Analiza loga

Mam jakiś dodatek który zmienia mi stronę startową w IE. Ad–aware go wykrywa, kasuje go, ale jak restartuję kompa to strona startowa powraca. Jak mam sie pozbyć inrtuza?

Załączam log – proszę o analizę.

Logfile of HijackThis v1.98.2
Scan saved at 23:56:29, on 2004–11–30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:WINDOWSsystem32oneLabsvsmon.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1NEOSTR~1CnxMon.exe
C:Program FilesThomsonSpeedTouch USBDragdiag.exe
C:PROGRA~1NEOSTR~1TaskbarIcon.exe
C:Program FilesBillP StudiosWinPatrolwinpatrol.exe
C:Program FilesAVPersonalAVGNT.EXE
C:Documents and SettingsAll UsersDokumentyone LabsoneAlarmzonealarm.exe
C:Documents and SettingsAll UsersDokumentyone LabsoneAlarmzonealarm.DAT
C:Program FilesGadu–Gadugg.exe
C:Documents and SettingspiotrekPulpitHijackThis.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.neostrada.pl
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:search
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – C:PROGRA~1NEOSTR~1SEARCH~1.DLL
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [WooCnxMon] C:PROGRA~1NEOSTR~1CnxMon.exe
O4 – HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program FilesThomsonSpeedTouch USBDragdiag.exe" /icon
O4 – HKLM..Run: [WOOTASKBARICON] C:PROGRA~1NEOSTR~1TaskbarIcon.exe
O4 – HKLM..Run: [WinPatrol] C:Program FilesBillP StudiosWinPatrolwinpatrol.exe
O4 – HKLM..Run: [syschk] syschk.exe /fastcheck
O4 – HKLM..Run: [AVGCtrl] C:Program FilesAVPersonalAVGNT.EXE /min
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [syschk] syschk.exe /fastcheck
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 – Global Startup: ZoneAlarm.lnk = C:Documents and SettingsAll UsersDokumentyone LabsoneAlarmzonealarm.exe
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O7 – HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1

Odpowiedzi: 3

urwisss:
...koleźanka z pracy podpowiedziała mi jeszcze, źeby cały system przeskanowac Spybot'em S&D. Wykrył pare śmieci, podczas gdy Ad–aware milczał.

Tak wlasnie czasem bywa
Te dwa programy specjalizuja sie w wylapywaniu i zwalczaniu roznych rodzajow szpiegow
Ad–awere specjalizuje sie w adware, SpyBot bardziej w spyware
Tak wiec skanowanie obydwoma jest w miare optymalnym wariantem
Wazne ze pomoglo
Bobi
Dodano
01.12.2004 22:26:18
Witam ponownie:)

Od razu dziękuję za pomoc, Bobi_Robert.
Juź się pewnie domyślasz, źe pomogło.

Zastosowałem się do twoich wskazówek, koleźanka z pracy podpowiedziała mi jeszcze, źeby cały system przeskanowac Spybot'em S&D. Wykrył pare śmieci, podczas gdy Ad–aware milczał.

Tak czy owak. Mam juź dostęp do rejestru i nie ładuje mi się źadna nieautoryzowana stronka...

pozdr.
urwisss
Dodano
01.12.2004 20:54:56
Wylacz przywracanie

Wyszukaj i usun z HDD:
syschk.exe >> WORM_AGOBOT.E

FIX:
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:search
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:search
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:search
O4 – HKLM..Run: [syschk] syschk.exe /fastcheck
O4 – HKCU..Run: [syschk] syschk.exe /fastcheck
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O7 – HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1

Wlacz przywracanie
Bobi
Dodano
01.12.2004 15:38:28
urwisss
Dodano:
01.12.2004 10:29:20
Komentarzy:
3
Strona 1 / 1