szybko-szukaj.pl - startowa logi

Witam
Jako ze jestem totalnym laikiem w tych sprawach prosze o sprawdzenie logow z hijackthis
problem polega na tym ze strona szybko-szukaj.pl ustawia sie jako startowa i nie da rady tego zmienic.
Skanowalem nodem i avastem ale nic sie nie zmieniło dlatego prosze o pomoc
http://wklej.org/id/120817/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.szybko-szukaj.pl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Peer2Mail Toolbar Helper - {4FB971C4-99FB-480d-BA3F-55B8263010FB} - C:\Program Files\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: Peer2Mail Toolbar - {43F2A7F9-06F6-48a5-B0DC-8530BF29CE66} - C:\Program Files\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [issch] C:\WINDOWS\system32\issch.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\nic nie powiem\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

Fix w HijackThis. Instrukcja viewtopic.php?f=22&t=13967

Jest sporo do usuwania, więc użyjemy Combofixa.

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod:

Folder::
C:\Program Files\AskSearch
C:\Program Files\Peer2Mail Toolbar
C:\Program Files\PokerStars


Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

combofix :
http://wklej.org/id/120869/


Malwarebytes
http://wklej.org/id/120900/

dzieki za pomoc

Usuń zainfekowane obiekty w Malwarebytes' Anti-Malware.

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod:

Folder::
c:\program files\BomFunk - Games
c:\program files\Rockstar Games
c:\program files\AskBarDis

Registry::
[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"=-
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"=-
"Adobe Reader Speed Launcher"=-
"NeroFilterCheck"=-
"SunJavaUpdateSched"=-
"issch"=-
"SkyTel"=-


Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Nie wykonałeś tego:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.szybko-szukaj.pl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Peer2Mail Toolbar Helper - {4FB971C4-99FB-480d-BA3F-55B8263010FB} - C:\Program Files\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: Peer2Mail Toolbar - {43F2A7F9-06F6-48a5-B0DC-8530BF29CE66} - C:\Program Files\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [issch] C:\WINDOWS\system32\issch.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\nic nie powiem\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

Fix w HijackThis. Instrukcja viewtopic.php?f=22&t=13967

Podaj log z OTL http://www.instalki.pl/programy/downloa ... re/OTL.php

Usunalem ale w zlej kolejnosc tzn log combo był wczesniej

Log combo http://wklej.org/id/120935/
OTL http://wklej.org/id/120938/
extras http://wklej.org/id/120939/

c:\program files\GameTribe

Znasz ten program?

W OTL wklej:

Kod:

:OTL
FF - prefs.js..browser.search.defaultenginename: "Ask"
FF - prefs.js..browser.search.order.1: "Ask"
FF - prefs.js..browser.search.selectedEngine: "Ask"
O3 - HKCU\..\Toolbar\WebBrowser: (Peer2Mail Toolbar) - {43F2A7F9-06F6-48A5-B0DC-8530BF29CE66} - C:\Program Files\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll File not found
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found

:Files
C:\Documents and Settings\nic nie powiem\Dane aplikacji\mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
C:\Documents and Settings\nic nie powiem\Dane aplikacji\mozilla\Firefox\Profiles\7cyath2i.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
C:\Documents and Settings\nic nie powiem\Dane aplikacji\mozilla\Firefox\Profiles\7cyath2i.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
C:\Documents and Settings\nic nie powiem\Dane aplikacji\Mozilla\FireFox\Profiles\7cyath2i.default\searchplugins\ask.xml
C:\Program Files\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
C:\WINDOWS\PEV.exe
C:\WINDOWS\NIRCMD.exe
C:\WINDOWS\SWXCACLS.exe
C:\WINDOWS\SWREG.exe
C:\WINDOWS\SWSC.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
C:\WINDOWS\ERDNT
C:\Qoobox

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij Run Fix. Program wygeneruje log, dasz go na forum.
Ponownie uruchom OTL. Kiknij w Run Scan. Program wygeneruje kolejny log, który też dasz na forum.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Po tym daj jeszcze nowy log z Combofixa.

pierwszy log OTL http://wklej.org/id/120953/
drugi log OTL http://wklej.org/id/120954/
Combofix http://wklej.org/id/120958/

program znam - gra internetowa

W OTL wklej:

Kod:

:OTL
FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q="

:Files
C:\Program Files\mozilla firefox\plugins\nppl3260.dll
C:\Program Files\mozilla firefox\plugins\nprpjplug.dll
C:\RECYCLER
C:\WINDOWS\System32\actskin4.ocx
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-861567501-725345543-1003UA.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1606980848-861567501-725345543-1003Core.job
C:\WINDOWS\tasks\SA.DAT
C:\WINDOWS\bootstat.dat
c:\program files\AskBardis
c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij Run Fix. Program wygeneruje log, dasz go na forum.
Ponownie uruchom OTL. Kiknij w Run Scan. Program wygeneruje kolejny log, który też dasz na forum.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Po tym daj jeszcze raz nowy log z Combofixa.

OTL http://wklej.org/id/120974/
OTL http://wklej.org/id/120975/

combofix http://wklej.org/id/120972/

Infekcja cały czas powraca.
W OTL wklej:

Kod:

:OTL
C:\Documents and Settings\nic nie powiem\Dane aplikacji\mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

:Files
C:\WINDOWS\tasks\SA.DAT
C:\RECYCLER
C:\WINDOWS\PEV.exe
C:\WINDOWS\SWXCACLS.exe
C:\WINDOWS\SWREG.exe
C:\WINDOWS\SWSC.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
C:\WINDOWS\NIRCMD.exe
C:\WINDOWS\ERDNT
C:\Qoobox
c:\program files\mozilla firefox\components\brwsrcmp.dll

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij Run Fix. Program wygeneruje log, dasz go na forum.
Ponownie uruchom OTL. Kiknij w Run Scan. Program wygeneruje kolejny log, który też dasz na forum.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Przeskanuj system programem SDFix i daj raport z niego. Instrukcja viewtopic.php?f=22&t=13967

Przeskanuj obszar całego systemu Dr.WEB CureIt!

combofix http://wklej.org/id/120982/
za chwile wgram reszte
co to za typ infekcji ?

Jest to infekcja adware/malware AskSearch, albo jak kto woli MyWebSearch.
Przy okazji pojawiają się też inne wirusy.
Wykonaj jeszcze raz skanowanie Malwarebytes' Anti-Malware.

Przepraszam, że się wcinam, ale pomijasz jeden plik, który jest sprawcą zmieniania strony startowej na szybko-szukaj.pl, a dokładnie to:

c:\windows\system32\issch.exe

Malwarebytes niczego nie znalazł.
powtarzam skan Dr. Webem bo w połowie skanu (znalazł tylko SDFix) była awaria prądu.
Co do zmiany strony startowej to po pierwszym uzyciu combofixa i HijackThis nie ma juz tego problemu.

Przepraszam, że się wcinam, ale pomijasz jeden plik, który jest sprawcą zmieniania strony startowej na szybko-szukaj.pl, a dokładnie to:

c:\windows\system32\issch.exe

Mi wyglądało to na plik usługi aktualizacji pakietu InstallShield.
Chociaż wtedy powinna być inna lokalizacja tego pliku.

W OTL wklej:

Kod:

:Files
c:\windows\system32\issch.exe

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij Run Fix. Program wygeneruje log, dasz go na forum.
Ponownie uruchom OTL. Kiknij w Run Scan. Program wygeneruje kolejny log, który też dasz na forum.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Ostatnio edytowany przez Michael Parker, 14 Lip 2009, 20:18, edytowano w sumie 1 raz