Показано с 1 по 15 из 15.

Browser Search Hijack & More

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    9
    Вес репутации
    24

    Browser Search Hijack & More

    Hello: Somehow I picked up AV Security Suite while on a dog information forum and AVG Antivrus was too slow too stop it. I manually removed everything that i could find and that seemed to get rid of it. However now if I use the search tool bar with google or bing or yahoo, it gets hijacked and ends up on a Tazinga Search page, sometimes I get http:\\mfeed.in pops up, othertimes various windows open by themselves: "clickcheck" page pops up, also http:\\top.infomash.org, http://edon.net, http:\\juggle.com, http:\\2gleus.com, http:\\bible2010.org, etc... I get lots of various redirects. I've used Kaspersky and Malwarebytes Anti-Malware, AVG, CC Cleaner and still can't get rid of this thing. Can you please help. Thank you.
    Вложения Вложения

  2. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    - Execute following script

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
     DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
     QuarantineFile('C:\WINDOWS\system32\pdkbimbq.rlf','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(2);
    ExecuteRepair(3);
    ExecuteRepair(4);
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    After reboot:

    execute following script

    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');
    end.
    - Upload the C:\quarantine.zip over the link Upload quarantined files on the top of this page.
    - Make new logs and attach them to the new posting.
    Paula rhei.
    Поддержать проект можно тут

  3. #3
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    9
    Вес репутации
    24
    Hi: I uploaded quarantine.zip Thank you very much for your asistance.

  4. #4
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    9
    Вес репутации
    24
    logs attached also.
    Вложения Вложения
    Последний раз редактировалось ScratchyClaws; 26.06.2010 в 17:12.

  5. #5
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    9
    Вес репутации
    24
    virus.zip uploaded above
    Вложения Вложения

  6. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    fix the following strings in hijackthis:

    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
    O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    According to the appendix 2 rules. Please search file in AVZ pdkbimbq.rlf
    If you find it send it via Upload quarantined files link.
    Repeat hijackthis log.
    Paula rhei.
    Поддержать проект можно тут

  7. #7
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    9
    Вес репутации
    24
    I was unable to find pdkbimbq.rlf

    here's the log from trying to find/add it:

    Quarantine file: failed (error), attempt of direct disk reading (pdkbimbq.rlf)
    Quarantine file (direct disk reading) "%S" - failed (error)
    Quarantine file: failed (error), attempt of direct disk reading (C:\WINDOWS\pdkbimbq.rlf)
    Quarantine file (direct disk reading) "%S" - failed (error)
    Quarantine file: failed (error), attempt of direct disk reading (C:\WINDOWS\system32\pdkbimbq.rlf)
    Quarantine file (direct disk reading) "%S" - failed (error)
    Quarantine file: failed (error), attempt of direct disk reading (pdkbimbq.rlf)
    Quarantine file (direct disk reading) "%S" - failed (error)
    Quarantine file: failed (error), attempt of direct disk reading (C:\WINDOWS\pdkbimbq.rlf)
    Quarantine file (direct disk reading) "%S" - failed (error)
    Quarantine file: failed (error), attempt of direct disk reading (C:\WINDOWS\system32\pdkbimbq.rlf)
    Quarantine file (direct disk reading) "%S" - failed (error)
    Quarantine file: failed (error), attempt of direct disk reading (pdkbimbq.rlf)
    Quarantine file (direct disk reading) "%S" - failed (error)
    Quarantine file: failed (error), attempt of direct disk reading (C:\WINDOWS\pdkbimbq.rlf)
    Quarantine file (direct disk reading) "%S" - failed (error)
    Quarantine file: failed (error), attempt of direct disk reading (C:\WINDOWS\system32\pdkbimbq.rlf)
    Quarantine file (direct disk reading) "%S" - failed (error)

    attached is the new hijackthis.log
    Вложения Вложения

  8. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    The log looks like fine. Problem solved?
    Paula rhei.
    Поддержать проект можно тут

  9. #9
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    9
    Вес репутации
    24
    Hi. The browser still gets hijacked. I downloaded the latest version of Kaspersky Virus Removal Tool last nite and let it run. This showed i had ROOTKIT.WIN32.TDSS.d. I wasn't sure if it removed it, here's the LOG:

    6/26/2010 10:30:11 PM Task started
    6/26/2010 11:30:12 PM Detected: http://www.viruslist.com/en/advisories/40196 C:\Program Files\iTunes\iTunes.exe
    6/26/2010 11:33:44 PM Detected: http://www.viruslist.com/en/advisories/37255 C:\Program Files\Java\jre6\bin\java.exe
    6/26/2010 11:46:15 PM Detected: http://www.viruslist.com/en/advisories/38495 C:\WINDOWS\Downloaded Program Files\PhotoUploader5.ocx
    6/27/2010 12:14:08 AM Detected: http://www.viruslist.com/en/advisories/38751 C:\WINDOWS\SYSTEM32\Adobe\Shockwave 11\Plugin.dll
    6/27/2010 12:14:08 AM Detected: http://www.viruslist.com/en/advisories/38751 C:\WINDOWS\SYSTEM32\Adobe\Director\np32dsw.dll
    6/27/2010 12:37:20 AM Detected: Rootkit.Win32.TDSS.d Unknown application
    6/27/2010 12:37:20 AM Untreated: Rootkit.Win32.TDSS.d Unknown application Postponed
    6/27/2010 12:38:24 AM Detected: http://www.viruslist.com/en/advisories/40196 C:\Program Files\iTunes\iTunes.exe
    6/27/2010 12:38:47 AM Detected: http://www.viruslist.com/en/advisories/38495 C:\WINDOWS\Downloaded Program Files\PhotoUploader5.ocx
    6/27/2010 12:39:52 AM Detected: Rootkit.Win32.TDSS.d System Memory
    6/27/2010 10:48:28 AM Task stopped
    Disinfect active threats: completed 6 minutes ago (events: 9, objects: 2460, time: 00:04:16)
    6/27/2010 10:48:26 AM Task started
    6/27/2010 10:48:26 AM Detected: Rootkit.Win32.TDSS.d System Memory
    6/27/2010 10:48:34 AM Disinfected: Rootkit.Win32.TDSS.d System Memory
    6/27/2010 10:48:34 AM Disinfected: Rootkit.Win32.TDSS.d System Memory
    6/27/2010 10:48:54 AM Detected: Rootkit.Win32.TDSS.d Unknown application
    6/27/2010 10:49:24 AM Cannot be backed up: Rootkit.Win32.TDSS.d Unknown application
    6/27/2010 10:51:08 AM Detected: http://www.viruslist.com/en/advisories/40196 C:\Program Files\iTunes\iTunes.exe
    6/27/2010 10:51:22 AM Detected: http://www.viruslist.com/en/advisories/38495 C:\WINDOWS\Downloaded Program Files\PhotoUploader5.ocx
    6/27/2010 10:52:42 AM Task completed


    After that I ran TDSSKiller, which said no infections, attached is the log.

    I just ran AVZ and it still shows "C:\WINDOWS\system32\pdkbimbq.rlf" so I'm just manually removing these references from the registry and I'll try that again. I'm also attaching the virusinfo_cure.zip file created above and the log below. I'll keep checking stuff and let you know how it goes. Thank you again for your assitance and have a great day.
    Вложения Вложения

  10. #10
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    9
    Вес репутации
    24
    Here's the latest Hijackthis LOG also.
    Вложения Вложения

  11. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    ok.
    - Execute following script
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('PDKBIMBQ');
     DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
     DeleteFile('C:\WINDOWS\system32\pdkbimbq.rlf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Please, repeat virusinfo_syscure and make a gmer log http://virusinfo.info/showthread.php?t=51878
    Paula rhei.
    Поддержать проект можно тут

  12. #12
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    9
    Вес репутации
    24
    I believe that it is all fixed now.

    I still attched the logs but everything seems to be working fine.

    Thank you very much for your asistance.
    Вложения Вложения

  13. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    I see nothing suspicious in your logs now
    Paula rhei.
    Поддержать проект можно тут

  14. #14
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    9
    Вес репутации
    24
    Thanks again!

  15. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,516
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 41
    • В ходе лечения вредоносные программы в карантинах не обнаружены


Похожие темы

  1. Search Hijack
    От thefoot в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 06.08.2010, 19:24
  2. Redirecting search page. Appreciate any help
    От allawi в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 30.12.2009, 09:11
  3. Google redirect browser hijack virus
    От mfed в разделе Malware Removal Service
    Ответов: 6
    Последнее сообщение: 23.11.2009, 11:14
  4. Internet Browser Security Test (Is your internet browser vulnerable?)
    От Ultima Weapon в разделе Offtopic
    Ответов: 13
    Последнее сообщение: 03.12.2007, 20:07
  5. Как избавиться от a-search.biz
    От Geser в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 09.10.2004, 16:22

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00947 seconds with 21 queries