dk760925
2 Wrzesień 2010 12:26
#1
Witam, ostatnio zauwazylem bardzo nietypowy problem - po wpisaniu w wyszukiwarce (google, bing itp. ) jakiejs frazy, wyszukiwarka przekierowuje na zupelnie inna strone niz strona odnaleziona (rozne strony reklamowe). Wklejam log z Hijackthis, bardzo prosze o pomoc w ustaleniu przyczyny. Z gory dziekuje.
http://www.wklej.org/hash/d25f70edbdd/
deFco247
2 Wrzesień 2010 14:44
#2
HijackThis jest nam niepotrzebny… Tego starocia się już od dawna nie używa w analizie. Dodatkowo on nie widzi prawidłowo elementów systemu 64-bitowego.
Pokaż logi z narzędza OTL
(Na Windows Vista i 7 uruchamiasz program z menu Uruchom jako Administrator… ).
dk760925
2 Wrzesień 2010 16:15
#3
Dzieki za szybka odpowiedz. Wklejam logi z programu OTL :
http://www.wklej.org/id/384555/ - extras.txt
http://www.wklej.org/id/384556/ - OTL.txt
deFco247
2 Wrzesień 2010 16:24
#4
Widzę, że próbowano tutaj stosować Combofix. Po pierwsze on nie działa na systemach 64-bitowych, a po drugie nie należy go stosować na własną rękę, gdyż jest to narzędzie, którego należy używać tylko po wyraźnym zaleceniu kompetentnej osoby.
W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:
:OTL FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” [2010/06/11 23:57:51 | 000,002,425 | ---- | M] () – C:\Users\Czarna\AppData\Roaming\Mozilla\Firefox\Profiles\pcoeot5i.default\searchplugins\askcom.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKCU…\Run: [Desktop Cleanup Wizard] File not found [2010/09/01 20:49:01 | 000,000,000 | —D | C] – C:\32788R22FWJFW :Files C:\Users\Czarna\AppData\Local\Temp*.html /D :Commands [emptytemp] [emptyflash]
Wykonaj skrypt i zatwierdź restart.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj .
dk760925
2 Wrzesień 2010 16:40
#5
Racja, probowalem wielu sposobow - nic nie dzialalo :-(. Wklejam raporty :
http://www.wklej.org/id/384565/ - log z usuwania
http://www.wklej.org/id/384569/ - OTL.txt
Wklej w OTL i naciśnij wykonaj skrypt:
:OTL SRV - File not found [Auto | Stopped] – -- (ERSvc) SRV - File not found [On_Demand | Stopped] – -- (CiSvc) IE - HKLM…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-583907252-854245398-1060284298-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=14780&l=dis IE - HKU\S-1-5-21-583907252-854245398-1060284298-1001…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found O2 - BHO: (no name) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-854245398-1060284298-1001…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-854245398-1060284298-1001…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-854245398-1060284298-1001…\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. O4 - HKU.DEFAULT…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] File not found O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - Reg Error: Value error. File not found O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll - File not found MsConfig - StartUpReg: DAEMON Tools Lite - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: RegistryBooster - hkey= - key= - Reg Error: Value error. File not found @Alternate Data Stream - 124 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:C31F31E6 @Alternate Data Stream - 104 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2 @Alternate Data Stream - 100 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:30FD0CBD :Commands [emptytemp]
dajesz log z usuwania i nowe logi z OTL
boria1975
9 Kwiecień 2011 19:14
#9
Nie dziwota:-)))
Skoro zastosowałeś skrypt dla kogo innego…:-)))
Załóż wląsny wątek,wklej wymagane logi,i czekaj na pomoc…
To komu on ten skrypt wysyłał? Człowiekowi który pisał we wrześniu?
Nie chcę powielać tematów bez sensu
