Skocz do zawartości

Otwierające sie niechciane strony IE


Rekomendowane odpowiedzi

Witam,

Mam następujący problem: od dziś otwierają mi się niechciane strony w IE, choć jako domyślną mam ustawioną Mozillę. Przeskanowałem system antywirusem, wyczyściłem tymczasowe pliki internetowe i historie. Usunąłem też całą zawartość folderu Temp, były tam m.in. pliki typu bsb.exe (5szt) których nie dało się normalnie usunąć. Przy użyciu Menagera zadań zakończyłem ich pracę i z powodzeniem usunąłem. Pomogło to tyle, że strony już się nie otwierają, ale co chwile pojawia się komunikat ESET o zablokowaniu otwarcia strony. Wiec problem chyba nie zniknął. Jestem laikiem ale poczytałem nieco na tym forum, wklejam raporty z OTL i proszę o pomoc.

Z góry dziękuję.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło raportu pod kątem rootkitów z GMER (KLIK). Podstawą przed uruchomieniem GMER jest zdjęcie emulacji wirtualnych napędów (KLIK), te trzy sterowniki będą przeszkadzały:

 

DRV - [2010-10-30 02:22:21 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- E:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)

DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus)

 

Infekcja jest usunięta tylko powierzchownie. W procesach ciągle pracuje podróbka "Opera Software" i są w Harmonogramie zadań zaplanowane uruchomienia. Konfiguracja przeglądarki Firefox zostanie oczyszczona ze śladów śmiecia "Fast Browser Search". Przy okazji zostaną także usunięte nieszkodliwe zapisy "not found" po różnych programach, m.in. powstałe po niekompletnej deinstalacji ThreatFire (zresztą te obiekty zwracają błędy rozruchowe).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
[2010-11-15 23:32:15 | 000,000,256 | -H-- | M] () -- E:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010-11-15 23:24:00 | 000,000,298 | -H-- | M] () -- E:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2010-11-15 23:18:00 | 000,000,298 | -H-- | M] () -- E:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010-11-15 18:25:01 | 000,221,184 | ---- | M] (Opera Software) -- E:\WINDOWS\Bmekub.exe
[2010-11-15 18:24:10 | 000,221,184 | ---- | M] (Opera Software) -- E:\WINDOWS\Bmekua.exe
[2009-12-20 14:18:56 | 000,005,413 | ---- | M] () -- E:\Documents and Settings\John Wayne\Dane aplikacji\Mozilla\Firefox\Profiles\8ztooq07.default\searchplugins\fast-browser-search.xml
FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q="
FF - prefs.js..browser.search.order.1: "Fast Browser Search"
FF - prefs.js..browser.search.param.yahoo-fr: "megaup"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "megaup"
FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={9DF4C207-737A-3859-8AE1-CC1B7CC4866D}&q="
O4 - HKU\S-1-5-21-1606980848-1303643608-725345543-1004..\Run: [u36VRSFLG6] E:\DOCUME~1\JOHNWA~1\USTAWI~1\Temp\Bsc.exe File not found
O33 - MountPoints2\{850e14a8-63d4-11dc-9a99-0019db497f2d}\Shell - "" = AutoRun
O33 - MountPoints2\{8e9d7071-d672-11dd-89ee-0019db497f2d}\Shell\AutoRun\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\autorun.exe -- File not found
O33 - MountPoints2\{8e9d7071-d672-11dd-89ee-0019db497f2d}\Shell\open\command - "" = H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\autorun.exe -- File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - E:\Documents and Settings\John Wayne\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKU\S-1-5-21-1606980848-1303643608-725345543-1004\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1303643608-725345543-1004\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
DRV - File not found [Kernel | Boot | Stopped] -- E:\WINDOWS\System32\drivers\TfSysMon.sys -- (TfSysMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\WINDOWS\System32\drivers\TfNetMon.sys -- (TfNetMon)
DRV - File not found [Kernel | Boot | Stopped] -- E:\WINDOWS\System32\drivers\TfFsMon.sys -- (TfFsMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\WINDOWS\System32\DRIVERS\pctNdis.sys -- (pctNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo)
[2010-02-08 22:01:25 | 000,000,000 | ---D | M] -- E:\Documents and Settings\John Wayne\Dane aplikacji\PCToolsFirewallPlus
[2010-02-08 22:28:20 | 000,000,000 | ---D | M] -- E:\Documents and Settings\LocalService\Dane aplikacji\PCToolsFirewallPlus
[2010-02-08 22:28:19 | 000,000,000 | ---D | M] -- E:\Documents and Settings\LocalService\Dane aplikacji\Spam Monitor
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom proces przez Wykonaj skrypt. Nastąpi restart, po którym otrzymasz log.

 

2. Do oceny: log powstały z usuwania OTL w punkcie 1 oraz nowy zestaw z OTL utworzony po usuwaniu. Przypominam o GMER.

 

 

 

.

Odnośnik do komentarza
Pomimo postępowania zgodnie z instrukcjami nie udało mi się odpalić Gmer - następował restart, użyłem Rootrepeal.

Powód: nie usunąłeś wszystkich sterowników emulacji, zostały jeszcze te starocie (i widać je w stanie mocno czynnym w Root Repeal):

 

DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)

DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- E:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus)

 

Wracając do procesu usuwania OTL, wszystko zostało pomyślnie wyeliminowane. Nie widzę regeneracji. Czy problem ustąpił?

 

1. W OTL wywołaj funkcję Sprzątanie.

2. Start > Uruchom > firewall.cpl i w karcie Wyjątki pousuwaj wpisy od reklamiarza SopCast Adver oraz programów już nieistniejących.

3. Wykonaj pełny skan za pomocą Malwarebytes' Anti-Malware. Przedstaw wyniki.

 

 

 

.

Odnośnik do komentarza

Raporty są OK, rozumiem, że skan z MBAM był w porządku. Na koniec są grzechy do naprawy:

 

Internet Explorer (Version = 6.0.2900.5512)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java™ SE Runtime Environment 6 Update 1

"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2

"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3

 

Obowiązkowa aktualizacja do stanu Internet Explorer 8, niezależnie od tego czy w ogóle uruchamiasz tę przeglądarkę (zbyt duża integracja z systemem).

Uprzątnij wszystkie przestarzałe Java za pomocą JavaRa i zamontuj sobie najświeższe Java (JRE).

 

 

 

.

Edytowane przez picasso
Jak mniemam temat jest już ukończony, to i go zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...