Rozwiązany: O(d)porny trojan

[akasora]

Proszę o pomoc!

Przy każdym włączeniu IE (sic!) wybrana zostaje jakaś nieznana mi wyszukiwarka szybko-szukaj.pl. I po każdej zmianie strony startowej (czy to przez menu IE, czy przez rejestr) przy ponownym włączeniu znowu wraca do w/w nieznanej wyszukiwarki. Założyłem, że to trojan, albo jakiś robak, więc wykonałem gruntowne skanowanie Avastem, AdAwarem, Shredderem, przejrzałem rejestr ręcznie i sprawdziłem wszystkie "podejrzane" procesy w Menedżerze zadań Win i żadna z tych operacji nie przyniosła skutku. Dla pewności powtórzyłem wszystko poprzedzając każda czynność restartem systemu, ale niestety bez efektu. Co prawda AdAware wykrywa jakieś robactwo, ale po usunięciu i ponownym skanowaniu znów się pojawia (od razu, albo po pewnym czasie). Jestem już wykończony całkowicie i wypompowany z pomysłów, googlowanie nie pomogło mi (niestety) i w ostateczności zdecydowałem poprosić o radę bieglejszych i bardziej doświadczonych forumowiczów. I przysięgam, że robię to w ostateczności i po wyczerpaniu wszystkich znanych mi sposobów. Wiem, że format i ponowne wgranie systemu powinno pomóc, tak jak zmiana przeglądarki, ale to są półśrodki (ponowne wgrywanie wszystkich programów/sterowników + Win jest "nieco" problematyczne, a do IE przyzwyczaiła się reszta rodziny, ehh co zrobić...), czy macie może jakieś rady? Cokolwiek... Błagam! Nie chcę wgrywać Windowsa od nowa!

Dołączam log z HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:43:26, on 2009-06-23

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CardDetector\ICON225\CardDetector.exe

C:\Program Files\A4Tech\Mouse\Amoumain.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\issch.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\All Users\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE

C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\OrangeBS\BEWInternet-PL\Launcher\Launcher.exe

C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

C:\Program Files\OrangeBS\BEWInternet-PL\systray\systrayapp.exe

C:\Program Files\OrangeBS\BEWInternet-PL\connectivity\connectivitymanager.exe

C:\Program Files\OrangeBS\BEWInternet-PL\PhoneTools\TextMessaging.exe

C:\Program Files\OrangeBS\BEWInternet-PL\Deskboard\deskboard.exe

C:\Program Files\OrangeBS\BEWInternet-PL\connectivity\CoreCom\CoreCom.exe

C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

C:\Program Files\OrangeBS\BEWInternet-PL\connectivity\CoreCom\OraConfigRecover.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Orbitdownloader\orbitdm.exe

C:\Program Files\Orbitdownloader\orbitnet.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.orange.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.szybko-szukaj.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CardDetectorICON225] C:\Program Files\CardDetector\ICON225\CardDetector.exe

O4 - HKLM\..\Run: [BEWINTERNET-PLSessionManager] C:\Program Files\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe

O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [Skrót do strony właściwości High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [issch] C:\WINDOWS\system32\issch.exe

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\DOCUME~1\J-23~1\USTAWI~1\Temp\E_SD.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.google.pl

O15 - Trusted Zone: http://www.racjonalista.pl

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B626300E-B247-4DB8-8162-E6502EE539D2}: NameServer = 79.163.127.70 217.116.100.65

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


--

End of file - 8196 bytes

Będę wdzięczny każdemu, kto zainteresuje się tym tematem.

Pozdrawiam

akasora

[RamzesXIII]

Przywracanie systemu. Start > Programy > Akcesoria > Narzędzia systemowe > Przywracanie systemu. Wybierz datę przed wystąpieniem objawów trojana. Zabezpiecz ważniejsze pliki (skopiuj do Moje Dokumenty).

[Converse]

1. Ściągnij, zainstaluj, zaktualizuj i przeskanuj komputer tym programem:

http://dobreprogramy.pl/index.php?dz=2&amp...ntiMalware+1.37

2. Ściągnij, zainstaluj, zaktualizuj i przeskanuj komputer czymś lepszym niż Avast:

http://www.free-av.com/

Darmowa wersja Aviry, o wiele lepsza niż Avast.

Jeśli to dalej nie pomoże to napisz ponownie.

[akasora]

Przywracania próbowałem wcześniej, ale niestety nic nie dało. Ale już skanowanie programem AntiMalware przyniosło oczekiwane rezultaty. Chciałem również podziękować za szybką odpowiedź. Mam nadzieję, że odpłacę się Wam jakoś w przyszłości.

Jescze raz dziękuję i pozdrawiam

[akasora]

Jak zwykle życie lubi "dorobić" sobie post scriptum, tak jest i tym razem. Niestety program AntiMalware nie działa tak jak powinien. To znaczy: wykrywa szkodliwy kod, tyle że po jego usunięciu wraz z ponownym włączeniem komputera pojawia się znowu w tym samym miejscu. Początkowa euforia minęła... Rozwiązania problemu nie znam i już naprawdę nie wiem czego to wina, czy to po prostu 300% złośliwego kodu w złośliwym kodzie, czy też może nieszczęśliwy przypadek sprawił, że natrafiłem na programy z pewnymi lukami, nie jestem pewien... Ale dla śledzących temat krótkie podsumowanie: wirus żyje i ma się dobrze.

Jeśli w kimś zostało trochę cierpliwości i litości... To proszę mi pomóc... Zapewniam, że Wasza pomoc to moja jedyna deska ratunku chroniąca mnie przed formatowania dysku.

[RamzesXIII]

Odłącz się od internetu, wtyczka won z gniazdka i zrób skan offline tym Anti Malware albo tym: Spyware Doctor

[Converse]

Jeśli dalej będzie miał problemy to ściągnij ten program (wersję darmową):

http://www.superantispyware.com/

i przeskanuj tak jak mówiłem cały komputer Avirą Free. Wszystko oczywiście rób, jak odłączysz kabel od internetu.

[raven4444]

Zrób tak jak napisał RamzesXIII tylko przed skanowaniem wyłącz przywracanie systemu (PPM na Mój Komputer -> właściwości -> zakładka "przywracanie systemu" -> zaptaszkuj "wyłącz..." i zastosuj) po skanowaniu i restarcie kompa włącz przywracanie.

[akasora]

Odłączyłem internet, wyczyściłem historię, cookies i usunąłem wszelkie inne pliki internetowe, wyłączyłem przywracanie systemu na wszystkich dyskach, ale niestety problem pojawia się ponownie.

Chciałem nadmienić, że wirusa rozpoznaje dopiero skanowanie heurystyczne, i mam wrażenie, że zaraz po pojawieniu się pulpitu widzę w ciągu ułamka sekundy okienko a'la DOS, po czym znika, a ja rutynowo rozpoczynam skanowanie od początku aby dowiedzieć się, że znaleziono ponownie tego samego wirusa typu Hijack.Homepage i że po ponownym uruchomieniu komputera już go (teoretycznie) nie będzie.

Ponadto robak zdołał uniknąć wykrycia po skanowaniu proponowanym programem SuperAntiSpyware. A osłonę AntiHijack tego programu blokującą każdą zmianę strony starowej zdaje się sprawnie omijać (co ok. 20 sekund następuje obejście i zmiana strony startowej).

Spróbuję jeszcze przeskanować Avirą, ale już teraz jestem przerażony tym, co dzieje się w moim komputerze :O

[Sevard]

Jeśli Avira nic nie da, to możesz jeszcze wypróbować darmowy skaner Dr.Web CureIt!, często radzi sobie z takimi problemami.

A tak poza tym możesz zamieścić log z ComboFix-a?

[RamzesXIII]

Czy w trybie awaryjnym wir też się aktywuje?

[akasora]

Wirus nie aktywuje się w trybie awaryjnym z włączoną obsługą sieci, ale wydaje mi się, że i tak nie ma to najmniejszego znaczenia, bo i tak zdecydowałem się na formatowanie. Logu z ComboFixa nie umieszczem, ponieważ miejscami zawiera poufne dane, a umieszczenie "okrojonego" logu mija się z celem.

Dziękuję wszystkim osobom za dobre chęci i okazaną pomoc, ale niestety poddałem się i "idę na łatwiznę" Uważam, że temat można zamknąć.

Pozdrawiam

akasora

[Gofer]

Problem rozwiązany, więc temat zamykam.

W razie potrzeby otwarcia tematu, proszę o kontakt przez PW.