Πρόβλημα με ιό (;) go.google.com

[Skakinen]

Επειδή εκτός από τα ειδικά forum απ'ότι έχω δει έχουμε κι εμείς εδώ τζιμάνια στα των υπολογιστών θα παρακαλούσα για τη βοήθεια όσων γνωρίζουν και έχουν χρόνο.

Από χθές το βράδυ ενώ σερφάριζα , το antivirus μου εντόπισε κάτι που προσπαθούσε να εγκατασταθεί. Χωρίς να δώσω ιδιαίτερη σημασία έδωσα εντολή στο NOD 32 να ακυρώσει την εγκατάσταση και συνέχισα,
Το άμεσο σύμπτωμα που διεπίστωσα είναι ότι άλλαξαν (προς το μεγαλύτερο) τα γράμματα στα αποτελέσματα του Google.
Επιπλέον (το χειρότερο) από σήμερα το πρωί όταν κάνω αναζήτηση στο Google και κλικάρω για να μεταβώ σε κάποιο από τα αποτελέσματα της αναζήτησης με στέλνει σε κάποια διεύθυνση http://go.google.com και αμέσως μετά σε διευθύνσεις με πορνό, viagra και τα σχετικά.
Μια έρευνα στο Google δεν με διαφώτισε ιδαίτερα.

Μήπως κάποιος από εσάς είχε το ίδιο πρόβλημα και αν ναι ,πώς το αντιμετώπισε;
Ή μπορεί κάποιος να με βοηθήσει γενικότερα;

Ευχαριστώ πολύ προκαταβολικά.


Παρακάτω είναι τα αποτελέσματα του HijackTthis

------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:16:47 πμ, on 21/9/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.in.gr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Συνδέσεις
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Συντόμευση σελίδας ιδιοτήτων του High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ε&ξαγωγή στο Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Έρευνα - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8721DD7-AAEB-4EA6-B836-000213407371}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6528 bytes

 

[Skakinen]

Παρακάτω είναι τα αποτελέσματα από το SUPERAntiSpyware ,από το SpybotSD και από το Malwarebytes':

Όπως βλέπετε κι εσείς δεν συμφωνούν στα αποτελέσματά τους.
Ακόμη δεν έχω προχωρήσει στις επιδιορθώσεις που προτείνουν τα προγράμματα.


Ερώτηση : αν δεν κάνω λάθος το svchost.exe είναι αρχείο των Windows.
Αν τα anti-spyware προγράμματα το επιδιορθώσουν σβήνοντάς το , υπάρχει περίπτωση να μην λειτουργούν τα Windows κανονικά;



SUPERAntiSpyware

SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 09/21/2008 at 02:12 PM
Application Version : 4.21.1004
Core Rules Database Version : 3575
Trace Rules Database Version: 1563
Scan type : Complete Scan
Total Scan Time : 00:28:10
Memory items scanned : 383
Memory threats detected : 1
Registry items scanned : 4139
Registry threats detected : 1
File items scanned : 25374
File threats detected : 6

Trojan.Dropper/SVCHost-Fake
C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
[SVCHOST.EXE] C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
C:\WINDOWS\Prefetch\SVCHOST.EXE-0EB47E31.pf

Trojan.Dropper/Gen
C:\DOCUMENTS AND SETTINGS\Σάκης\Τα έγγραφά μου\Α Τ Α Ξ Ι Ν Ο Μ Η Τ Α\BOXWORLD.EXE
D:\BACK UP από Έγγραφά μου 23-3-2008\Α Τ Α Ξ Ι Ν Ο Μ Η Τ Α\BOXWORLD.EXE

Unclassified.Unknown Origin
C:\DOCUMENTS AND SETTINGS\Σάκης\Τα έγγραφά μου\ΠΡΟΓΡΑΜΜΑΤΑ DESKTOP - LAPTOP\NERO 6.6.0.6\KEYGEN.EXE
D:\BACK UP από Έγγραφά μου 23-3-2008\ΠΡΟΓΡΑΜΜΑΤΑ DESKTOP - LAPTOP\NERO 6.6.0.6\KEYGEN.EXE



SpybotSD

CoolWWWSearch.Svchost32: [SBI $7C91BE16] Autorun settings (Registry value, nothing done)
HKEY_USERS\S-1-5-21-606747145-1547161642-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SVCHOST.EXE

CoolWWWSearch.Svchost32: [SBI $7C91BE16] Program file (File, nothing done)
C:\WINDOWS\system32\drivers\svchost.exe


Malwarebytes'
Malwarebytes' Anti-Malware 1.28
Database version: 1184
Windows 5.1.2600 Service Pack 2
21/9/2008 1:27:33 μμ
mbam-log-2008-09-21 (13-27-28).txt
Scan type: Full Scan (C:\|D:\|)
Objects scanned: 125213
Time elapsed: 41 minute(s), 3 second(s)

Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 4

Memory Processes Infected:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken.
Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\Σάκης\Τα έγγραφά μου\ΠΡΟΓΡΑΜΜΑΤΑ desktop - laptop\Nero 6.6.0.6\Keygen.exe (Trojan.Agent) -> No action taken.
D:\Back up από Έγγραφά μου 23-3-2008\ΠΡΟΓΡΑΜΜΑΤΑ desktop - laptop\Nero 6.6.0.6\Keygen.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.

 

[Skakinen]

Κάτι άλλο το οποίο μόλις παρατήρησα: στο laptop από το οποίο επικοινωνούμε (το Desktop έχει το πρόβλημα) το αρχείο svchost.exe βρίσκεται στο C:\WINDOWS\system32 και όχι στο C:\WINDOWS\system32\drivers.
Αντίθετα , στο desktop , το εν λόγω αρχείο βρίσκεται και στο C:\WINDOWS\system32 και στο C:\WINDOWS\system32\drivers.
Λέει κάτι αυτό;
(Τα δύο pc έχουν ακριβώς το ίδιο λειτουργικό και sp2.)

 

[sotos65]

Δεν πρέπει να υπάρχει svchost.exe στον φάκελο \system32\drivers. Στο επισημαίνει εξάλλου και το superantiware στο scan του (βγάζει ότι το συγκεκριμένο έχει ένα trojan). Επίσης έχεις κι άλλα, όπως το

http://www.greatis.com/appdata/d/t/tdssinit.dll.htm
http://forum.sysinternals.com/forum_posts.asp?TID=15803&KW=tdss

...ένα keygen από το nero, κάποιο BOXWORLD.EXE (πιθανά να έχουν σχέση όλα αυτά μεταξύ τους).