klikając na wyniki wyszukania w googlach wskakuje ta sama st

[aissa]

Szukając czegos w Internecie kliknęłam o jedną stroną za dużo i pojawiły sie w komputerze różne wirusy i trojany.

Mks_vir wykrył:
Trojan.Dnschanger.S
Adware.Wareout
Trojan.Small.Cs
Trojan.Small.Dm

AntiVir:
Qhost.QR
Click.526
Exploit.Mhtml

Zainstalował sie program WareOut.

Oprócz powyższych antywirusów uruchomiłam jeszcze Ad-aware i Spybot S&D, ten pierwszy nie wykrył nic, drugi wykrył dodatkowe strony w ulubionych, strony o treściach "dla dorosłych"

Teraz po wpisaniu czegoś w Googlach i kliknięciu na wynik wyszukania pojawia się strona http://www.content-loader.com/load/?wmid=cenzura-spam i zachęta do zainstalowania "Access Control"

Skanuje co jakiś czas Mks_vir'em i wykrywa ciągle to samo, mimo kasowania:
w katalogu System Volume Information: Trojan.Small.Cs, Trojan.Small.Dm, Trojan.Dnschanger.S

Co zrobić aby nie pojawiała sie ta strona, bo chyba to jest przyczyną wszystkiego?

A

[Tom@szek]

Wklej log-a z hijackthis
http://forum.programosy.pl/hijackthis-gtobsuga-i-umieszczanie-loga-vt9452.html

[aissa]

Logfile of HijackThis v1.99.1
Scan saved at 10:21:20, on 2005-07-28
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\VNICMon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Program Files\Popup Manager\PopupMgr_1.0.2.1P.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - F:\IrfanView\Ebay\Ebay.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?316
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[Tom@szek]

Wyłącz przywracanie systemu i odpal w trybie awaryjnym z obsługą sieci.
do usunięcia te wpisy:

Kod: Zaznacz wszystko

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm           

     R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm

Przeskanuj kompa w awaryjnym skanerem on-line (np. mks-vir)


edit
Otwórz swój plik HOSTS i usuń wszystko z wyjątkiem linijki 127.0.0.1 localhost.

[aissa]

Zrobiłam to wszystko,

plik hosts w C:\WINDOWS\System32\drivers\etc ma tylko jedną linijkę:

localhost 127.0.0.1 , więc nic nie kasowałam.

Mks_Vir wykrył:

WINDOWS\system32\dmasx.exe Trojan.Small.Dm

W Przeglądarce "paskudna" strona już się nie włącza.

Czy mam włączyć przywracanie systemu?

Dziękuję



Mam nadzieję, że po ty "retuszu" LOG jest OK?

OTO ON:

Logfile of HijackThis v1.99.1
Scan saved at 10:57:37, on 2005-07-28
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\VNICMon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Program Files\Popup Manager\PopupMgr_1.0.2.1P.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Program Files\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - F:\IrfanView\Ebay\Ebay.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?316
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[Tom@szek]

plik hosts w C:\WINDOWS\System32\drivers\etc ma tylko jedną linijkę:

Czy aby na pewno jest tylko jeden plik hosts w systemie
Sprawdź dobrze. Powinien być plik hosts.sam w c:\windows lub c:\windows\system32

Log czysty pod waruniem tego pliku.

[aissa]

nie mam pliku hosts.sam, przeszukałam cały komputer, mam za to imhosts.sam i wyglada on następująco:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# To jest przyk│adowy plik LMHOSTS u┐ywany przez Microsoft TCP/IP
# w systemie Windows.
# Ten plik zawiera mapowania adresˇw IP na nazwy komputerˇw
# (nazw zgodnych z NetBIOS). Ka┐dy wpis powinien byŠ w osobnej linii.
# W pierwszej kolumnie powinny byŠ umieszczone adresy IP, a nastŕpnie
# odpowiadaj╣ce im nazwy komputerˇw. Adres i nazwa powinny byŠ oddzielone
# co najmniej jedn╣ spacj╣ lub znakiem tabulacji.
# Znak "#" jest u┐ywany g│ˇwnie do oznaczenia komentarza (sprawdč poni┐sze
# wyj╣tki)
#
# Plik ten jest zgodny z plikami Microsoft LAN Manager 2.x TCP/IP lmhosts
# i zawiera nastŕpuj╣ce rozszerzenia:
#
# #PRE
# #DOM:<domena>
# #INCLUDE <nazwa pliku>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (obs│uga znakˇw nie drukowanych)
#
# Zako˝czenie dowolnego wpisu w tym pliku oznaczeniem "#PRE" powoduje
# za│adowanie go do pamiŕci podrŕcznej nazw. Domyťlnie wpisy nie s╣
# │adowane do pamiŕci podrŕcznej, s╣ one tylko analizowane gdy zawiedzie
# dynamiczne rozrˇ┐nianie nazw.
#
# Zako˝czenie dowolnego wpisu oznaczeniem "#DOM:<domena> skojarzy ten wpis
# z domen╣ okreťlon╣ przez <domena>. Ma to wp│yw na zachowanie siŕ przegl╣darki
# oraz us│ugi logowania w ťrodowisku TCP/IP. Aby za│adowaŠ do pamiŕci podrŕcznej
# nazwŕ hosta skojarzon╣ z wpisem #DOM, nale┐y dodaŠ #PRE do tej linii.
# Wpis <domena> jest zawsze │adowany, ale nie jest pokazywany gdy wyťwietlana
# jest pami੠podrŕczna nazw.
#
# U┐ycie "#INCLUDE <nazwa_pliku>" wymusza na oprogramowaniu RFC NetBIOS (NBT)
# znalezienie okreťlonego pliku <nazwa_pliku> i analizowanie go tak jak
# pliku lokalnego. <nazwa_pliku> jest przewa┐nie nazw╣ typu UNC, co pozwala na
# przechowywanie i aktualizacjŕ pliku lmhosts na serwerze.
# ZAWSZE niezbŕdne jest okreťlenie mapowania adresu IP tego serwera przed
# wpisem #INCLUDE. To mapowanie musi u┐ywaŠ parametru #PRE.
# Dodatkowo nazwa udzia│u "public" w poni┐szym przyk│adzie musi byŠ na liťcie
# LanManServer w "NullSessionShares" aby komputer klienta mog│ odczytaŠ plik
# lmhosts. Jest to klucz Rejestru:
# \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares
# Dodaj "public" do znalezionej tam listy.
#
# S│owa kluczowe #BEGIN_ oraz #END_ALTERNATE dopuszczaj╣ grupowanie wielu #INCLUDE
# Powodzenie jednego z zawartych wpisˇw powoduje pomyťlny wynik ca│ej grupy.
#
#
# Ostatecznie, znaki nie drukowane mog╣ byŠ zawarte w mapowaniach
# przez zawarcie nazwy NetBIOS w cudzys│owach oraz u┐ycie zapisu
# \0xnn do okreťlenia wartoťci szesnastkowej znaku nie drukowanego.
#
# Ten przyk│ad ilustruje u┐ycie tych opcji:
#
# 102.54.94.97 rhino #PRE #DOM:networking #kontroler domeny
# 102.54.94.102 "appname \0x14" #specjalny serwer
# 102.54.94.123 popular #PRE #serwer
# 102.54.94.117 localsrv #PRE #potrzebny do "include"
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\rhino\public\lmhosts
# #END_ALTERNATE
#
# W tym przyk│adzie serwer "appname" zawiera specjalny znak w nazwie,
# serwery "popular" i "localsrv" s╣ wstŕpnie │adowane, nazwa serwera
# "rhino" jest okreťlona wiŕc mo┐e byŠ on u┐yty w pˇčniejszym #INCLUDE
# centralnie utrzymywanym pliku lmhosts jeťli "localsrv" jest niedostŕpny.
#
# Zauwa┐, ┐e ca│y plik jest analizowany podczas ka┐dego wyszukiwania razem z
# komentarzami, wiŕc ograniczenie liczby komentarzy do minimum zwiŕkszy wydajnoťŠ.
# Z tego powodu, nie jest wskazane dodawanie wpisˇw pliku lmhosts do tego
# przyk│adowego pliku.