Hijackthis nie może zapisać log


(system) #1

witam, win 7 32bit , proszę o sprawdzenie log otl, w ie homepage ciągle zmienia sie na omniboxes,

malwarebytes usunęło kilkadziesiąt infekcji, prosze o pomoc


(rgabrysiak) #2

Zapoznaj się z tym tematem: http://forum.dobreprogramy.pl/nowy-log-obowiązkowy-farbar-recovery-scan-tool-t478727/ i wstaw odpowiednie logi, w odpowiedni sposób.

Następnie poczekaj aż ktoś je przeanalizuje.


(system) #3

post-156353-0-07378700-1424967869_thumb.


(Drobok) #4

gdzie w linku rgabrysiak’a masz link do hjt ? :P 

Wklej w własne opcje skanowania / skrypt

:OTL
IE - HKCU\..\SearchScopes\{0363AA99-5424-4BAD-A65A-87785DAD7BB0}: "URL" = https://www.google.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3160811AS_6PT2LJMPXXXX6PT2LJMP&ts=1424626660&type=default&q={searchTerms}
IE - HKCU\..\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0}: "URL" = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3160811AS_6PT2LJMPXXXX6PT2LJMP&ts=1424626660&type=default&q={searchTerms}
IE - HKCU\..\SearchScopes\{3D1E9C26-08BA-47B9-9F46-A93FA6143E02}: "URL" = https://www.google.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{3EF183DF-FEE7-4F44-8343-701432698C6A}: "URL" = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3160811AS_6PT2LJMPXXXX6PT2LJMP&ts=1424626660&type=default&q={searchTerms}
IE - HKCU\..\SearchScopes\{81847FA9-0F5B-4EDF-9CF7-EA19004F8877}: "URL" = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3160811AS_6PT2LJMPXXXX6PT2LJMP&ts=1424626660&type=default&q={searchTerms}
IE - HKCU\..\SearchScopes\{9AA0AAB5-BFF4-4426-922E-FDF35464EEC0}: "URL" = https://www.google.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{D848D83B-737F-4676-AFC5-4E8FD951A809}: "URL" = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3160811AS_6PT2LJMPXXXX6PT2LJMP&ts=1424626660&type=default&q={searchTerms}
IE - HKCU\..\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C}: "URL" = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3160811AS_6PT2LJMPXXXX6PT2LJMP&ts=1424626660&type=default&q={searchTerms}
IE - HKCU\..\SearchScopes\{FB2D102E-E673-4650-B196-40EBB86144BC}: "URL" = http://www.sweet-page.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3160811AS_6PT2LJMPXXXX6PT2LJMP&ts=1424626660&type=default&q={searchTerms}

:Services
duxemydi
mogyfetu
xorohomu

:files
C:\Users\QSA\AppData\Local\03000200-1424629609-0500-0006-000700080009\snse8FA6.tmp
C:\Users\QSA\AppData\Roaming\03000200-1424629546-0500-0006-000700080009\JOSrv.exe
C:\Users\QSA\AppData\Roaming\03000200-1424629546-0500-0006-000700080009\nsoC241.tmpfs 
C:\Windows\System32\drivers\ftdibus.sys
C:\Windows\System32\drivers\ftser2k.sys
C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys 

kliknij wykonaj skrypt

Odinstaluj Search.us.com po czym wklej logi z fabara (link masz w poście rgabrysiak’a)

A co do tego błędu, bardzo prawdopodobne że to comodo blokuje ci dostęp do tego pliku, hjt jest starym programem, z tego co pamiętam to przed jego użyciem powinieneś wyłączyć oprogramowanie antywirusowe


(system) #5

dzięki za odp.

wynik wykonania skryptu http://wklej.to/1ygXx

FABAR FRST wklej.to\3TF5N


(Atis) #6

Brakuje raportu Addition:

Nowy log obowiązkowy - Farbar Recovery Scan Tool


(system) #7

Witam ponownie

dzisiejszy addition http://wklej.to/G0Jow

dzisiejszy frst http://wklej.to/nBA8g

log addition udało mi się skopiować tuż po scanie

ponieważ po zapisaniu coś go usuwa


(Atis) #8

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
FF HKU\S-1-5-21-2709497139-4284397536-1699511431-1000\...\Firefox\Extensions: [{F9A8DF11-4BA6-C0DC-0000-E63066388762}] - C:\Program Files\ver2BlockAndSurf\189.xpi
U3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
U3 FTDIBUS; system32\drivers\ftdibus.sys [X]
U3 FTSER2K; system32\drivers\ftser2k.sys [X]
2015-02-26 18:03 - 2015-02-26 18:03 - 00000000 ____ D () C:\_OTL
2015-02-23 22:15 - 2015-02-23 22:15 - 00000000 ____ D () C:\CCE_Quarantine
2015-02-22 18:36 - 2015-02-25 15:38 - 00000000 ____ D () C:\Users\QSA\AppData\Local\SmartWeb
2015-02-22 18:26 - 2015-02-25 15:37 - 00000000 ____ D () C:\Program Files\globalUpdate
2015-02-22 18:26 - 2015-02-25 15:37 - 00000000 ____ D () C:\Program Files\5fdb2b6e-e6e0-476d-9f40-e6c7fe729af6
2015-02-22 18:26 - 2015-02-22 18:26 - 00000000 ____ D () C:\Users\QSA\AppData\Roaming\03000200-1424629602-0500-0006-000700080009
2015-02-22 18:26 - 2015-02-22 18:26 - 00000000 ____ D () C:\Users\QSA\AppData\Local\globalUpdate
2015-02-22 18:25 - 2015-02-26 18:03 - 00000000 ____ D () C:\Users\QSA\AppData\Roaming\03000200-1424629546-0500-0006-000700080009
Task: {271395C3-57B0-4E22-B4EA-9A241E5E34B3} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Task: {A8E3E550-0A5E-482E-961D-EB57B3DAA2A8} - System32\Tasks\DLL-Files FixerASKUSER => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
 C:\Program Files\ver2BlockAndSurf
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(system) #9

witam usuwanie fixlog http://wklej.to/kq1CT

frsthttp://wklej.to/u9XHJ


(Atis) #10

Skasuj folder C:\FRST

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj:

Adobe Reader 9

Java 7 Update 67

Zainstaluj:

Adobe Reader XI 11.0.10

Java 8 Update 31

Internet Explorer 11


(system) #11

witam ponownie

wykonałem to co podał Atis

przy uruchomieniu IE Malwarebytes zablokował:

Detection, 2015-03-01 10:16:31, SYSTEM, QSA-KOMPUTER, Protection, Malicious Website Protection, IP, 5.153.38.134, yaa.blfyuefyset.com, 49173, Outbound, C:\Program Files\Internet Explorer\iexplore.exe,

nie można ustawić strony startowej, gdy włączam IE ciągle zmienia się na:

http://www.omniboxes.com/?type=sc&ts=1424626145&from=obw&uid=ST3160811AS_6PT2LJMPXXXX6PT2LJMP

dzięki za poświęcenie czasu

Atis nic nie pisał o logu jakby co podrzucam

FRST http://wklej.to/wqXUe

addition http://wklej.to/R83Ym

shortcut http://wklej.to/eDQXG


(Atis) #12

Pobierz i uruchom AdwCleaner Kliknij Scan i później Cleaning.


(system) #13

wyłączyłem Comodo

ale i tak po pobraniu wyskakuje

Program mógł zostać przeniesiony lub usunięty.

już ok, scanuje

http://wklej.to/JGOy3

http://wklej.to/4yHfx

moja pomyłka cos spieprzyłem i pod obiema nazwami zapisałem ten san loghttp://wklej.to/bP0Yz


(Atis) #14

Nie wiadomo czy coś wykrył, bo to nie jest raport z pierwszego skanowania.


(Drobok) #15

Masz link w skrócie do IE

%appdata%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\

I zatwierdź enterem


(system) #16

teraz już tak jest

chwile wcześniej przy otwieraniu strony seansik.tv malware zatrzymało to:Detection, 2015-03-01 14:11:55, SYSTEM, QSA-KOMPUTER, Protection, Malicious Website Protection, IP, 80.252.188.228, aabe3b.se, 49592, Outbound, C:\Program Files\Internet Explorer\iexplore.exe,

Detection, 2015-03-01 14:11:55, SYSTEM, QSA-KOMPUTER, Protection, Malicious Website Protection, IP, 80.252.188.228, aabe3b.se, 49592, Outbound, C:\Program Files\Internet Explorer\iexplore.exe,

Detection, 2015-03-01 14:11:56, SYSTEM, QSA-KOMPUTER, Protection, Malicious Website Protection, IP, 80.252.188.228, aabe3b.se, 49593, Outbound, C:\Program Files\Internet Explorer\iexplore.exe,

Detection, 2015-03-01 14:11:56, SYSTEM, QSA-KOMPUTER, Protection, Malicious Website Protection, IP, 80.252.188.229, 0427d7.se, 49595, Outbound, C:\Program Files\Internet Explorer\iexplore.exe,

Detection, 2015-03-01 14:11:56, SYSTEM, QSA-KOMPUTER, Protection, Malicious Website Protection, IP, 80.252.188.229, 0427d7.se, 49596, Outbound, C:\Program Files\Internet Explorer\iexplore.exe,

Detection, 2015-03-01 14:11:56, SYSTEM, QSA-KOMPUTER, Protection, Malicious Website Protection, IP, 80.252.188.229, 0427d7.se, 49595, Outbound, C:\Program Files\Internet Explorer\iexplore.exe,

to coś niebezpiecznego?