Mengapa pencarian Google saya dialihkan?

2

Mesin ini terinfeksi berbagai malware. Saya telah memindai sistem dengan Malwarebytes . Itu menemukan dan menghapus sekitar 600 file yang terinfeksi.

Sekarang mesin tampaknya berjalan dengan baik dengan hanya satu pengecualian.

Beberapa hasil pencarian Google sedang dialihkan ke beberapa mesin pencari yang teduh.

Jika saya menyalin URL dari hasil Google Penelusuran dan menempelkannya di bilah alamat, URL itu akan menuju ke situs yang benar, tetapi jika saya mengklik tautannya, saya akan dialihkan ke tempat lain.

Ini file log saya dari HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:16 AM, on 7/14/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gateway.com/g/sidepanel.html?Ch=Retail&Br=EM&Loc=ENG_US&Sys=DTP&M=T3418
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll (file missing)
O2 - BHO: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - C:\Program Files\alot\bin\alot.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - c:\windows\system32\BAE.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - C:\Program Files\alot\bin\alot.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [OOBEDDDemise] cmd /x /c erase C:\WINDOWS\system32\oobe\msoobe.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [Power2GoExpress] NA (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Power2GoExpress] NA (User 'Default user')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm172YYUS
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll (file missing)
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6E704581-CCAE-46D2-9C64-20D724B3624E} (UnagiAx Class) - http://radaol-prod-web-rr.streamops.aol.com/mediaplugin/3.0.84.2/win32/unagi3.0.84.2.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {89D75D39-5531-47BA-9E4F-B346BA9C362C} (CWDL_DownLoadControl Class) - http://www.callwave.com/include/cab/CWDL_DownLoad.cab
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
anti-virus malware malware-removal google-search Tolong bantu
sumber
Ini mungkin hanya pengaturan proxy Anda di IE mereka akan tetap di sana bahkan setelah menghapus virus.
Tidak Kyle berhenti menguntitku
Saya sudah lama memilikinya, dan akhirnya saya perbaiki. Ini bukan virus, ini ada hubungannya dengan server DNS. Anda hanya harus mulai menggunakan DNS publik seperti OpenDNS atau Google DNS.
ixtmixilix

Jawaban:

4

Nonaktifkan ini dalam mode aman:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
BHO: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - C:\Program Files\alot\bin\alot.dll (file missing)
O3 - Toolbar: ALOT Toolbar - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - C:\Program Files\alot\bin\alot.dll (file missing)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\RunOnce: [OOBEDDDemise] cmd /x /c erase C:\WINDOWS\system32\oobe\msoobe.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm172YYUS
O16 - DPF: {89D75D39-5531-47BA-9E4F-B346BA9C362C} (CWDL_DownLoadControl Class) - http://www.callwave.com/include/cab/CWDL_DownLoad.cab

Dan gunakan CWShredder karena Anda mungkin terinfeksi CoolWebSearch.

Nyalakan kembali dan kirim HijackThis baru log di pos Anda, juga lakukan ini sehingga saya bisa melakukan tampilan yang lebih rinci:

  1. Unduh AutoRuns , jalankan dan terima EULA, biarkan memindai.
  2. Setelah pemindaian selesai, buka File lalu Simpan sebagai file .arn.
  3. Unggah file ini ke situs web hosting file seperti RapidShare / MegaUpload / ...

Untuk keperluan pemindaian virus, periksa pos Mouche ... Saya lebih suka dengan tipe 'pembersihan manual'.
Aku benci pemindai virus yang menghabiskan sumber daya yang membutuhkan waktu ... :-D

Mengenai CT komentarnya ...

Dalam Safe Mode, jalankan Autoruns sebagai administrator dan hapus centang item berikut,
Lihat di kolom pertama untuk nama sebelum ; simbol dan di kolom terakhir untuk jalur setelah ; :

0; File not found: About:Home
SimpleShlExt; File not found: C:\PROGRA~1\DEFENS~1\defext.dll
Defense Center extension; File not found: C:\PROGRA~1\DEFENS~1\defext.dll
bbbbbe90-4903-4a9b-bd83-dcb5abdbbe75; File not found: E:\CDS300\cds300.dll

Harap dicatat bahwa Pusat Pertahanan adalah antivirus jahat palsu yang harus dihapus!

Setelah Anda menghapus empat entri ini, reboot dan beri tahu saya jika Anda masih memiliki masalah.
Adalah bijaksana untuk memperbarui dan memindai dengan pemindai virus Anda untuk menghapus file yang tersisa.

Tamara Wijsman
sumber
Bagaimana cara menonaktifkannya seperti yang dinyatakan dalam pernyataan pertama Anda? Gunakan 'Perbaiki' dalam HijackThis?
CT.
1
Pilih mereka dan kemudian klik 'Perbaiki'.
Tamara Wijsman
dl.dropbox.com/u/694102/hijackthislog.txt dl.dropbox.com/u/694102/AutoRunsLog.arn Hargai bantuan Anda.
CT.
HijackThis tampaknya bersih, pastikan untuk menginstal antivirus dan firewall agar tetap terlindungi. Mengenai AutoRuns, periksa posting saya yang diperbarui sebentar lagi ... Saya melihat beberapa hal.
Tamara Wijsman
1

Tidak ada penjelasan lain: Mesin Anda masih terinfeksi.

Tidak mungkin setelah infeksi besar seperti yang Anda gambarkan, bahwa produk AV apa pun akan sepenuhnya membersihkan segalanya. Tidak ada solusi aman selain memulai kembali dari yang bersih.

Saran saya adalah untuk menyimpan data Anda, memformat ulang hard disk, dan menginstal ulang Windows (atau mengembalikan komputer ke gambar pabrik, tergantung kasusnya).

harrymc
sumber
Infeksi masif dapat disembuhkan hanya dengan menghapus semua cara yang mungkin untuk memulai malware dan kemudian menghapus file yang terinfeksi selama Safe Mode, jika Anda ingin membawanya ke tingkat berikutnya Anda masih memiliki AutoRuns untuk memeriksa hal-hal tingkat rendah dan analisis kinerja lainnya alat-alat seperti XPerf, XBootMgr, Process Monitor, ... Menginstal ulang Windows Anda adalah solusi yang cenderung rusak, tetapi itu bukan solusi untuk menghabiskan banyak waktu menginstal ulang semuanya setiap kali Anda terinfeksi.
Tamara Wijsman
@ TomWij: Menjadi terinfeksi seharusnya tidak terlalu sering terjadi ... Dan untuk berhasil dia akan membutuhkan tingkat pengetahuan yang begitu tinggi sehingga tidak memasukkannya untuk mengajukan pertanyaan.
harrymc
@TomWij: Anda memiliki pengetahuan untuk menjawab pertanyaan di superuser.com dan untuk menghindari infeksi. Tidak semua orang melakukannya.
harrymc
Ya, memang, tetapi bagi sebagian orang memang demikian dan bagi orang-orang itu tidak membantu untuk terus menginstal ulang sistem mereka, ia memiliki 600 infeksi sehingga ia cenderung menjadi orang seperti itu ... Menginstal ulang selalu merupakan perbaikan yang mudah, tetapi Anda lebih baik belajar untuk mencegah virus dan cara menghilangkannya.
Tamara Wijsman
Saya mengambil "Menjadi terinfeksi seharusnya tidak terlalu sering terjadi" agak pribadi tetapi itu bukan tentang saya, itu sebabnya saya mengetik bagian pertama dari jawaban saya setelah yang kedua, menyesuaikan jawaban saya dengan konteks yang tepat dari respons Anda untuk menghindari kebingungan ...
Tamara Wijsman
1

Saya setuju bahwa akan lebih baik untuk melakukan instalasi bersih setelah cadangan, tetapi Anda memiliki beberapa opsi.

Pertama, reboot ke mode aman dengan jaringan.

Selanjutnya, jalankan ESET Online Scanner , pemindai gratis yang luar biasa yang merupakan versi pemindaian / penghapusan-saja dari ESET NOD32. Saya sudah sangat sukses dengan produk ini. Ini akan memindai virus bersama dengan malware lain dalam definisinya.

Selanjutnya, jalankan Spybot Search & Destroy untuk membersihkan sisa spyware dan malware.

Terakhir, reboot ke mode normal dan lihat melalui Tambah / Hapus Program untuk menyingkirkan apa pun yang terlihat mencurigakan. Biasanya, mereka sudah dihapus, dan Anda baru saja mengeluarkannya dari daftar ("Adhelper" misalnya).

Saya telah sukses besar dengan metode ini. Saya biasanya melakukan pembersihan menggunakan Disk Cleanup atau CCleaner sesudahnya. Saya tidak pernah mengalami sesuatu yang lolos dari saya melalui proses ini, tetapi saya tidak sering berurusan dengan virus atau malware.

mouche
sumber
-1

Sangat sederhana untuk menyembuhkan ini. Mulai gunakan DNS Publik Google. Ubah DNS primer Anda ke 8.8.8.8 dan DNS sekunder ke 8.8.4.4 ...

ixtmixilix
sumber
-1 Menggunakan berbagai server DNS tidak akan memperbaiki infeksi.
goblinbox
@ goblinbox Saya sudah lama menggunakannya, dan ini bukan hasil dari malware.
ixtmixilix
1
Dipahami, tetapi pertanyaan awal menyatakan secara khusus bahwa ada infeksi. (Banyak yang percaya bahwa mengubah server DNS memiliki semacam hasil ajaib, tetapi orang-orang semacam itu biasanya tidak tahu apa itu DNS atau bagaimana cara kerjanya: DNS berarti layanan nama domain, dan ia memutuskan nama menjadi angka. Periode. Mengubah server DNS tidak menyembuhkan infeksi, dan server DNS lokal praktis akan selalu lebih cepat dan memiliki informasi yang lebih relevan daripada server DNS jarak jauh. Akhirnya, korelasi tidak menyiratkan sebab-akibat.)
goblinbox