Otwierające sie niechciane strony IE

[johnwayne]

Witam,

Mam następujący problem: od dziś otwierają mi się niechciane strony w IE, choć jako domyślną mam ustawioną Mozillę. Przeskanowałem system antywirusem, wyczyściłem tymczasowe pliki internetowe i historie. Usunąłem też całą zawartość folderu Temp, były tam m.in. pliki typu bsb.exe (5szt) których nie dało się normalnie usunąć. Przy użyciu Menagera zadań zakończyłem ich pracę i z powodzeniem usunąłem. Pomogło to tyle, że strony już się nie otwierają, ale co chwile pojawia się komunikat ESET o zablokowaniu otwarcia strony. Wiec problem chyba nie zniknął. Jestem laikiem ale poczytałem nieco na tym forum, wklejam raporty z OTL i proszę o pomoc.

Z góry dziękuję.

Extras.Txt

OTL.Txt

[picasso]

Zabrakło raportu pod kątem rootkitów z GMER (KLIK). Podstawą przed uruchomieniem GMER jest zdjęcie emulacji wirtualnych napędów (KLIK), te trzy sterowniki będą przeszkadzały:

 

DRV - [2010-10-30 02:22:21 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- E:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)
DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus)

 

Infekcja jest usunięta tylko powierzchownie. W procesach ciągle pracuje podróbka "Opera Software" i są w Harmonogramie zadań zaplanowane uruchomienia. Konfiguracja przeglądarki Firefox zostanie oczyszczona ze śladów śmiecia "Fast Browser Search". Przy okazji zostaną także usunięte nieszkodliwe zapisy "not found" po różnych programach, m.in. powstałe po niekompletnej deinstalacji ThreatFire (zresztą te obiekty zwracają błędy rozruchowe).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
[2010-11-15 23:32:15 | 000,000,256 | -H-- | M] () -- E:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010-11-15 23:24:00 | 000,000,298 | -H-- | M] () -- E:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2010-11-15 23:18:00 | 000,000,298 | -H-- | M] () -- E:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010-11-15 18:25:01 | 000,221,184 | ---- | M] (Opera Software) -- E:\WINDOWS\Bmekub.exe
[2010-11-15 18:24:10 | 000,221,184 | ---- | M] (Opera Software) -- E:\WINDOWS\Bmekua.exe
[2009-12-20 14:18:56 | 000,005,413 | ---- | M] () -- E:\Documents and Settings\John Wayne\Dane aplikacji\Mozilla\Firefox\Profiles\8ztooq07.default\searchplugins\fast-browser-search.xml
FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q="
FF - prefs.js..browser.search.order.1: "Fast Browser Search"
FF - prefs.js..browser.search.param.yahoo-fr: "megaup"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "megaup"
FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={9DF4C207-737A-3859-8AE1-CC1B7CC4866D}&q="
O4 - HKU\S-1-5-21-1606980848-1303643608-725345543-1004..\Run: [u36VRSFLG6] E:\DOCUME~1\JOHNWA~1\USTAWI~1\Temp\Bsc.exe File not found
O33 - MountPoints2\{850e14a8-63d4-11dc-9a99-0019db497f2d}\Shell - "" = AutoRun
O33 - MountPoints2\{8e9d7071-d672-11dd-89ee-0019db497f2d}\Shell\AutoRun\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\autorun.exe -- File not found
O33 - MountPoints2\{8e9d7071-d672-11dd-89ee-0019db497f2d}\Shell\open\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\autorun.exe -- File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - E:\Documents and Settings\John Wayne\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKU\S-1-5-21-1606980848-1303643608-725345543-1004\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1303643608-725345543-1004\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
DRV - File not found [Kernel | Boot | Stopped] -- E:\WINDOWS\System32\drivers\TfSysMon.sys -- (TfSysMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\WINDOWS\System32\drivers\TfNetMon.sys -- (TfNetMon)
DRV - File not found [Kernel | Boot | Stopped] -- E:\WINDOWS\System32\drivers\TfFsMon.sys -- (TfFsMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\WINDOWS\System32\DRIVERS\pctNdis.sys -- (pctNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo)
[2010-02-08 22:01:25 | 000,000,000 | ---D | M] -- E:\Documents and Settings\John Wayne\Dane aplikacji\PCToolsFirewallPlus
[2010-02-08 22:28:20 | 000,000,000 | ---D | M] -- E:\Documents and Settings\LocalService\Dane aplikacji\PCToolsFirewallPlus
[2010-02-08 22:28:19 | 000,000,000 | ---D | M] -- E:\Documents and Settings\LocalService\Dane aplikacji\Spam Monitor
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom proces przez Wykonaj skrypt. Nastąpi restart, po którym otrzymasz log.

 

2. Do oceny: log powstały z usuwania OTL w punkcie 1 oraz nowy zestaw z OTL utworzony po usuwaniu. Przypominam o GMER.

 

 

 

.

[johnwayne]

Dzięki za szybką odpowiedź.

Pomimo postępowania zgodnie z instrukcjami nie udało mi się odpalić Gmer - następował restart, użyłem Rootrepeal. Następnie wykonałem załączony skrypt w OTL. Raporty poniżej.

raport skrypt OTL.txt

Extras1.Txt

OTL1.Txt

rootrepeal report.txt

[picasso]

Pomimo postępowania zgodnie z instrukcjami nie udało mi się odpalić Gmer - następował restart, użyłem Rootrepeal.

Powód: nie usunąłeś wszystkich sterowników emulacji, zostały jeszcze te starocie (i widać je w stanie mocno czynnym w Root Repeal):

 

DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)
DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus)

 

Wracając do procesu usuwania OTL, wszystko zostało pomyślnie wyeliminowane. Nie widzę regeneracji. Czy problem ustąpił?

 

1. W OTL wywołaj funkcję Sprzątanie.

2. Start > Uruchom > firewall.cpl i w karcie Wyjątki pousuwaj wpisy od reklamiarza SopCast Adver oraz programów już nieistniejących.

3. Wykonaj pełny skan za pomocą Malwarebytes' Anti-Malware. Przedstaw wyniki.

 

 

 

.

[johnwayne]

Nie spędziłem zbyt dużo czasu przy komputerze, ale wygląda na to, że problem zniknął

Bardzo dziękuję za pomoc.

Postąpiłem zgodnie ze wskazówkami, poniżej raporty z OTL.

Extras2.Txt

OTL2.Txt

[picasso]

Raporty są OK, rozumiem, że skan z MBAM był w porządku. Na koniec są grzechy do naprawy:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java™ SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3

 

Obowiązkowa aktualizacja do stanu Internet Explorer 8, niezależnie od tego czy w ogóle uruchamiasz tę przeglądarkę (zbyt duża integracja z systemem).

Uprzątnij wszystkie przestarzałe Java za pomocą JavaRa i zamontuj sobie najświeższe Java (JRE).

 

 

 

.

Edytowane 17 Października 2011 przez picasso
Jak mniemam temat jest już ukończony, to i go zamykam. //picasso