Kierowanie do złośliwej strony internetowej

Post08 sie 2010, 19:45

Witam wszystkich. Nie wiedziałem w jakim dziale umieścić post, to umieściłem w dziale Bezpieczeństwo. Jeśli źle, to proszę o przeniesienie.
Problem w tym: każdorazowo przy wejściu na stronę główną Hotfix.pl (i tylko tu) ukazuje się komunikat: Ad-Watch Live! has blocked amplusnetprivacytools.exe from connecting to a malicious website on the internet.IP 217.74.65.162 (port 80).
Co przetłumaczyłem, że Ad-Watch zablokował przekierowanie do złośliwej strony internetowej. Po kliku w OK komunikat znika. Moje pytanie brzmi: jak wyeliminować próby złośliwego przekierowywania oprócz blokowania. Czy to oznacza, że strona główna Hotfix.pl jest zainfekowana? Jak się tego pozbyć?
Za ewentualne porady lub wskazówki serdecznie dziękuję i pozdrawiam.

Post08 sie 2010, 20:01

Hotfix NA PEWNO nie jest zainfekowana.
Daj odpowiednie logi wg tego regulaminu -> bezpieczenstwo/nowy-regulamin-dzialu-bezpieczenstwo-t1887.html

Post09 sie 2010, 00:18

hmm, to nie nasz IP Dostępne tylko dla zarejestrowanych użytkowników

Daj logi więc lepiej.

Post09 sie 2010, 19:02

djarta pisze:Hotfix NA PEWNO nie jest zainfekowana.
Daj odpowiednie logi wg tego regulaminu -> bezpieczenstwo/nowy-regulamin-dzialu-bezpieczenstwo-t1887.html

Szanowni Panowie: djarta i cosik_ktosik. Dziękuję za zainteresowanie się moim problemem,a prosicie o logi z OTL GMER-a. Sęk w tym, że nigdy jeszcze ich nie robiłem i nigdy nic nie wklejałem. Poprostu nie wiem jak to się robi. Pozostaje więc nauka, co przy zaawansowanym moim wieku, może trochę potrwać. Proszę więc o wyrozumiałość i cierpliwość. Jak będę gotowy, to dam jakoś znać. Pozdrawiam serdecznie. Rysbar

Post09 sie 2010, 19:28

@Rysbar, strona Hotfix.pl oraz forum jest sprawdzana przynajmniej dwa razy w miesiącu na obecność malware, więc gdyby coś było nie tak wiedzielibyśmy o tym. Po Twoim niejako zgłoszeniu sprawdziłem wszystko odpowiednimi narzędziami i nie ma jakichkolwiek oznak infekcji.

Post09 sie 2010, 20:30

rokko pisze:@Rysbar, strona Hotfix.pl oraz forum jest sprawdzana przynajmniej dwa razy w miesiącu na obecność malware, więc gdyby coś było nie tak wiedzielibyśmy o tym. Po Twoim niejako zgłoszeniu sprawdziłem wszystko odpowiednimi narzędziami i nie ma jakichkolwiek oznak infekcji.

Dzięki Rokko za informację. Wierzę, że tak poważna strona jak Hotfix nie może być zainfekowana. Niemniej jednak u mnie cały czas jest blokada i próba przekierowania na IP który podałem w pierwszym poście. Póki co to Ad-Watch Live blokuje i nic się nie dzieje złego, chociaż jest to denerwujące. Jak wspomniałem wyżej będę uczył się, poczytam poradniki, pogoogluję i jakby co to poproszę o pomoc. Pozdrawiam serdecznie. Rysbar

Post09 sie 2010, 20:48

Rysbar w naszej ofercie znajdują się poradniki, które powinny Ci pomóc:

1. Obsługa programu DDS
2. Obsługa programu OTL
3. Używanie programu GMER

Jeżeli chodzi o wklejanie logów na zewnętrzne serwery to postaram się opisać to w prosty sposób.

Logi wklejamy na serwisy: Dostępne tylko dla zarejestrowanych użytkowników lub Dostępne tylko dla zarejestrowanych użytkowników obowiązują tylko te.
Po zeskanowaniu komputera przez któryś z programów podanych powyżej w notatniku zostanie wygenerowany log, którego treść kopiujesz i następnie wklejasz w pole tekstowe w jednym ze wspomnianych wcześniej serwisach.
Po wklejeniu logów klikasz na pozycję wyślij - log zostaje wysłany na serwer i następuje wygenerowani linku do logów, który wklejasz na forum. Pamiętaj, że każdy log wysyłasz osobno na serwis zewnętrzny.
To by było już wszystko mam nadzieje, że pomogłem

Post10 sie 2010, 19:55

Dzięki mint1991; będę czytał, uczył się i próbował. Pozdrawiam Rysbar.

-- 10 sie 2010, 19:55 --

Wykonałem logi. Oto one: DDS Dostępne tylko dla zarejestrowanych użytkowników DDS Atack Dostępne tylko dla zarejestrowanych użytkowników 74198 OTL http.www.wklejto.pl/74202 OTL Extras Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post10 sie 2010, 21:29

wklej w OTL i naciśnij wykonaj skrypt:

:Processes
Explorer.EXE

:OTL
SRV - (Norman ZANDA) -- File not found
SRV - (Norman NJeeves) -- File not found
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2010-06-03 22:24:06 | 000,002,556 | ---- | M] () -- C:\Documents and Settings\Rysiu\Dane aplikacji\Mozilla\Firefox\Profiles\xgnbzl03.default\searchplugins\askcom.xml
O3 - HKLM\..\Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31C7D459-9CC3-44F2-9DCA-FC11795309B4} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O15 - HKCU\..Trusted Domains: google.pl ([www] https in Zaufane witryny)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
[2010-08-10 19:01:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
@Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\winlogon.exe:SummaryInformation
@Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\d3d8.dll:SummaryInformation
@Alternate Data Stream - 158 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2
@Alternate Data Stream - 126 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D1B5B4F1
@Alternate Data Stream - 126 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:CF778051
@Alternate Data Stream - 115 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:A8ADE5D8
@Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:99A29126

:Commands
[resethosts]
[emptytemp]
[start explorer]

dajesz potem log z usuwania i nowy log z OTL
sprawdz plik C:\WINDOWS\System32\PCProxy.dll na Dostępne tylko dla zarejestrowanych użytkowników lub Dostępne tylko dla zarejestrowanych użytkowników i daj raport

Post10 sie 2010, 22:05

Strona : http://www.hotfix.pl/ i forum : http://forum.hotfix.pl/ nie są zainfekowane.
Masz zainfekowany komputer

Pozostaje więc nauka, co przy zaawansowanym moim wieku, może trochę potrwać

dużo się nauczysz jak będziesz często odwiedzać forum i jeszcze będziesz pomagać innym
- mam 53 wiosenek

Znasz taką dawną "szafę" Odrę ?
Była w moim zakładzie pracy i może jeszcze jest

Post10 sie 2010, 22:20

Wykonałem zalecenia djkamil09061991 Oto log z wykonania skryptu:http://www.wklejto.pl/74209 i kolejny log z OTL Dostępne tylko dla zarejestrowanych użytkowników. Sprawdziłem C:\Windows\System32\PCProxy.dll na Dostępne tylko dla zarejestrowanych użytkowników wyszło, że typ pliku: PE32 executable for MS Windows (DLL) (GUI) intel 80386 32-bit i Nic nie znaleziono. @XMan taką też mam nadzieję, chociaż przy moich 70 wiosnach to nigdy nic nie wiadomo. A z tą infekcją mojego kompa jak sobie poradzić? Pozdrawiam serdecznie wszystkich. Rysbar

-- 10 sie 2010, 22:18 --

A szafę Odra to znam ze słyszenia.

-- 10 sie 2010, 22:20 --

W Elanie jej nie było.

Strona WWW · Post10 sie 2010, 22:21

dobrze sopiowałeś skrypt?? nic się nie wykonało. to narazie usuniemy tylko cześć wklej w OTL i naciśnij wykonaj skrypt:

:OTL
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2010-06-03 22:24:06 | 000,002,556 | ---- | M] () -- C:\Documents and Settings\Rysiu\Dane aplikacji\Mozilla\Firefox\Profiles\xgnbzl03.default\searchplugins\askcom.xml
O3 - HKLM\..\Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31C7D459-9CC3-44F2-9DCA-FC11795309B4} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O15 - HKCU\..Trusted Domains: google.pl ([www] https in Zaufane witryny)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} Dostępne tylko dla zarejestrowanych użytkowników ... oscan8.cab (Reg Error: Value error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} Dostępne tylko dla zarejestrowanych użytkowników ... rashim.cab (Reg Error: Value error.)
[2010-08-10 19:01:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job

:Commands
[resethosts]
[emptytemp]

daj log z usuwania

Post10 sie 2010, 22:46

@XMan taką też mam nadzieję, chociaż przy moich 70 wiosnach to nigdy nic nie wiadomo.

- ucz się na swoich błędach.
Na forum są o 20-ścia lat starsze kobitki od Ciebie, pomagają jeszcze innym.
Do góry chłopie a nie do ziemi

Jestem inw. na wózku, po ciężkim wypadku 67 % uszkodzenia ciała, doszły inne choroby / może i rak /
i trzymam się

Słuchaj młodszych, podawaj logi

Post10 sie 2010, 22:49

Proszę log z usuwania: Dostępne tylko dla zarejestrowanych użytkowników

Strona WWW · Post10 sie 2010, 22:52

Rysbar powolutku

wklej skrypt który podałem 2 posty wyżej nie ten pierwszy, i skopiuj go dobrze, wszystko co jest na tym innym tle łącznie z :
i naciśnij wykonaj skrypt