Почему мой поиск в Google перенаправлен?

Question

Почему мой поиск в Google перенаправлен?

1570

Please Help 2010-07-14 в 16:10

Эта машина была заражена различными вредоносными программами. Я сканировал систему с помощью Malwarebytes . Он обнаружил и удалил около 600 зараженных файлов.

Теперь машина, кажется, работает хорошо, только с одним исключением.

Некоторые результаты поиска Google перенаправляются в некоторые теневые поисковые системы.

Если бы я скопировал URL-адрес из результатов поиска Google и вставил его в адресную строку, он попал бы на правильный сайт, но если я нажму на ссылку, я буду перенаправлен куда-то еще.

Вот мой файл журнала от HijackThis:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:55:16 AM, on 7/14/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal  Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gateway.com/g/sidepanel.html?Ch=Retail&Br=EM&Loc=ENG_US&Sys=DTP&M=T3418 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader Link Helper - - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - - C:\Program Files\AskBarDis\bar\bin\askBar.dll O2 - BHO: McAfee AntiPhishing Filter - - c:\program files\mcafee\spamkiller\mcapfbho.dll (file missing) O2 - BHO: ALOT Toolbar - - C:\Program Files\alot\bin\alot.dll (file missing) O2 - BHO: SSVHelper Class - - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Google Toolbar Helper - - c:\program files\google\googletoolbar3.dll O2 - BHO: CBrowserHelperObject Object - - c:\windows\system32\BAE.dll O3 - Toolbar: McAfee VirusScan - - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: Easy-WebPrint - - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - - c:\program files\google\googletoolbar3.dll O3 - Toolbar: ALOT Toolbar - - C:\Program Files\alot\bin\alot.dll (file missing) O3 - Toolbar: Ask Toolbar - - C:\Program Files\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\RunOnce: [OOBEDDDemise] cmd /x /c erase C:\WINDOWS\system32\oobe\msoobe.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [Power2GoExpress] NA (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Power2GoExpress] NA (User 'Default user') O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm172YYUS O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O9 - Extra button: (no name) - - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: (no name) - - c:\program files\mcafee\spamkiller\mcapfbho.dll (file missing) O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - - c:\program files\mcafee\spamkiller\mcapfbho.dll (file missing) O9 - Extra button: Research - - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aol.com O16 - DPF: (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab O16 - DPF: (UnagiAx Class) - http://radaol-prod-web-rr.streamops.aol.com/mediaplugin/3.0.84.2/win32/unagi3.0.84.2.cab O16 - DPF: (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab O16 - DPF: (CWDL_DownLoadControl Class) - http://www.callwave.com/include/cab/CWDL_DownLoad.cab O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

2

Это, вероятно, только ваши настройки прокси в IE, они останутся там даже после удаления вируса. Not Kyle stop stalking me 13 лет назад 0

Я имел это в течение долгого времени, и я наконец исправил это. Это не вирус, это связано с DNS-серверами. Вам просто нужно начать использовать общедоступный DNS, такой как OpenDNS или Google DNS. ixtmixilix 13 лет назад 0

4 ответа на вопрос

4

1

harrymc 2010-07-14 в 16:22

Других объяснений нет: ваша машина все еще заражена.

Маловероятно, что после такой масштабной инфекции, как вы описываете, любой AV-продукт полностью очистит все. Нет другого безопасного решения, чем перезапуск с чистого листа.

Мой совет - сохранить ваши данные, переформатировать жесткий диск и переустановить Windows (или восстановить заводской образ компьютера, в зависимости от обстоятельств).

Массовые инфекции можно вылечить, просто удалив все возможные способы запуска вредоносного ПО, а затем удалив все зараженные файлы в безопасном режиме, если вы хотите поднять его на следующий уровень, у вас все еще есть автозапуск для проверки низкоуровневого содержимого и другого анализа производительности. такие инструменты, как XPerf, XBootMgr, Process Monitor, ... Переустановка Windows - это решение, которое имеет тенденцию работать, но это не решение, чтобы тратить много времени на переустановку всего при каждом заражении. Tom Wijsman 14 лет назад 0

@ TomWij: Заражение не должно происходить очень часто ... И чтобы добиться успеха, ему понадобится такой высокий уровень знаний, что он вообще не будет задавать свой вопрос. harrymc 14 лет назад 0

@ TomWij: у вас есть знания, чтобы ответить на вопросы в superuser.com и избежать заражения. Не все так делают. harrymc 14 лет назад 0

Да, действительно, но для некоторых людей это делает, и для тех людей не стоит продолжать переустанавливать их систему, у него 600 инфекций, поэтому он склонен быть таким парнем ... Переустановка всегда легко исправить, но вы лучше учитесь предотвратить вирусы и как от них избавиться. Tom Wijsman 14 лет назад 0

Я взял «Заражение не должно случаться очень часто» немного лично, но это было не обо мне, поэтому я набрал первую часть своего ответа после второй, приспособил свой ответ к правильному контексту вашего ответа, чтобы избежать путаницы ... Tom Wijsman 14 лет назад 0

@ TomWij: Личная ссылка не предназначена. Не за что. harrymc 14 лет назад 0

1

mouche 2010-07-14 в 16:34

Я согласен, что было бы лучше сделать чистую установку после резервного копирования, но у вас есть несколько вариантов.

Сначала перезагрузите компьютер в безопасном режиме.

Затем запустите ESET Online Scanner, отличный бесплатный сканер, который является версией ESET NOD32 только для сканирования и удаления. Я имел большой успех с этим продуктом. Это будет проверять на наличие вирусов и других вредоносных программ в своих определениях.

Затем запустите Spybot Search & Destroy, чтобы очистить оставшиеся шпионские и вредоносные программы.

Наконец, перезагрузитесь в обычном режиме и просмотрите «Установка и удаление программ», чтобы избавиться от всего, что выглядит подозрительно. Как правило, они уже удалены, и вы просто выводите их из списка (например, «Adhelper»).

Я имел большой успех с этим методом. Я обычно делаю некоторую очистку, используя Disk Cleanup или CCleaner потом. Мне никогда ничего не удавалось избежать в этом процессе, но я не очень часто сталкиваюсь с вирусами или вредоносными программами.

-1

ixtmixilix 2011-01-17 в 20:30

Это действительно просто вылечить. Просто начните использовать Google Public DNS. Измените основной DNS на 8.8.8.8 и дополнительный DNS на 8.8.4.4 ...

-1 Использование разных DNS-серверов не залечит инфекцию. goblinbox 13 лет назад 0

@goblinbox У меня это было давно, и это не результат вредоносного ПО. ixtmixilix 13 лет назад 0

Понятно, но в первоначальном вопросе конкретно говорится, что произошла инфекция. (Многие считают, что смена DNS-серверов дает какой-то волшебный результат, но такие люди обычно не знают, что такое DNS и как он работает: DNS означает службу доменных имен, и она разрешает имена в числа. Период. Смена DNS-серверов не дает вылечить инфекции, и локальные DNS-серверы практически всегда будут работать быстрее и будут иметь более актуальную информацию, чем удаленные DNS-серверы. Наконец, корреляция не подразумевает причинно-следственную связь.) goblinbox 13 лет назад 1

Accepted Answer · 2010-07-14 16:29:10

Отключите их в безопасном режиме:

R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AskBar BHO - - C:\Program Files\AskBarDis\bar\bin\askBar.dll BHO: ALOT Toolbar - - C:\Program Files\alot\bin\alot.dll (file missing) O3 - Toolbar: ALOT Toolbar - - C:\Program Files\alot\bin\alot.dll (file missing) O3 - Toolbar: Ask Toolbar - - C:\Program Files\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\RunOnce: [OOBEDDDemise] cmd /x /c erase C:\WINDOWS\system32\oobe\msoobe.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm172YYUS O16 - DPF: (CWDL_DownLoadControl Class) - http://www.callwave.com/include/cab/CWDL_DownLoad.cab

И используйте CWShredder, так как вы можете быть заражены CoolWebSearch.

Перезагрузите и опубликуйте новый журнал HijackThis в своем сообщении, также сделайте это, чтобы я мог сделать более детальный просмотр:

Скачайте AutoRuns, запустите его и примите лицензионное соглашение, дайте ему возможность сканировать.
Когда сканирование завершено, перейдите в «Файл» и затем сохраните его как файл .arn.
Загрузите этот файл на веб-сайт для размещения файлов, например RapidShare / MegaUpload / ...

Для целей проверки на вирусы, проверьте сообщение Моше ... Я больше типа "ручная очистка".
Я ненавижу ресурсоемкие антивирусные сканеры, которые отнимают время ... :-D

Что касается CT его комментарий ...

В безопасном режиме запустите автозапуск с правами администратора и снимите флажки со следующих элементов.
В первом столбце найдите имя перед ; символ и в последнем столбце для пути после ; :

0; File not found: About:Home SimpleShlExt; File not found: C:\PROGRA~1\DEFENS~1\defext.dll Defense Center extension; File not found: C:\PROGRA~1\DEFENS~1\defext.dll bbbbbe90-4903-4a9b-bd83-dcb5abdbbe75; File not found: E:\CDS300\cds300.dll

Обратите внимание, что Defense Center - это фальшивый мошеннический антивирус, который следует удалить!

Когда вы удалите эти четыре записи, перезагрузитесь и скажите мне, если у вас все еще есть проблема.
Целесообразно обновлять и сканировать с помощью антивирусного сканера, чтобы удалить все оставшиеся файлы.

Почему мой поиск в Google перенаправлен?

4 ответа на вопрос

Похожие вопросы