIPE
tech-c:	   IANA1-RIPE
mnt-ref:	  RIPE-NCC-HM-MNT
mnt-by:	   RIPE-NCC-HM-MNT
source:	   RIPE # Filtered

role:		 Internet Assigned Numbers Authority
address:	  see http://www.iana.org.
e-mail:	   bitbucket@ripe.net
admin-c:	  IANA1-RIPE
tech-c:	   IANA1-RIPE
nic-hdl:	  IANA1-RIPE
remarks:	  For more information on IANA services
remarks:	  go to IANA web site at http://www.iana.org.
mnt-by:	   RIPE-NCC-MNT
source:	   RIPE # Filtered
Hmm ... Czy te właściwości są prawdziwe?. Tutaj ktoś miał taki problem (niestety po Włosku), sprawdź adresy z artykułu.

http://www.forospyware.com/archive/t-12529.html

  • 0

#3 wncvirus

wncvirus

    Leń !

  • 851 postów

Napisano 14 03 2008 - 23:30

Daj logi z combofixa.Bo z tych z hjt nie wiele widać.

  • 0
Wróć do Bezpieczeństwo (wirusy i trojany)


Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych

  1. Forum Komputerowe Tweaks.pl
  2. Oprogramowanie
  3. Bezpieczeństwo (wirusy i trojany)
  4. Polityka prywatności
  5. Szukaj
  6. Regulamin Forum ·