Strona startowa searchhub.eu i spowalniający system

[Kudzi]

Witam komp mi zaczol zamulac od jakiegos czasu. Strona startowa zmienia sie na hxxp://searchhub.eu?hl=pl&fh= po kazdum uruchomieniu przegladarki. Prosze o pomoc co mam usunac. Zalanczam logi. Pozdrawiam

OTL.Txt

gmer.txt

[picasso]

OTL jest niepełny, brakuje członu Extras = nie przestawiłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania". Bezpodstawne i zatajone użycie ComboFix oraz brak prezentacji wyników z tamtego uruchomienia (nie uruchamiać ponownie!). Ogólnie = brak tu jakichkolwiek śladów infekcji w stanie czynnym.

 

 

Strona startowa zmienia sie na hxxp://searchhub.eu?hl=pl&fh= po kazdum uruchomieniu przegladarki.

 

Skutek wmontowania sobie w Firefoxa masy śmieci paskowych. Nie jesteś uważny przy instalacjach programów i sam zapuszczasz adware w system.

 

 

1. Rozpocznij od deinstalacji śmieci:

 

• Menedżer rozszerzeń Firefox: deinstalacja Searchhub Toolbar, Softonic-Eng7 Community Toolbar, Softonic-Polska Community Toolbar, HyperCam Toolbar, free-downloads.net Toolbar, BS Player Toolbar, Conduit Engine.
  
• Ogólny aplet deinstalacji programów w Windows: powtórka z deinstalacją wyżej wymienionych.
  

2. Następnie, deinstalacja Spybot Search & Destroy (słaby i przestarzały program) i odkręcenie modyfikacji pliku HOSTS którą zmalował (przetwarzanie kilkunastu tysięcy wpisów ma skutki uboczne w zetknięciu z usługą klient DNS):

 

O1 HOSTS File: ([2011-04-21 08:23:01 | 000,432,043 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
(...)
O1 - Hosts: 14895 more lines...

Domyślny wygląd pliku HOSTS przywrócisz narzędziem Fix-it z artykułu: KB972034.

 

3. Do oceny nowy zestaw logów z OTL. Przypominam o Extras. I wtedy się zajmę kosmetyką resztek.

 

 

 

.

[Kudzi]

Dorzucam log z combofix`a. z poprzedniego skanowania.

[Ad] 1.

Menadzer rozszerzen Firefox uporzadkowany.

 

[Ad] 2.

 

Spybod Search & Destroy usuniety plik Host oryginalny.

 

[Ad] 3

 

Log z OTL z Extras.

 

 

Pozdrawiam

ComboFix.txt

Extras.Txt

OTL.Txt

[picasso]

Nie jestem pewna, czy ten plik został słusznie usunięty przez ComboFix:

 

c:\windows\system32\swsystem.dll

 

 

1. Czyszczenie szczątków po paskach z konfiguracji Firefox + Internet Explorer, resztek po deinstalacji, śmieci Temp* nabitych przez GG10 oraz lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/hypercam/{D91D1C34-5C74-49BE-8D19-A5E580DB1419}"
IE - HKLM\..\URLSearchHook: {ce18769b-c7fa-42d2-860d-17c4662c70ad} - Reg Error: Key error. File not found 
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.shareware.pro/?lang=pl"
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - No CLSID value found.
O2 - BHO: (no name) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} -  File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} -  File not found
O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - Reg Error: Value error. File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Files
C:\Users\Mariusz\AppData\Local\Temp*.html
C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\t9yt8kxw.default\searchplugins\searchhub.xml
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files\Spybot - Search & Destroy
c:\windows\system32\ConduitEngine.tmp
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Wystarczy, że przedstawisz tylko log z usuwania.

 

 

2. Nie wygląda na to, by plik HOSTS prawidłowo został zresetowany, OTL nie pokazuje w nim żadnego wpisu (z drugiej strony: waży więcej niż zero...):

 

O1 HOSTS File: ([2011-04-21 23:24:03 | 000,000,840 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts

Otwórz ten plik w Notatniku i pokaż mi co w nim jest.

 

 

3. Czy po przeprowadzeniu usuwania sponsorów odczuwasz jakąś ulgę w użytkowaniu systemu? Jeśli nie, przejdziemy do innych czynności diagnostycznych.

 

 

 

.

[Kudzi]

Plik hosts

 

# Copyright © 1993-1999 Microsoft Corp.

#

# To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP

# w systemie Windows.

# Ten plik zawiera mapowania adresów IP na nazwy komputerów

# Każdy wpis powinien być w osobnej linii.

# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie

# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone

# co najmniej jedną spacją

#

# Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych

# liniach lub po nazwie komputera, oznaczając je symbolem '#'.

#

# Na przykład:

#

# 102.54.94.97 rhino.acme.com # serwer źródłowy

# 38.25.63.10 x.acme.com # komputer kliencki x

 

# localhost name resolution is handled within DNS itself.

# 127.0.0.1 localhost

# ::1 localhost

 

 

sam juz chyba widze nieprawidlowosc.

koncowka powinna tak wygladac

 

127.0.0.1 localhost

::1 localhost

 

Mam racje??

 

 

Tak jest poprawa. Tylko w dalszym ciagu dlugo sie uruchamia.

Dzieki za pomoc.

[picasso]

Nie przedstawiłeś wyników przetwarzania skryptu. Na koniec użyj opcji Sprzątanie w OTL.

 

 

sam juz chyba widze nieprawidlowosc.

koncowka powinna tak wygladac

 

127.0.0.1 localhost

::1 localhost

 

Mam racje??

 

Tak, te dwa wpisy mają być odkomentowane na Vista. W celu zedytowania pliku HOSTS należy zastartować Notatnik opcją Uruchom jako Administrator i dopiero w tak uruchomionym Notatniku otworzyć plik HOSTS.

 

 

Tak jest poprawa. Tylko w dalszym ciagu dlugo sie uruchamia.

 

Na którym ekranie startowym przetrzymuje najdłużej?

 

1. W programie Autoruns w karcie Logon odptaszkuj z uruchamiania te wpisy:

 

O4 - HKLM..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe (Toshiba)
O4 - Startup: C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()

2. Avast jest podejrzanym (dodaje dużo serwisów startowych).

 

3. Wykonaj defragmentację typu Boot Time oraz zwyczajną za pomocą Puran Defrag Free Edition.

 

4. Czy zainstalowane wszystkie aktualizacje? Przy okazji: Internet Explorer 9. Aktualizacja niezależnie od faktu używania tylko Firefox.

 

 

.

[Kudzi]

Najdłużej przetrzymuje na komunikacie czekaj.. i troche na zapraszamy.

[picasso]

Najdłużej przetrzymuje na komunikacie czekaj.. i troche na zapraszamy.

 

1. Jak mówiłam, nasuwa się na myśl Avast, który ładuje się przy udziale wielu usług, a tego nie da się zmanipulować nie tworząc uszczerbku jego funkcjonalności. Zaś weryfikacja opiera się na testowej deinstalacji (proste wyłączenie to za mało) ...

 

2. Wykonaj jeszcze test z tzw. "czystym rozruchem": KB929135. Przedstaw wyniki czy to ma wpływ na ładowanie systemu.

 

3. OTL Extras nie przedstawia pełnych danych z Dziennika zdarzeń. Figurują błędy z "Service Control Manager" pozbawione opisu, toteż nie wiem czego dotyczą. Dostarcz pełne Dzienniki zdarzeń: KLIK.

 

 

 

.

Edytowane 24 Maja 2011 przez picasso
24.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso