johnwayne Opublikowano 15 Listopada 2010 Zgłoś Udostępnij Opublikowano 15 Listopada 2010 Witam, Mam następujący problem: od dziś otwierają mi się niechciane strony w IE, choć jako domyślną mam ustawioną Mozillę. Przeskanowałem system antywirusem, wyczyściłem tymczasowe pliki internetowe i historie. Usunąłem też całą zawartość folderu Temp, były tam m.in. pliki typu bsb.exe (5szt) których nie dało się normalnie usunąć. Przy użyciu Menagera zadań zakończyłem ich pracę i z powodzeniem usunąłem. Pomogło to tyle, że strony już się nie otwierają, ale co chwile pojawia się komunikat ESET o zablokowaniu otwarcia strony. Wiec problem chyba nie zniknął. Jestem laikiem ale poczytałem nieco na tym forum, wklejam raporty z OTL i proszę o pomoc. Z góry dziękuję. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Zabrakło raportu pod kątem rootkitów z GMER (KLIK). Podstawą przed uruchomieniem GMER jest zdjęcie emulacji wirtualnych napędów (KLIK), te trzy sterowniki będą przeszkadzały: DRV - [2010-10-30 02:22:21 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- E:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus) Infekcja jest usunięta tylko powierzchownie. W procesach ciągle pracuje podróbka "Opera Software" i są w Harmonogramie zadań zaplanowane uruchomienia. Konfiguracja przeglądarki Firefox zostanie oczyszczona ze śladów śmiecia "Fast Browser Search". Przy okazji zostaną także usunięte nieszkodliwe zapisy "not found" po różnych programach, m.in. powstałe po niekompletnej deinstalacji ThreatFire (zresztą te obiekty zwracają błędy rozruchowe). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2010-11-15 23:32:15 | 000,000,256 | -H-- | M] () -- E:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010-11-15 23:24:00 | 000,000,298 | -H-- | M] () -- E:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2010-11-15 23:18:00 | 000,000,298 | -H-- | M] () -- E:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010-11-15 18:25:01 | 000,221,184 | ---- | M] (Opera Software) -- E:\WINDOWS\Bmekub.exe [2010-11-15 18:24:10 | 000,221,184 | ---- | M] (Opera Software) -- E:\WINDOWS\Bmekua.exe [2009-12-20 14:18:56 | 000,005,413 | ---- | M] () -- E:\Documents and Settings\John Wayne\Dane aplikacji\Mozilla\Firefox\Profiles\8ztooq07.default\searchplugins\fast-browser-search.xml FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search" FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search" FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=" FF - prefs.js..browser.search.order.1: "Fast Browser Search" FF - prefs.js..browser.search.param.yahoo-fr: "megaup" FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "megaup" FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={9DF4C207-737A-3859-8AE1-CC1B7CC4866D}&q=" O4 - HKU\S-1-5-21-1606980848-1303643608-725345543-1004..\Run: [u36VRSFLG6] E:\DOCUME~1\JOHNWA~1\USTAWI~1\Temp\Bsc.exe File not found O33 - MountPoints2\{850e14a8-63d4-11dc-9a99-0019db497f2d}\Shell - "" = AutoRun O33 - MountPoints2\{8e9d7071-d672-11dd-89ee-0019db497f2d}\Shell\AutoRun\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\autorun.exe -- File not found O33 - MountPoints2\{8e9d7071-d672-11dd-89ee-0019db497f2d}\Shell\open\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\autorun.exe -- File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - E:\Documents and Settings\John Wayne\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKU\S-1-5-21-1606980848-1303643608-725345543-1004\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-1606980848-1303643608-725345543-1004\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. DRV - File not found [Kernel | Boot | Stopped] -- E:\WINDOWS\System32\drivers\TfSysMon.sys -- (TfSysMon) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\WINDOWS\System32\drivers\TfNetMon.sys -- (TfNetMon) DRV - File not found [Kernel | Boot | Stopped] -- E:\WINDOWS\System32\drivers\TfFsMon.sys -- (TfFsMon) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTGLM7X.sys -- (SetupNTGLM7X) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\WINDOWS\System32\DRIVERS\pctNdis.sys -- (pctNDIS) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTACCESS.sys -- (NTACCESS) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo) [2010-02-08 22:01:25 | 000,000,000 | ---D | M] -- E:\Documents and Settings\John Wayne\Dane aplikacji\PCToolsFirewallPlus [2010-02-08 22:28:20 | 000,000,000 | ---D | M] -- E:\Documents and Settings\LocalService\Dane aplikacji\PCToolsFirewallPlus [2010-02-08 22:28:19 | 000,000,000 | ---D | M] -- E:\Documents and Settings\LocalService\Dane aplikacji\Spam Monitor :Commands [emptyflash] [emptytemp] Uruchom proces przez Wykonaj skrypt. Nastąpi restart, po którym otrzymasz log. 2. Do oceny: log powstały z usuwania OTL w punkcie 1 oraz nowy zestaw z OTL utworzony po usuwaniu. Przypominam o GMER. . Odnośnik do komentarza
johnwayne Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Dzięki za szybką odpowiedź. Pomimo postępowania zgodnie z instrukcjami nie udało mi się odpalić Gmer - następował restart, użyłem Rootrepeal. Następnie wykonałem załączony skrypt w OTL. Raporty poniżej. raport skrypt OTL.txt Extras1.Txt OTL1.Txt rootrepeal report.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2010 Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Pomimo postępowania zgodnie z instrukcjami nie udało mi się odpalić Gmer - następował restart, użyłem Rootrepeal. Powód: nie usunąłeś wszystkich sterowników emulacji, zostały jeszcze te starocie (i widać je w stanie mocno czynnym w Root Repeal): DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus) Wracając do procesu usuwania OTL, wszystko zostało pomyślnie wyeliminowane. Nie widzę regeneracji. Czy problem ustąpił? 1. W OTL wywołaj funkcję Sprzątanie. 2. Start > Uruchom > firewall.cpl i w karcie Wyjątki pousuwaj wpisy od reklamiarza SopCast Adver oraz programów już nieistniejących. 3. Wykonaj pełny skan za pomocą Malwarebytes' Anti-Malware. Przedstaw wyniki. . Odnośnik do komentarza
johnwayne Opublikowano 16 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2010 Nie spędziłem zbyt dużo czasu przy komputerze, ale wygląda na to, że problem zniknął Bardzo dziękuję za pomoc. Postąpiłem zgodnie ze wskazówkami, poniżej raporty z OTL. Extras2.Txt OTL2.Txt Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 (edytowane) Raporty są OK, rozumiem, że skan z MBAM był w porządku. Na koniec są grzechy do naprawy: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java SE Runtime Environment 6 Update 1"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java 6 Update 2"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3 Obowiązkowa aktualizacja do stanu Internet Explorer 8, niezależnie od tego czy w ogóle uruchamiasz tę przeglądarkę (zbyt duża integracja z systemem). Uprzątnij wszystkie przestarzałe Java za pomocą JavaRa i zamontuj sobie najświeższe Java (JRE). . Edytowane 17 Października 2011 przez picasso Jak mniemam temat jest już ukończony, to i go zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi