Myway.mywebsearch-mam problem z usunięciem


(Angela9331) #1

Witam, Spybot-S.D wykrył na moim kompie coś takiego jak Myway.Mywebsearch i w żaden sposób nie mogę tego usunąc.Niewiem co to jest .Proszę o sprawdzenie loga.Mój log z HijackThis ,czy ktoś mógłby mi doradzić co mam zrobić to byłabym bardzo wdzięczna. Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:33:07, on 2009-03-31

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\DellTPad\Apoint.exe

C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\IDT\WDM\sttray.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe

C:\Program Files\Steganos Security Suite 2007\SteganosHotKeyService.exe

C:\Program Files\Steganos Security Suite 2007\fredirstarter.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\BitComet\BitComet.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Dell\QuickSet\quickset.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Windows\system32\conime.exe

C:\Program Files\DellTPad\ApMsgFwd.exe

C:\Program Files\DellTPad\Apntex.exe

C:\Program Files\DellTPad\HidFind.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Program Files\Steganos Security Suite 2007\PasswordManagerBHO.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)

O4 - HKLM..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe

O4 - HKLM..\Run: [Dell Webcam Central] "C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" /mode2

O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [sysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe

O4 - HKLM..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM..\Run: [sSS2007 PasswordManagerFFAutoFill] "C:\Program Files\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe"

O4 - HKLM..\Run: [sSS2007 HotKeys] "C:\Program Files\Steganos Security Suite 2007\SteganosHotKeyService.exe"

O4 - HKLM..\Run: [sSS2007 File Redirection Starter] "C:\Program Files\Steganos Security Suite 2007\fredirstarter.exe"

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [bitComet] "C:\Program Files\BitComet\BitComet.exe" /tray

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU..\RunOnce: [spybotDeletingB2672] command.com /c del "C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL_old"

O4 - HKCU..\RunOnce: [spybotDeletingD7882] cmd.exe /c del "C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL_old"

O4 - HKCU..\RunOnce: [spybotDeletingB7042] command.com /c del "C:\Program Files\MyWebSearch\bar\1.bin\F3DTACTL.DLL"

O4 - HKCU..\RunOnce: [spybotDeletingD4993] cmd.exe /c del "C:\Program Files\MyWebSearch\bar\1.bin\F3DTACTL.DLL"

O4 - HKCU..\RunOnce: [spybotDeletingB7006] command.com /c del "C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL"

O4 - HKCU..\RunOnce: [spybotDeletingD9154] cmd.exe /c del "C:\Program Files\MyWebSearch\bar\1.bin\F3SCRCTR.DLL"

O4 - HKCU..\RunOnce: [spybotDeletingB2257] command.com /c del "C:\Program Files\MyWebSearch\bar\Avatar\COMMON.F3S"

O4 - HKCU..\RunOnce: [spybotDeletingD169] cmd.exe /c del "C:\Program Files\MyWebSearch\bar\Avatar\COMMON.F3S"

O4 - HKCU..\RunOnce: [spybotDeletingB9301] command.com /c del "C:\Program Files\MyWebSearch\bar\Game\CHECKERS.F3S"

O4 - HKCU..\RunOnce: [spybotDeletingD3346] cmd.exe /c del "C:\Program Files\MyWebSearch\bar\Game\CHECKERS.F3S"

O4 - HKUS\S-1-5-19..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-21-2223368156-3494102235-1287858751-1000..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Właściciel')

O4 - HKUS\S-1-5-21-2223368156-3494102235-1287858751-1000..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun (User 'Właściciel')

O4 - HKUS\S-1-5-21-2223368156-3494102235-1287858751-1000..\Run: [bitComet] "C:\Program Files\BitComet\BitComet.exe" /tray (User 'Właściciel')

O4 - HKUS\S-1-5-21-2223368156-3494102235-1287858751-1000..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" (User 'Właściciel')

O4 - HKUS\S-1-5-21-2223368156-3494102235-1287858751-1000..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" (User 'Właściciel')

O4 - HKUS\S-1-5-21-2223368156-3494102235-1287858751-1000..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray (User 'Właściciel')

O4 - S-1-5-21-2223368156-3494102235-1287858751-1000 Startup: OpenOffice.ux.pl 2.4.0.lnk = C:\Program Files\OpenOffice.ux.pl 2.4.0\program\quickstart.exe (User 'Właściciel')

O4 - S-1-5-21-2223368156-3494102235-1287858751-1000 User Startup: OpenOffice.ux.pl 2.4.0.lnk = C:\Program Files\OpenOffice.ux.pl 2.4.0\program\quickstart.exe (User 'Właściciel')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: QuickSet.lnk = C:\Program Files\Dell\QuickSet\quickset.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200

O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Pobierz za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_238116a1\aestsrv.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\Windows\system32\SatSrv.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_238116a1\STacSV.exe

O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe

--

End of file - 12418 bytes


(Spandau) #2

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix przeskanuj system i daj log na forum

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka


(Angela9331) #3

czy ten program -ComboFix -działa na viście ?Ściągnełam go i przy uruchomieniu Avast mi go zablokował ,jak wstrzymałam ochronę to zaczął mi coś system "szfankować".Co mam zrobić ?Pomimo ostrzerzeń mam przeskanowac komputer przez ten program?


(huber2t) #4

Program działa na Viście

W czasie pobierania i skanowania combofixem zamknij wszelkie programy ochronne (Antywirusa, zaporę)


(Angela9331) #5

http://www.wklejto.pl/30305


(Spandau) #6

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz Malwarebytes' Anti-Malware przeskanuj wszystkie dyski usuń co znajdzie daj log na forum


(Angela9331) #7

Malwarebytes' Anti-Malware 1.35

Wersja bazy definicji: 1929

Windows 6.0.6001 Service Pack 1

2009-04-02 11:21:00

mbam-log-2009-04-02 (11-21-00).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|G:\|)

Przeskanowane obiekty: 203704

Upłynęło: 3 hour(s), 1 minute(s), 10 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 1

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)


(Spandau) #8

Na koniec skan Dr.WEB CureIt! Jak nic nie znajdzie to możesz go po skanowaniu usunąć z dysku

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.


(Angela9331) #9

Przeskanowałam dyski dwa razy tym programem,pousuwałam to co znalazł.Dzisiaj przeskanowałam jeszcze raz -nie znalazł nic ,ale jak skanuje Spybot-Search &Destroy to ciągle mi znajduje My Way.WebSearch :frowning:


(lazikar) #10

Proponuje jednak wysyłać logi na http://www.wklejto.pl, Lub chociaż w code.


(Angela9331) #11

http://www.wklejto.pl/30557 -pomoże mi ktoś? Jak mam się pozbyć tego ?

-- Dodane 04.04.2009 (So) 20:27 --

http://www.wklejto.pl/30558 -a tu jest log z Hijack This


(stream) #12

A może by to tak ręcznie usunąć z rejestru? :stuck_out_tongue:


(Angela9331) #13

Poprzednio już usuwałam jak mi doradzano z rejestru ale dalej po skanowaniu Spybot-Search &Destroy to ciągle mi znajduje My Way.WebSearch :frowning:


(Leon$) #14

usuń HijackThisem >> Fix checked

odszukaj plik prefs.js >> edytuj >> z lini

user_pref("browser.search.selectedEngine", - usuń MyWebSearch

user_pref("keyword.URL", - usuń hxxp://www.mywebsearch.com/jsp/cfg_redi ... searchfor=

zapisz zmiany zamknij plik

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

Wyłącz przywracanie systemu na wszystkich dyskach

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 ale nie włączaj

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Angela9331) #15

plik prefs.js >> edytuj >> z lini

user_pref("browser.search.selectedEngine", - usuń MyWebSearch

user_pref("keyword.URL", - usuń hxxp://www.mywebsearch.com/jsp/cfg_redi ... searchfor=

nie mogę tych plików znaleść :frowning:

-- Dodane 05.04.2009 (N) 0:37 --

czy mogę ominąć je i zrobic tak jak dalej napisałeś ?


(Leon$) #16

musisz to usunąć to źródło kłopotów

w wyszukiwarce Visty wpisz prefs.js >> jak odnajdzie plik >> PPM na plik >> edytuj >> otworzy się plik tekstowy w notatniku gdzie odnajdziesz podane linijki i usuniesz co trzeba >> potem zamknij plik >> jak spyta czy zapisać zmiany to potwierdź tak

czy masz z tym jakiś problem?

:slight_smile:


(Angela9331) #17

wpisuje w wyszukiwarce to co podałeś i nie znajduje takiego pliku :frowning:


(Leon$) #18

wejdź w opcje folderów >> widok >> zaznacz by pokazywało pliki ukryte i systemowe

:slight_smile:


(Angela9331) #19

Malwarebytes' Anti-Malware 1.35

Wersja bazy definicji: 1942

Windows 6.0.6001 Service Pack 1

2009-04-06 07:11:21

mbam-log-2009-04-06 (07-11-21).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|G:\|)

Przeskanowane obiekty: 210811

Upłynęło: 3 hour(s), 5 minute(s), 39 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 1

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)

a to log z comboFix ComboFix 09-04-04.01 - andżelika 2009-04-06 8:59:14.2 - NTFSx86

Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1250.1.1045.18.3069.1756 [GMT 2:00]

Uruchomiony z: c:\users\andżelika\Desktop\ComboFix.exe

Użyto następujących komend :: c:\users\andżelika\Desktop\CFScript.txt

AV: avast! antivirus 4.8.1229 [VPS 081201-0] *On-access scanning enabled* (Updated)

.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-06 do 2009-04-06 )))))))))))))))))))))))))))))))

.

2009-04-05 22:40 . 2009-03-26 16:49 15,504 --a------ c:\windows\System32\drivers\mbam.sys

2009-04-05 22:39 . 2009-04-05 22:40

2009-04-05 22:39 . 2009-03-26 16:49 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys

2009-04-04 23:48 . 2009-04-04 23:48

2009-04-01 19:55 . 2009-04-01 19:55

2009-04-01 19:55 . 2009-04-01 19:55

2009-03-31 19:32 . 2009-03-31 19:32

2009-03-28 17:48 . 2009-03-28 17:48 0 --a------ c:\users\W

2009-03-28 17:48 . 2009-03-28 17:48 0 --a------ c:\users\and

2009-03-28 17:03 . 2009-03-28 17:03

2009-03-28 16:45 . 2009-03-28 16:46

2009-03-26 22:07 . 2009-04-04 22:52

2009-03-26 19:37 . 2009-04-04 23:24

2009-03-16 11:58 . 2009-03-23 07:49

2009-03-11 14:12 . 2008-12-16 05:29 8,147,456 --a------ c:\windows\System32\wmploc.DLL

2009-03-11 14:12 . 2009-02-09 05:10 2,033,152 --a------ c:\windows\System32\win32k.sys

2009-03-11 14:12 . 2008-11-27 06:43 268,288 --a------ c:\windows\System32\schannel.dll

2009-03-11 14:12 . 2008-12-16 07:31 7,680 --a------ c:\windows\System32\spwmp.dll

2009-03-11 14:12 . 2008-12-16 07:31 4,096 --a------ c:\windows\System32\msdxm.ocx

2009-03-11 14:12 . 2008-12-16 07:31 4,096 --a------ c:\windows\System32\dxmasf.dll

2009-03-09 11:48 . 2009-03-09 12:15

2009-03-09 11:48 . 2009-03-09 11:48

2009-03-09 11:45 . 2009-03-09 11:45

2009-03-09 11:45 . 2009-03-09 11:45

2009-03-07 16:53 . 2009-03-07 16:53

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-06 07:01 5,767,168 --sha-w c:\users\andżelika\ntuser.dat

2009-04-06 07:01 --------- d--h--w c:\users\andżelika\AppData\Roaming\Skype

2009-04-06 06:59 5,767,168 --sha-w c:\users\andżelika\ntuser.dat

2009-04-06 06:58 5,505,024 --sha-w c:\users\Właściciel\ntuser.dat

2009-04-06 06:58 5,505,024 --sha-w c:\users\Właściciel\ntuser.dat

2009-04-06 06:58 1,310,720 --sha-w c:\users\Gość\ntuser.dat

2009-04-06 06:58 1,310,720 --sha-w c:\users\Gość\ntuser.dat

2009-04-06 06:02 --------- d--h--w c:\users\andżelika\AppData\Roaming\skypePM

2009-04-05 23:02 --------- d--h--w c:\users\andżelika\AppData\Roaming\OpenOffice.ux.pl2

2009-04-05 22:40 --------- d-----w c:\program files\NAPI-PROJEKT

2009-04-05 22:40 --------- d-----w c:\program files\ALLPlayer

2009-04-05 13:31 --------- d-----w c:\users\Właściciel\AppData\Roaming\Skype

2009-04-05 10:59 --------- d-----w c:\users\Właściciel\AppData\Roaming\OpenOffice.ux.pl2

2009-04-05 09:20 --------- d-----w c:\users\Właściciel\AppData\Roaming\skypePM

2009-04-04 19:00 --------- d-----w c:\programdata\Spybot - Search & Destroy

2009-04-03 12:23 --------- d---a-w c:\programdata\TEMP

2009-04-01 17:55 --------- d-----w c:\users\andżelika\AppData\Roaming\Malwarebytes

2009-03-23 05:49 --------- d-----w c:\users\Właściciel\AppData\Roaming\TeamViewer

2009-03-22 23:14 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-03-14 13:52 --------- d-----w c:\program files\Winamp

2009-03-14 13:48 --------- d-----w c:\program files\Common Files\PX Storage Engine

2009-03-13 08:54 --------- d-----w c:\users\Gość\AppData\Roaming\Real

2009-03-11 16:35 --------- d-----w c:\program files\Windows Mail

2009-03-09 10:15 --------- d-----w c:\users\andżelika\AppData\Roaming\TeamViewer

2009-03-07 14:53 --------- d-----w c:\users\Właściciel\AppData\Roaming\SuperMemo World

2009-02-27 20:18 --------- d-----w c:\users\Właściciel\AppData\Roaming\Nowe Gadu-Gadu

2009-02-24 21:45 --------- d-----w c:\users\andżelika\AppData\Roaming\XnView

2009-02-24 21:44 --------- d-----w c:\program files\XnView

2009-02-24 21:12 --------- d-----w c:\program files\Gadu-Gadu

2009-02-24 08:15 --------- d-----w c:\users\Właściciel\AppData\Roaming\Ahead

2009-02-22 17:58 --------- d-----w c:\program files\BitComet

2009-02-13 15:20 --------- d-----w c:\programdata\Skype

2009-02-13 15:20 --------- d-----w c:\program files\Common Files\Skype

2009-02-13 15:20 --------- d-----r c:\program files\Skype

2009-02-12 15:21 --------- d-----w c:\users\andżelika\AppData\Roaming\Nowe Gadu-Gadu

2009-02-11 00:34 --------- d-----w c:\users\andżelika\AppData\Roaming\Ahead

2009-02-10 10:07 --------- d-----w c:\program files\Google

2009-02-07 19:14 --------- d-----w c:\program files\Common Files\Ahead

2009-02-07 19:11 --------- d-----w c:\programdata\Nero

2009-02-07 19:11 --------- d-----w c:\program files\Nero

2009-01-15 06:11 827,392 ----a-w c:\windows\System32\wininet.dll

2008-12-06 22:07 56 ---ha-w c:\programdata\ezsidmv.dat

2008-10-21 17:38 382,352 ----a-w c:\users\Właściciel\jxpiinstall.exe

2008-10-21 17:38 382,352 ----a-w c:\users\Właściciel\jxpiinstall.exe

2008-10-20 17:44 32 ----a-w c:\programdata\ezsid.dat

2008-03-13 18:26 1,784,320 ----a-w c:\users\Właściciel\autorun.dat

2008-03-13 18:26 1,784,320 ----a-w c:\users\Właściciel\autorun.dat

2008-03-07 14:40 5,423,104 ----a-w c:\users\Właściciel\EURO08.exe

2008-03-07 14:40 5,423,104 ----a-w c:\users\Właściciel\EURO08.exe

2008-03-07 14:35 21,060 ----a-w c:\users\Właściciel\config.dat

2008-03-07 14:35 21,060 ----a-w c:\users\Właściciel\config.dat

2008-01-28 10:54 397,312 ----a-r c:\users\Właściciel\AutoRun.exe

2008-01-28 10:54 397,312 ----a-r c:\users\Właściciel\AutoRun.exe

2008-01-28 10:54 380,928 ----a-r c:\users\Właściciel\EASetup.exe

2008-01-28 10:54 380,928 ----a-r c:\users\Właściciel\EASetup.exe

2008-01-21 02:43 174 --sha-w c:\program files\desktop.ini

2008-10-02 11:17 76 --sh--r c:\windows\CT4CET.bin

2008-10-20 11:49 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

2008-10-20 11:49 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

2008-10-20 11:49 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-05-04 149040]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-04-19 484904]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-01-29 24096040]

"BitComet"="c:\program files\BitComet\BitComet.exe" [2009-01-20 2523960]

"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-03-13 163840]

"Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-02-19 438403]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-03-09 37888]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-06-25 442467]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]

"SSS2007 PasswordManagerFFAutoFill"="c:\program files\Steganos Security Suite 2007\PasswordManagerFFAutoFill.exe" [2007-05-21 21504]

"SSS2007 HotKeys"="c:\program files\Steganos Security Suite 2007\SteganosHotKeyService.exe" [2007-05-21 25088]

"SSS2007 File Redirection Starter"="c:\program files\Steganos Security Suite 2007\fredirstarter.exe" [2007-05-15 53248]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-05-04 161328]

c:\users\Waciciel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.ux.pl 2.4.0.lnk - c:\program files\OpenOffice.ux.pl 2.4.0\program\quickstart.exe [2008-04-02 19456]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520]

QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-03-17 1207376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorUser"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2223368156-3494102235-1287858751-1000]

"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{8D178490-36A0-45D4-9444-7A49A4CF8061}"= UDP:c:\program files\Skype\Phone\Skype.exe:Skype

"{CDA40F4C-C100-4828-BA18-3B5A0475C0A3}"= TCP:c:\program files\Skype\Phone\Skype.exe:Skype

"TCP Query User{3D61CE20-DCB2-4018-AF4C-A2B8F8F22034}c:\program files\gadu-gadu\gg.exe"= UDP:c:\program files\gadu-gadu\gg.exe:Gadu-Gadu - program glowny

"UDP Query User{18BDFEE3-71B6-4416-9324-C3D0D9CC06D1}c:\program files\gadu-gadu\gg.exe"= TCP:c:\program files\gadu-gadu\gg.exe:Gadu-Gadu - program glowny

"{AD8133DB-30ED-43DF-AAAC-1EEE6B4AC9B8}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype

"{AAB38BD5-5456-42DC-B5D6-BD8A4F801F44}"= TCP:c:\program files\Skype\Phone\Skype.exe:Skype

"TCP Query User{9C58A65C-112A-4571-873A-72FC925FD024}c:\program files\screamer radio\screamer.exe"= UDP:c:\program files\screamer radio\screamer.exe:Screamer Radio

"UDP Query User{4171DABC-9C54-4B14-9D9E-1365A29689DD}c:\program files\screamer radio\screamer.exe"= TCP:c:\program files\screamer radio\screamer.exe:Screamer Radio

"TCP Query User{9452CE55-FF1D-4766-883C-A3BE1DFEC8C5}c:\users\właściciel\appdata\locallow\powerchallenge\powersoccer\powersoccer.exe"= UDP:c:\users\właściciel\appdata\locallow\powerchallenge\powersoccer\powersoccer.exe:powersoccer.exe

"UDP Query User{E95B1244-DBC6-4D8B-A011-31B7CBE8C401}c:\users\właściciel\appdata\locallow\powerchallenge\powersoccer\powersoccer.exe"= TCP:c:\users\właściciel\appdata\locallow\powerchallenge\powersoccer\powersoccer.exe:powersoccer.exe

"TCP Query User{5296B175-2BAC-41CA-BEF3-3FEB3DA02CCA}c:\program files\bitcomet\bitcomet.exe"= UDP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client

"UDP Query User{8ABA5057-6E05-4FFF-AAF1-A2C96B9576EF}c:\program files\bitcomet\bitcomet.exe"= TCP:c:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client

"TCP Query User{8BF7A386-A8AF-4182-8EFC-013553D8DF42}c:\program files\teamviewer\version4\teamviewer.exe"= UDP:c:\program files\teamviewer\version4\teamviewer.exe:TeamViewer Remote Control Application

"UDP Query User{16EA1326-1DAA-45AA-8BA4-FE89BF68F225}c:\program files\teamviewer\version4\teamviewer.exe"= TCP:c:\program files\teamviewer\version4\teamviewer.exe:TeamViewer Remote Control Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"EnableFirewall"= 0 (0x0)

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-10-20 114768]

R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\System32\drivers\sleen15.sys [2007-02-21 13:33:54 80232]

R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_238116a1\AEstSrv.exe [2008-08-16 73728]

R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [2008-10-20 20560]

R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [2008-10-20 51792]

R2 SatSrv;Steganos AntiTheft;c:\windows\System32\SatSrv.exe [2006-12-05 184320]

R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2008-10-27 1153368]

R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [2009-01-28 185640]

R3 itecir;ITECIR Infrared Receiver;c:\windows\System32\drivers\itecir.sys [2008-08-16 54784]

R3 k57nd60x;Broadcom NetLink Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\k57nd60x.sys [2008-08-16 203264]

R3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\System32\drivers\OA001Ufd.sys [2008-08-16 149208]

R3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\System32\drivers\OA001Vid.sys [2008-08-16 277624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"c:\program files\Common Files\LightScribe\LSRunOnce.exe"

.

Zawartość folderu 'Zaplanowane zadania'

2009-04-05 c:\windows\Tasks\GlaryInitialize.job

  • c:\program files\Glary Utilities\initialize.exe [2008-10-29 18:58]

2009-04-05 c:\windows\Tasks\User_Feed_Synchronization-{0DAFE5B1-402D-4D75-AE06-1B35D1484E52}.job

  • c:\windows\system32\msfeedssync.exe [2008-01-21 04:24]

.

.

------- Skan uzupełniający -------

.

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Pobierz wszystkie VIdeo za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

IE: Pobierz wszystko za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

IE: Pobierz za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

FF - ProfilePath - c:\users\andżelika\AppData\Roaming\Mozilla\Firefox\Profiles\jmc5cu0f.default\

FF - prefs.js: browser.search.selectedEngine - MyWebSearch

FF - prefs.js: keyword.URL - hxxp://www.mywebsearch.com/jsp/cfg_redi ... searchfor=

.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-06 09:01:12

Windows 6.0.6001 Service Pack 1 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2009-04-06 9:03:45

ComboFix-quarantined-files.txt 2009-04-06 07:03:42

Przed: 77 736 697 856 bajtów wolnych

Po: 77,830,938,624 bajtów wolnych

206 --- E O F --- 2009-03-15 19:58:08


(Leon$) #20

nadal nie usunięte

otwórz FF >> w okienku adresu wpisz about:config

odszukaj

browser.search.selectedEngine >> PPM na to >> modyfikuj >> wpisz Web Search

keyword.URL >> PPM na to >> modyfikuj >> wpisz http://www.google.com/search?hl=en&q

:slight_smile: