Proszę o sprawdzenie loga z HiJackThis...

[nana_k]

Witam,
jak w temacie...

log z HiJackThis: http://wklej.eu/index.php?id=de956c6827

Proszę o pomoc i pozdrawiam

[mateo8898]

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

Uruchom HijackThis Do a system scan only w okienku programu pokaże się log zaznacz kratki przy podanych wpisach klikasz Fix checked

Kod: Zaznacz wszystko

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll (file missing)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.EXE
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod: Zaznacz wszystko

Folders to delete:
C:\Program Files\AskSearch
C:\Program Files\free-downloads.net
C:\Program Files\MyWebSearch

Files to delete:
C:\WINDOWS\system32\EXPLORER.EXE
C:\WINDOWS\system32\wsctf.exe

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt
Podaj dodatkowo log z OTL (klikasz Run Scan i czekasz aż powstanie log)

[nana_k]

Dziękuję za szybką odpowiedź

raport z Avengera : http://wklej.eu/index.php?id=d1f33ec4e8
log z OTL : http://wklej.eu/index.php?id=81b6b0c523

[mateo8898]

Widzę, że używałaś Combofixa, który w większości pozamiatał, więc wklej log, który wtedy utworzył.

Przeskanuj plik: C:\WINDOWS\System32\setupfilter.exe na http://www.virustotal.com/pl/ i podaj wyniki

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
PRC - [2006-03-02 13:00:00 | 01,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
FF - prefs.js..browser.search.defaultenginename: "Ask"
FF - prefs.js..browser.search.order.1: "Ask"
FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q="
[2009-06-10 14:41:20 | 00,000,681 | ---- | M] () -- C:\Documents and Settings\Taugx\Dane aplikacji\Mozilla\Firefox\Profiles\sqqwwo7e.default\searchplugins\ask.xml

:Commands
[emptytemp]
[start explorer]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL

[nana_k]

log z ComboFixa: http://wklej.eu/index.php?id=a16b68ee0b
raport z VirusTotal: http://wklej.eu/index.php?id=8983811e77
log z usuwania OTL: http://wklej.eu/index.php?id=9f2c547274

[nana_k]

i jeszcze nowy log OTL: http://wklej.eu/index.php?id=4d56b19b49

[mateo8898]

Usuń resztki po Esecie tym narzędziem http://www.appremover.com/

Uruchom OTL w oknie Custom Scans/Fixes wklej:

:OTL
PRC - [2006-03-02 13:00:00 | 01,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

:Files
c:\windows\movexe.exe

:Commands
[emptytemp]
[start explorer]

Klikasz Run Fix. Następnie:

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

[nana_k]

Nie wykryło mi Eseta.

log z Malwarebytes': http://wklej.eu/index.php?id=c227be0335

[mateo8898]

Ok, możesz opróżnić jeszcze kwarantanne Malwarebytes.
Co do Eseta to usuniemy te resztki ręcznie.

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod: Zaznacz wszystko

Files to delete:
C:\WINDOWS\system32\drivers\epfwtdir.sys
C:\WINDOWS\system32\drivers\ehdrv.sys
C:\WINDOWS\system32\drivers\eamon.sys

Folders to delete:
C:\Program Files\ESET
C:\documents and settings\All Users\Dane aplikacji\ESET

Drivers to delete:
epfwtdir
ehdrv
eamon

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

[nana_k]

log z avengera : http://wklej.eu/index.php?id=8e7c083837

[mateo8898]

Dobra, wywalone. Usuń Avengera z dysku

[nana_k]

dziękuję bardzo za pomoc;)