Analiza loga
Mam jakiś dodatek który zmienia mi stronę startową w IE. Ad–aware go wykrywa, kasuje go, ale jak restartuję kompa to strona startowa powraca. Jak mam sie pozbyć inrtuza?
Załączam log – proszę o analizę.
Logfile of HijackThis v1.98.2
Scan saved at 23:56:29, on 2004–11–30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:WINDOWSsystem32oneLabsvsmon.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1NEOSTR~1CnxMon.exe
C:Program FilesThomsonSpeedTouch USBDragdiag.exe
C:PROGRA~1NEOSTR~1TaskbarIcon.exe
C:Program FilesBillP StudiosWinPatrolwinpatrol.exe
C:Program FilesAVPersonalAVGNT.EXE
C:Documents and SettingsAll UsersDokumentyone LabsoneAlarmzonealarm.exe
C:Documents and SettingsAll UsersDokumentyone LabsoneAlarmzonealarm.DAT
C:Program FilesGadu–Gadugg.exe
C:Documents and SettingspiotrekPulpitHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.neostrada.pl
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:search
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – C:PROGRA~1NEOSTR~1SEARCH~1.DLL
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [WooCnxMon] C:PROGRA~1NEOSTR~1CnxMon.exe
O4 – HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program FilesThomsonSpeedTouch USBDragdiag.exe" /icon
O4 – HKLM..Run: [WOOTASKBARICON] C:PROGRA~1NEOSTR~1TaskbarIcon.exe
O4 – HKLM..Run: [WinPatrol] C:Program FilesBillP StudiosWinPatrolwinpatrol.exe
O4 – HKLM..Run: [syschk] syschk.exe /fastcheck
O4 – HKLM..Run: [AVGCtrl] C:Program FilesAVPersonalAVGNT.EXE /min
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [syschk] syschk.exe /fastcheck
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 – Global Startup: ZoneAlarm.lnk = C:Documents and SettingsAll UsersDokumentyone LabsoneAlarmzonealarm.exe
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O7 – HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
Załączam log – proszę o analizę.
Logfile of HijackThis v1.98.2
Scan saved at 23:56:29, on 2004–11–30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:WINDOWSsystem32oneLabsvsmon.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1NEOSTR~1CnxMon.exe
C:Program FilesThomsonSpeedTouch USBDragdiag.exe
C:PROGRA~1NEOSTR~1TaskbarIcon.exe
C:Program FilesBillP StudiosWinPatrolwinpatrol.exe
C:Program FilesAVPersonalAVGNT.EXE
C:Documents and SettingsAll UsersDokumentyone LabsoneAlarmzonealarm.exe
C:Documents and SettingsAll UsersDokumentyone LabsoneAlarmzonealarm.DAT
C:Program FilesGadu–Gadugg.exe
C:Documents and SettingspiotrekPulpitHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.neostrada.pl
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:search
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – C:PROGRA~1NEOSTR~1SEARCH~1.DLL
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [WooCnxMon] C:PROGRA~1NEOSTR~1CnxMon.exe
O4 – HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program FilesThomsonSpeedTouch USBDragdiag.exe" /icon
O4 – HKLM..Run: [WOOTASKBARICON] C:PROGRA~1NEOSTR~1TaskbarIcon.exe
O4 – HKLM..Run: [WinPatrol] C:Program FilesBillP StudiosWinPatrolwinpatrol.exe
O4 – HKLM..Run: [syschk] syschk.exe /fastcheck
O4 – HKLM..Run: [AVGCtrl] C:Program FilesAVPersonalAVGNT.EXE /min
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [syschk] syschk.exe /fastcheck
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 – Global Startup: ZoneAlarm.lnk = C:Documents and SettingsAll UsersDokumentyone LabsoneAlarmzonealarm.exe
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O7 – HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
Odpowiedzi: 3
urwisss:...koleźanka z pracy podpowiedziała mi jeszcze, źeby cały system przeskanowac Spybot'em S&D. Wykrył pare śmieci, podczas gdy Ad–aware milczał.
Tak wlasnie czasem bywa
Te dwa programy specjalizuja sie w wylapywaniu i zwalczaniu roznych rodzajow szpiegow
Ad–awere specjalizuje sie w adware, SpyBot bardziej w spyware
Tak wiec skanowanie obydwoma jest w miare optymalnym wariantem
Wazne ze pomoglo
Witam ponownie:)
Od razu dziękuję za pomoc, Bobi_Robert.
Juź się pewnie domyślasz, źe pomogło.
Zastosowałem się do twoich wskazówek, koleźanka z pracy podpowiedziała mi jeszcze, źeby cały system przeskanowac Spybot'em S&D. Wykrył pare śmieci, podczas gdy Ad–aware milczał.
Tak czy owak. Mam juź dostęp do rejestru i nie ładuje mi się źadna nieautoryzowana stronka...
pozdr.
Od razu dziękuję za pomoc, Bobi_Robert.
Juź się pewnie domyślasz, źe pomogło.
Zastosowałem się do twoich wskazówek, koleźanka z pracy podpowiedziała mi jeszcze, źeby cały system przeskanowac Spybot'em S&D. Wykrył pare śmieci, podczas gdy Ad–aware milczał.
Tak czy owak. Mam juź dostęp do rejestru i nie ładuje mi się źadna nieautoryzowana stronka...
pozdr.
Wylacz przywracanie
Wyszukaj i usun z HDD:
syschk.exe >> WORM_AGOBOT.E
FIX:
Wlacz przywracanie
Wyszukaj i usun z HDD:
syschk.exe >> WORM_AGOBOT.E
FIX:
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:search
O4 – HKLM..Run: [syschk] syschk.exe /fastcheck
O4 – HKCU..Run: [syschk] syschk.exe /fastcheck
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O7 – HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
Wlacz przywracanie
Strona 1 / 1