akasora Napisano Czerwiec 23, 2009 Zgłoś Share Napisano Czerwiec 23, 2009 Proszę o pomoc! Przy każdym włączeniu IE (sic!) wybrana zostaje jakaś nieznana mi wyszukiwarka szybko-szukaj.pl. I po każdej zmianie strony startowej (czy to przez menu IE, czy przez rejestr) przy ponownym włączeniu znowu wraca do w/w nieznanej wyszukiwarki. Założyłem, że to trojan, albo jakiś robak, więc wykonałem gruntowne skanowanie Avastem, AdAwarem, Shredderem, przejrzałem rejestr ręcznie i sprawdziłem wszystkie "podejrzane" procesy w Menedżerze zadań Win i żadna z tych operacji nie przyniosła skutku. Dla pewności powtórzyłem wszystko poprzedzając każda czynność restartem systemu, ale niestety bez efektu. Co prawda AdAware wykrywa jakieś robactwo, ale po usunięciu i ponownym skanowaniu znów się pojawia (od razu, albo po pewnym czasie). Jestem już wykończony całkowicie i wypompowany z pomysłów, googlowanie nie pomogło mi (niestety) i w ostateczności zdecydowałem poprosić o radę bieglejszych i bardziej doświadczonych forumowiczów. I przysięgam, że robię to w ostateczności i po wyczerpaniu wszystkich znanych mi sposobów. Wiem, że format i ponowne wgranie systemu powinno pomóc, tak jak zmiana przeglądarki, ale to są półśrodki (ponowne wgrywanie wszystkich programów/sterowników + Win jest "nieco" problematyczne, a do IE przyzwyczaiła się reszta rodziny, ehh co zrobić...), czy macie może jakieś rady? Cokolwiek... Błagam! Nie chcę wgrywać Windowsa od nowa! Dołączam log z HijackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:43:26, on 2009-06-23 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CardDetector\ICON225\CardDetector.exe C:\Program Files\A4Tech\Mouse\Amoumain.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\issch.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Documents and Settings\All Users\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\OrangeBS\BEWInternet-PL\Launcher\Launcher.exe C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe C:\Program Files\OrangeBS\BEWInternet-PL\systray\systrayapp.exe C:\Program Files\OrangeBS\BEWInternet-PL\connectivity\connectivitymanager.exe C:\Program Files\OrangeBS\BEWInternet-PL\PhoneTools\TextMessaging.exe C:\Program Files\OrangeBS\BEWInternet-PL\Deskboard\deskboard.exe C:\Program Files\OrangeBS\BEWInternet-PL\connectivity\CoreCom\CoreCom.exe C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe C:\Program Files\OrangeBS\BEWInternet-PL\connectivity\CoreCom\OraConfigRecover.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Orbitdownloader\orbitdm.exe C:\Program Files\Orbitdownloader\orbitnet.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.orange.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.szybko-szukaj.pl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CardDetectorICON225] C:\Program Files\CardDetector\ICON225\CardDetector.exe O4 - HKLM\..\Run: [BEWINTERNET-PLSessionManager] C:\Program Files\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [Skrót do strony właściwości High Definition Audio] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [issch] C:\WINDOWS\system32\issch.exe O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\DOCUME~1\J-23~1\USTAWI~1\Temp\E_SD.tmp" /EF "HKCU" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.google.pl O15 - Trusted Zone: http://www.racjonalista.pl O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B626300E-B247-4DB8-8162-E6502EE539D2}: NameServer = 79.163.127.70 217.116.100.65 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- End of file - 8196 bytes Będę wdzięczny każdemu, kto zainteresuje się tym tematem. Pozdrawiam akasora Link do komentarza Udostępnij na innych stronach More sharing options...
RamzesXIII Napisano Czerwiec 23, 2009 Zgłoś Share Napisano Czerwiec 23, 2009 Przywracanie systemu. Start > Programy > Akcesoria > Narzędzia systemowe > Przywracanie systemu. Wybierz datę przed wystąpieniem objawów trojana. Zabezpiecz ważniejsze pliki (skopiuj do Moje Dokumenty). Link do komentarza Udostępnij na innych stronach More sharing options...
Converse Napisano Czerwiec 23, 2009 Zgłoś Share Napisano Czerwiec 23, 2009 1. Ściągnij, zainstaluj, zaktualizuj i przeskanuj komputer tym programem: http://dobreprogramy.pl/index.php?dz=2&...ntiMalware+1.37 2. Ściągnij, zainstaluj, zaktualizuj i przeskanuj komputer czymś lepszym niż Avast: http://www.free-av.com/ Darmowa wersja Aviry, o wiele lepsza niż Avast. Jeśli to dalej nie pomoże to napisz ponownie. Link do komentarza Udostępnij na innych stronach More sharing options...
akasora Napisano Czerwiec 23, 2009 Autor Zgłoś Share Napisano Czerwiec 23, 2009 Przywracania próbowałem wcześniej, ale niestety nic nie dało. Ale już skanowanie programem AntiMalware przyniosło oczekiwane rezultaty. Chciałem również podziękować za szybką odpowiedź. Mam nadzieję, że odpłacę się Wam jakoś w przyszłości. Jescze raz dziękuję i pozdrawiam Link do komentarza Udostępnij na innych stronach More sharing options...
akasora Napisano Czerwiec 23, 2009 Autor Zgłoś Share Napisano Czerwiec 23, 2009 Jak zwykle życie lubi "dorobić" sobie post scriptum, tak jest i tym razem. Niestety program AntiMalware nie działa tak jak powinien. To znaczy: wykrywa szkodliwy kod, tyle że po jego usunięciu wraz z ponownym włączeniem komputera pojawia się znowu w tym samym miejscu. Początkowa euforia minęła... Rozwiązania problemu nie znam i już naprawdę nie wiem czego to wina, czy to po prostu 300% złośliwego kodu w złośliwym kodzie, czy też może nieszczęśliwy przypadek sprawił, że natrafiłem na programy z pewnymi lukami, nie jestem pewien... Ale dla śledzących temat krótkie podsumowanie: wirus żyje i ma się dobrze. Jeśli w kimś zostało trochę cierpliwości i litości... To proszę mi pomóc... Zapewniam, że Wasza pomoc to moja jedyna deska ratunku chroniąca mnie przed formatowania dysku. Link do komentarza Udostępnij na innych stronach More sharing options...
RamzesXIII Napisano Czerwiec 23, 2009 Zgłoś Share Napisano Czerwiec 23, 2009 Odłącz się od internetu, wtyczka won z gniazdka i zrób skan offline tym Anti Malware albo tym: Spyware Doctor Link do komentarza Udostępnij na innych stronach More sharing options...
Converse Napisano Czerwiec 23, 2009 Zgłoś Share Napisano Czerwiec 23, 2009 Jeśli dalej będzie miał problemy to ściągnij ten program (wersję darmową): http://www.superantispyware.com/ i przeskanuj tak jak mówiłem cały komputer Avirą Free. Wszystko oczywiście rób, jak odłączysz kabel od internetu. Link do komentarza Udostępnij na innych stronach More sharing options...
raven4444 Napisano Czerwiec 24, 2009 Zgłoś Share Napisano Czerwiec 24, 2009 Zrób tak jak napisał RamzesXIII tylko przed skanowaniem wyłącz przywracanie systemu (PPM na Mój Komputer -> właściwości -> zakładka "przywracanie systemu" -> zaptaszkuj "wyłącz..." i zastosuj) po skanowaniu i restarcie kompa włącz przywracanie. Link do komentarza Udostępnij na innych stronach More sharing options...
akasora Napisano Czerwiec 24, 2009 Autor Zgłoś Share Napisano Czerwiec 24, 2009 Odłączyłem internet, wyczyściłem historię, cookies i usunąłem wszelkie inne pliki internetowe, wyłączyłem przywracanie systemu na wszystkich dyskach, ale niestety problem pojawia się ponownie. Chciałem nadmienić, że wirusa rozpoznaje dopiero skanowanie heurystyczne, i mam wrażenie, że zaraz po pojawieniu się pulpitu widzę w ciągu ułamka sekundy okienko a'la DOS, po czym znika, a ja rutynowo rozpoczynam skanowanie od początku aby dowiedzieć się, że znaleziono ponownie tego samego wirusa typu Hijack.Homepage i że po ponownym uruchomieniu komputera już go (teoretycznie) nie będzie. Ponadto robak zdołał uniknąć wykrycia po skanowaniu proponowanym programem SuperAntiSpyware. A osłonę AntiHijack tego programu blokującą każdą zmianę strony starowej zdaje się sprawnie omijać (co ok. 20 sekund następuje obejście i zmiana strony startowej). Spróbuję jeszcze przeskanować Avirą, ale już teraz jestem przerażony tym, co dzieje się w moim komputerze :O Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Czerwiec 24, 2009 Zgłoś Share Napisano Czerwiec 24, 2009 Jeśli Avira nic nie da, to możesz jeszcze wypróbować darmowy skaner Dr.Web CureIt!, często radzi sobie z takimi problemami. A tak poza tym możesz zamieścić log z ComboFix-a? Link do komentarza Udostępnij na innych stronach More sharing options...
RamzesXIII Napisano Czerwiec 25, 2009 Zgłoś Share Napisano Czerwiec 25, 2009 Czy w trybie awaryjnym wir też się aktywuje? Link do komentarza Udostępnij na innych stronach More sharing options...
akasora Napisano Czerwiec 25, 2009 Autor Zgłoś Share Napisano Czerwiec 25, 2009 Wirus nie aktywuje się w trybie awaryjnym z włączoną obsługą sieci, ale wydaje mi się, że i tak nie ma to najmniejszego znaczenia, bo i tak zdecydowałem się na formatowanie. Logu z ComboFixa nie umieszczem, ponieważ miejscami zawiera poufne dane, a umieszczenie "okrojonego" logu mija się z celem. Dziękuję wszystkim osobom za dobre chęci i okazaną pomoc, ale niestety poddałem się i "idę na łatwiznę" Uważam, że temat można zamknąć. Pozdrawiam akasora Link do komentarza Udostępnij na innych stronach More sharing options...
Gofer Napisano Czerwiec 25, 2009 Zgłoś Share Napisano Czerwiec 25, 2009 Problem rozwiązany, więc temat zamykam.W razie potrzeby otwarcia tematu, proszę o kontakt przez PW. Link do komentarza Udostępnij na innych stronach More sharing options...