Samoczynne otwieranie stron w Internet Explorer 7 - jak to zatrzymać?

Witam. Mam problem ze stronami w IE7, które same się otwierają. Nie wiem jak temu zaradzić. Proszę o wsparcie.

Opisz dokładniej problem, bo tak to się można tylko domyślać.

Korzystając z internetu nagle otwierają się jakieś strony jakichś kasyn itp.
Zainstalowałem Spyware Doctor, który znajduje ciągle jakieś zagrożenia. Usuwa je ale po jakimś czasie pojawiają się znowu.

ściągnij Ad-aware
http://www.programosy.pl/program,adaware.html

Próbowałem Nie pomaga.

http://dobreprogramy.pl/index.php?dz=2&id=188&Spybot+Search++Destroy+1.6.0.30
ten program zazwyczaj daje sobie radę i ma dodatkowo funkcję zabezpieczającą IE przed ponowną infekcją...

Daj w zalaczniku log z combofix.

ComboFix 08-08-26.02 - Mrek 2008-08-27 11:23:45.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.1427 [GMT 2:00]
Running from: C:\Documents and Settings\Mrek\Moje dokumenty\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM8b9c06cb.txt
C:\WINDOWS\BM8b9c06cb.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\esnaaumm.ini
C:\WINDOWS\system32\ghikQqss.ini
C:\WINDOWS\system32\ghikQqss.ini2
C:\WINDOWS\system32\ieupdates.exe.tmp
C:\WINDOWS\system32\setup.ini

.
((((((((((((((((((((((((( Files Created from 2008-07-27 to 2008-08-27 )))))))))))))))))))))))))))))))
.

2008-08-27 10:08 . 2008-08-27 10:08 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-08-27 09:58 . 2008-08-27 09:58 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-27 07:33 . 2008-08-27 07:33 <DIR> d-------- C:\Program Files\Trend Micro
2008-08-26 14:40 . 2008-08-26 14:40 <DIR> d-------- C:\Program Files\Sunbelt Software
2008-08-26 14:20 . 2008-08-27 07:20 <DIR> d-------- C:\Documents and Settings\Mrek\Dane aplikacji\Lavasoft
2008-08-26 13:52 . 2008-08-26 13:52 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-26 13:52 . 2008-08-26 13:52 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-08-26 11:46 . 2008-08-26 11:46 <DIR> d-------- C:\Program Files\Bullzip
2008-08-26 11:46 . 2008-04-22 08:19 187,392 --a------ C:\WINDOWS\system32\bzpdf.dll
2008-08-26 11:46 . 2008-04-02 08:13 147,456 --a------ C:\WINDOWS\system32\bzpdfc.dll
2008-08-26 09:07 . 2008-08-27 11:09 <DIR> d-------- C:\Program Files\Spyware Doctor
2008-08-26 09:07 . 2008-08-26 09:07 <DIR> d-------- C:\Documents and Settings\Mrek\Dane aplikacji\PC Tools
2008-08-26 09:07 . 2008-08-27 11:26 <DIR> d-a------ C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-08-26 09:07 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-08-26 09:07 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-08-26 09:07 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-08-26 09:07 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-08-26 08:29 . 2008-08-26 08:29 <DIR> d-------- C:\Program Files\SkanerOnline
2008-08-26 07:20 . 2008-08-26 09:18 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-08-26 07:20 . 2008-08-26 09:18 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-08-25 13:45 . 2008-08-25 13:45 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\ESET
2008-08-25 12:32 . 2008-08-25 12:32 <DIR> d-------- C:\Program Files\Alwil Software
2008-08-25 12:32 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-08-25 12:32 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-08-25 12:32 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2008-08-25 12:02 . 2008-08-27 07:20 <DIR> d-------- C:\Program Files\Lavasoft
2008-08-25 12:02 . 2008-08-25 12:03 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2008-08-25 10:00 . 2008-08-25 12:35 <DIR> d-------- C:\WINDOWS\system32\734914
2008-08-25 10:00 . 2008-08-25 10:00 <DIR> d-------- C:\Program Files\Applications
2008-08-19 14:11 . 2008-08-19 14:12 73 --a------ C:\WINDOWS\Kyor.ini
2008-08-05 11:54 . 2008-08-05 11:54 <DIR> d-------- C:\WINDOWS\AtOnce
2008-08-05 08:29 . 2008-08-25 13:06 <DIR> d-------- C:\Program Files\Common Files\YDP
2008-08-05 08:29 . 1998-10-07 12:54 327,168 --a------ C:\WINDOWS\IsUn0415.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-27 09:26 --------- d-----w C:\Program Files\neostrada tp
2008-08-27 09:25 --------- d-----w C:\Program Files\Kalendarz XP
2008-08-25 11:43 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help
2008-08-25 08:03 --------- d-----w C:\Program Files\Gadu-Gadu
2008-08-20 05:04 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-08-13 11:18 --------- d-----w C:\Program Files\Winamp
2008-08-13 11:18 --------- d-----w C:\Documents and Settings\Mrek\Dane aplikacji\Winamp
2008-07-24 08:41 --------- d-----w C:\Program Files\ZTE ZXDSL 852
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 12:04 2127296]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 11:21 153136]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="C:\PROGRA~1\NEOSTR~1\Watch.exe" [2004-08-23 13:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\NEOSTR~1\GestMaj.exe" [2004-10-14 15:55 32768]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-08-04 01:02 36352]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-05-11 00:03 81920]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-05-11 00:03 8429568]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-07-16 09:16 1166216]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 10:08 16380416 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-05-11 00:03 1626112 C:\WINDOWS\system32\nwiz.exe]
"AdslTaskBar"="stmctrl.dll" [2006-06-02 15:01 151552 C:\WINDOWS\system32\stmctrl.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"this"="C:\Program Files\Applications\wcs.exe" [2008-08-25 10:00 7168]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Kalendarz XP.lnk - C:\Program Files\Kalendarz XP\Kalendarz.exe [2008-06-20 14:48:25 882176]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=

R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\system32\DRIVERS\stmatm.sys [2003-08-12 18:51]
S3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\system32\DRIVERS\torususb.sys [2006-05-25 19:28]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
.
- - - - ORPHANS REMOVED - - - -

BHO-{414F03E5-5D19-4B63-84B2-E7403AE4527F} - (no file)
MSConfigStartUp-kdgpi - C:\WINDOWS\system32\kdgpi.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Mrek\Dane aplikacji\Mozilla\Firefox\Profiles\qrv0l5ot.default\
FF -: plugin - C:\Program Files\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-27 11:26:24
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\FTRTSVC.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-08-27 11:28:21 - machine was rebooted [Mrek]
ComboFix-quarantined-files.txt 2008-08-27 09:28:19

Pre-Run: 96,256,786,432 bajtów wolnych
Post-Run: 96,323,584,000 bajt˘w wolnych

150 --- E O F --- 2008-08-25 11:43:34

Usun z dysku:
C:\Program Files\Applications\wcs.exe

Wklej do notatnika:
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"this"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32]

Zapisz jako fix.reg i uruchom. Reszta jest ok.

Nie można usunąć tego pliku. "Odmowa dostępu"

Uzyj np. Unlocker lub utworz CFScript.txt z zawartoscia:

File::
C:\Program Files\Applications\wcs.exe

Zapisz i przeciagnij go na ikone combofix. Po wykonaniu daj nowy log z combofix.

Usunąłem go za pomocą Unlockera, wkleiłem do notatnika to co napisałeś i zapisałem jako fix.reg, ale nie mogę tego uruchomić. Pojawia się komunikat: "Nie można zaimportować fix.reg. Określony plik nie jest składnikiem rejestru. Można importować tylko binarne pliki rejestru z wewnątrz edytora rejestru".
Być może wklejam to w niewłaściwym miejscu ? Wklejam do logu z combofixa bezpośrednio pod REGEDT4,resztę zostawiam i zapisuję jako fix.reg.

Czytaj ze zrozumieniem! Skoro usunales to chcesz jeszcze wklejac? Wyraznie napisalem Unlocker LUB CFScript.txt, wiec nie wiem skad tam Ci sie wzial jakis fix.reg.

Napisałeś, żeby:

Cytat:

Usun z dysku:
C:\Program Files\Applications\wcs.exe

Wklej do notatnika:
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"this"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32]

Zapisz jako fix.reg i uruchom

, więc próbowłem tak zrobić. Stąd ten fix.reg.

To miales wykonac wczesniej.

Tak, ale nie mogłem usunąć wcs.exe. Dlatego użyłem Unlockera tak jak zasugerowałeś i ta operacja się udała. Natomiast nadal nie mogę uruchomić fix.reg (po wklejeniu do notatnika tego co napisałeś) bo pojawia się komunikat, który już cytowałem. Więc co mogę teraz zrobić?

Cos zle wkleiles, plik fix.reg ma miec taka zawartosc jak podalem:
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"this"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32]

Bez nowej linii na poczatku.

OK. Udało się. Serdeczne dzięki. Mam nadzieję, że to zadziała.

Cały dzień jest OK. Jeszcze raz dzięki.