Firefox, Chrome, Opera nie wczytują stron

[sotiv]

Witam.

Występuje u mnie problem taki iż kiedyś po zamoistnym resecie kompa przeglądarka Firefox 3 jak i 4.0 Beta 12 często się wiesza oraz nie wczytuje niektórych stron wyrzucając komunikat "Nie odnaleziono serwera" bądź zamiast strony wyrzuca mi reklamę firmy odzieżowej. To samo dzieje się w przypadku Chrome. Próbowałem zainstalować Opere ale niestety pasek rozapkowywania pliku dochodził do 100% i nic sie dalej nie działo.

Skanowałem system avira_antivir_personal oraz Malwarebytes' Anti-Malware lecz nic nie pomogło. Ręczne odinstalowałem FF z panelu sterowania jak i pousuwałem foldery z document and settings oraz klucze z rejestru, zainstalowałem ponowie i problem ten sam.

Czasami wyskakuje również komunikat/błąd "java virtual create the java virtual machine". Użyłem Combofixa z myślą, że coś mi to pomoże jednak nawet on tu nic nie poradził i efekt jest bez zmian, mało tego uruchamiałem go z Systemu Awaryjnego, gdyż normalnie wyskakuje ERROR WIN32 ONLY COMBOFIX. Jeśli potrzeba to dołączę log z combofixa, a na razie wrzucam potrzebne pliki (które zostały wykonane po Combofixie).

gmer.txt

Extras.Txt

OTL.Txt

[picasso]

Kompletna pomyłka w wyborze działu. Kwalifikujesz się do Malware i tam jedziesz. GMER robiony w złym środowisku - działa emulacja napędów wirtualnych.

 

DRV - [2007-07-18 17:12:08 | 000,682,232 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

1. Proszę ściągnąć wirtual narzędziem SPTDinst. Procedura opisana w ogłoszeniu: KLIK. Po restarcie systemu:

 

2. Szybka ocena loga z GMER: rootkit TDL3. Rozpocznij od użycia narzędzia Kaspersky TDSSKiller i przedstaw tylko log z niego. Tzn. dla wszystkich wyników ustaw akcję Skip i nic nie naprawiaj.

 

 

Jeśli potrzeba to dołączę log z combofixa

 

Ma być obowiązkowo pokazany. Z tamtego uruchomienia.

 

 

 

.

[sotiv]

Faktycznie czytałem coś o wirtualnym napędzie, a nie zrobiłem nic w tym kierunku ale mam nadzieje, że teraz będzie ok więc na wszelki wypadek przesyłam jeszcze raz GMER i resztę logów.

gmer2.txt

ComboFix.txt

TDSSKiller.2.4.18.0_28.02.2011_20.11.51_log.txt

[picasso]

1. TDSSKiller potwierdza wynik, wybierz w nim opcję Cure. Po restarcie komputera wyprodukuj nowe logi z GMER i TDSSKiller.

 

2. Od razu przeprowadź też roboty deinstalacyjne, by było wiadome co czyścić w OTL.

 

• Przez Dodaj / Usuń wymontuj śmieci paskowe Babylon toolbar, DVDVideoSoftTB Toolbar oraz przestarzały program Ad-Aware SE Personal
  
• Kolekcję przeterminowanych Java sprzątnij przez JavaRa i zainstaluj najnowszą: INSTRUKCJE.
  

3. Do oceny zestaw logów: GMER, TDSSKiller oraz OTL (zrobiony już po deinstalacjach).

 

 

.

[sotiv]

Trochę zeszło przy tworzeniu nowego GMERa..

OTL1.Txt

Extras1.Txt

TDSSKiller.2.4.18.0_28.02.2011_20.45.39_log.txt

gmer3.txt

[picasso]

To TDSSKiller sprzed restartu, ale GMER potwierdza wyleczenie pliku serial.sys. Możemy przejść do drobnych poprawek:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [On_Demand | Stopped] --  -- (sdCoreService)
SRV - File not found [On_Demand | Stopped] --  -- (sdAuxService)
SRV - File not found [Auto | Running] --  -- (pqeauto.engine.tomcatmonitor.GMG)
IE - HKU\S-1-5-21-1343024091-412668190-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?AF=15627"
IE - HKU\S-1-5-21-1343024091-412668190-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:61758
O3 - HKU\S-1-5-21-1343024091-412668190-725345543-1003\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O4 - Startup: C:\Documents and Settings\DJ\Menu Start\Programy\Autostart\PowerReg Scheduler.exe ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\DJ\Dane aplikacji\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - Reg Error: Value error. File not found
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.)
[2011-02-28 22:03:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DJ\Ustawienia lokalne\Dane aplikacji\DVDVideoSoftTB
[2010-12-11 15:23:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\DJ\Dane aplikacji\BabylonToolbar
[2011-01-08 15:20:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\DJ\Dane aplikacji\DVDVideoSoftIEHelpers
[2011-02-22 17:25:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\DJ\Dane aplikacji\lfebvju1d12noljcbytfyylacjrshmd2
[2011-02-28 17:29:57 | 000,000,000 | R--D | C] -- C:\32788R22FWJFW
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij przyciskiem Wykonaj skrypt. System będzie restartował. Po akcji zostanie podany log.

 

 

2. Są tu czynne sterowniki PC Tools, a software wygląda na odinstalowane:

 

DRV - [2007-12-10 13:53:28 | 000,081,288 | ---- | M] (PCTools Research Pty Ltd.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\iksyssec.sys -- (IKSysSec)
DRV - [2007-12-10 13:53:28 | 000,066,952 | ---- | M] (PCTools Research Pty Ltd.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\iksysflt.sys -- (IKSysFlt)
DRV - [2007-12-10 13:53:28 | 000,041,864 | ---- | M] (PCTools Research Pty Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\ikfilesec.sys -- (IKFileSec)

Start > Uruchom > devmgmt.msc > z menu Widok włącz pokazywanie ukrytych urządzeń i na ujawnionej liście Sterowników niezgodnych z Plug and Play szukaj tych trzech pozycji od PC Tools. Tu widać je pod nazwami systemowymi, na liście prawdopodobnie będą miały inną nazwę wyświetlaną (i sugerującą związki z PC Tools). Znalezione podświetl, po kolei odinstaluj i restart komputera.

 

 

3. W jaki sposób usuwałeś Java? Wprawdzie pojawiła się najnowsza, ale na liście nadal są dwie postaci archaiczne i ręcznie je odinstaluj:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24
"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9
"{7148F0A8-6813-11D6-A77B-00B0D0142030}" = Java 2 Runtime Environment, SE v1.4.2_03

 

4. Tworzysz nowe logi z OTL opcją Skanuj.

 

 

 

.

[sotiv]

Skrypt wykonany, odinstalowanie starszej wersji Java również ( zapomniałem usunąć z Dodaj/Usuń)

Niestety jest problem ze sterownikami PC Tools, a mianowicie:

 

1. Odnalezione i odinstalowane jest tylko to:

DRV - [2007-12-10 13:53:28 | 000,081,288 | ---- | M] (PCTools Research Pty Ltd.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\iksyssec.sys -- (IKSysSec)

 

2. Odnalezione ale nie odinstalowane, gdyż nie chce się odinstalować. Czyli włączam odinstaluj, resetuje kompa, a to i tak dalej istnieje

DRV - [2007-12-10 13:53:28 | 000,066,952 | ---- | M] (PCTools Research Pty Ltd.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\iksysflt.sys -- (IKSysFlt)

 

3. Natomiast w ogóle nie odnalezione jest:

DRV - [2007-12-10 13:53:28 | 000,041,864 | ---- | M] (PCTools Research Pty Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\ikfilesec.sys -- (IKFileSec)

 

Niektóre sterowniki mają, że tak powiem zablokowaną funkcje "Szczegóły sterownika" i być może w któryś z tych jest ten trzeci sterownik. Poza tym nie wiem czy tak ma być ale wszystkie trzy pliki ciągle występują w folderze C:\...\drivers

 

Przesyłam również nowy log OTL

OTL2.Txt

Extras2.Txt

[picasso]

Czyszczenie w OTL zrobione pomyślnie. Wszystko zostało zgodnie z planem usunięte. Pozostał nam nieszczęsny PC Tools. Nie wywalam go via OTL, ponieważ sama obecność tych sterowników po deinstalacji programu sugeruje, że to jest w taki sposób wmontowane, iż usunięcie sterowników metodą "na chama" może mieć bardzo niepożądane skutki, włączając w to nawet nie startujący system. W aktualnym OTL bez zmian, siedzi trójka:

 

DRV - [2007-12-10 13:53:28 | 000,081,288 | ---- | M] (PCTools Research Pty Ltd.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\iksyssec.sys -- (IKSysSec)
DRV - [2007-12-10 13:53:28 | 000,066,952 | ---- | M] (PCTools Research Pty Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\iksysflt.sys -- (IKSysFlt)
DRV - [2007-12-10 13:53:28 | 000,041,864 | ---- | M] (PCTools Research Pty Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\ikfilesec.sys -- (IKFileSec)

Pokaż mi zrzuty ekranu z:

1. Całej listy Sterowników niezgodnych z Plug and Play

2. Panel sterowania > Połączenia sieciowe > z prawokliku na konkretne połączenie wybierz Właściwości > karta Ogólne i komponenty jakich używa połączenie.

 

 

 

.

[sotiv]

Mam nadzieje, że to o to chodziło z pkt. 2

[picasso]

Rzeczywiście, na liście sterowników figuruje tylko jedna pozycja iksysflt.sys = System Filter Driver, a w OTL są trzy usługi. Na wszelki wypadek podaj jeszcze wyszukiwanie w rejestrze. Uruchom OTL, wszystkie opcje przestaw na Brak / Żadne, zaś w oknie Własne opcje skanowania / skrypt wklej:

 

hklm\system\currentcontrolset|IKSysSec /RS
hklm\system\currentcontrolset|IKSysFlt /RS
hklm\system\currentcontrolset|IKFileSec /RS

Klik w Skanuj (a nie wykonaj skrypt) i podaj wyniki.

 

 

 

 

.

[sotiv]

Niestety jest pewien problem. Wszystko robię tak jak trzeba czyli zmieniam na Brak/Żadne, wkleja skrypt klikam Skanuj i.. opcje Rejestr przeskakuje na Wszystko (chyba tak ma być skoro samo sie zmienia) coś tam przeszukuje przeszukuje i OTL znika nie wyrzucając żadnych wyników :/

[picasso]

Zmieńmy narzędzie wyszukiwania. Skorzystaj z RegScanner. Na szukanie po kolei zadaj: IKSysSec, IKSysFlt, IKFileSec. Przedstaw wynikowe raporty w poście.

[sotiv]

Nie wiem czy istnieje jakaś inna możliwość zapisania tych wyników ale myślę, że zrzut ekranu wystarczy

 

[picasso]

Nie wiem czy istnieje jakaś inna możliwość zapisania tych wyników

 

Coś nie za dobrze to sprawdziłeś. Są dwie ikonki w oknie służące zapisowi, eksport do formatu REG lub zapis do pliku TXT. Wystarczyło zaznaczyć wszystkie wyniki w oknie i posłużyć się ikoną "dyskietki" (Save Selected Items). Rzecz oczywista, obrazki czyta mi się w mniej wygodny sposób niż raport tekstowy. Ale OK. W wynikach: zwroty tyczące tylko usług, czyli wielokrotności kluczy, które zakreślałam w OTL. Skoro tylko tyle, spróbujmy to usuwać. Asekuracyjnie, w pierwszej kolejności będzie tylko wyłączenie dla testu czy jest w porządku.

 

1. W programie Autoruns wejdź do karty Drivers i odptaszkuj te trzy: IKSysSec, IKSysFlt, IKFileSec. Zresetuj komputer.

 

2. Jeśli wszystko będzie w porządku, ponownie wejdź do Autoruns i usuń trwale te trzy sterowniki, ich pliki skasuj z dysku ręcznie. Możesz też wznowić wyszukiwanie w rejestrze na te trzy i skasować duplikaty usług w kolejnych kopiach konfiguracyjnych ControlSet00X.

 

 

 

.

[sotiv]

Pkt 1 wykonany i póki co nie ma żadnym problemów, a co do pkt.2 to wiem, że jest napisane czarne na białym ale wole się upewnić, ze to o te kopie chodzi które mam usunąć

IKFilesec.txt

IKSysFlt.txt

IKSysSec.txt

[picasso]

Potwierdzam, do usunięcia te klucze:

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IKFileSec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IKSysFlt

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\IKSysSec

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IKSYSFLT

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IKSYSFLT

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IKFILESEC

 

Do kluczy LEGACY w gałęzi Root nie ma uprawnień. Ich kasacja wymaga dodatkowych kroków. Ułatw sobie i zastartuj regedit na uprawnieniu SYSTEM za pomocą Process Hacker. Opis w tutorialu na forum: KLIK.

 

Podsumuj co się dzieje z systemem, czy są jeszcze jakieś problemy. Na koniec podam instrukcje finalizujące sprawę.

 

 

.

[sotiv]

Hmm..nie wiem czy czegoś wczesniej nie sknociłem, bo ustawiam Process Hackera tak jak jest w tutorialu i niestety wyskakuje mi błąd "Unable to start the program: Nie można odnaleźć określonego pliku"

[picasso]

Sprawdź czy masz na dysku edytor rejestru C:\WINDOWS\regedit.exe. Jeśli jest, to zamiast podnoszenia uprawnień przez Process Hacker wykonaj ręczny reset uprawnień kluczy LEGACY. Opis również w podanym już tutorialu.

[sotiv]

Zrobione, powyższe klucze usunięte jak narazie po zresetowaniu kompa nic sie nie dzieje chyba nawet komp sie szybciej uruchomil. Mozilla 4.0 tez sie nie wiesza..chyba wszystko w porzadku

[picasso]

Finalizujemy sprawę:

 

1. Porządki po infekcji i używanych narzędziach:

 

• Przez SHIFT+DEL skasuj z dysku folder kwarantanny OTL C:\_OTL.
  
• Odinstaluj w prawidłowy sposób ComboFix (jeśli już go skasowałeś, pobierz ponownie na Pulpit i zmień ścieżkę w komendzie): Start > Uruchom > wklej polecenie f:\tomek\ComboFix.exe /uninstall
  

2. Aktualizacja software:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{0D499481-22C6-4B25-8AC2-6D3F6C885FB9}" = OpenOffice.org Installer 1.0
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish
"Gadu-Gadu" = Gadu-Gadu 7.7
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"Mozilla Firefox 4.0b12 (x86 pl)" = Mozilla Firefox 4.0b12 (x86 pl)

• Szczegóły aktualizacyjne rozpisane tutaj: INSTRUKCJE. Mam też nadzieję, że te archaiczne wersje MS Office są załatane na tyle na ile to możliwe ...
  
• (Opcjonalnie) GG7 to inwalida, który ani nie potrafi zapewnić pełnej obsługi własnej sieci, ani nie ma odpowiedniego poziomu zabezpieczeń. Do wertowania topik Darmowe komunikatory. Propozycje zastąpienia GG7 programem dobrze obsługującym protokół GG8/10: WTW, Miranda a jeśli nie masz reklamowstrętu to i AQQ się nada.
  
• (Opcjonalnie) można zaktualizować i kodeki.
  

3. Aktualizacja systemu:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

System ma kiepski status zabezpieczeń i jest odcięty od łat krytycznych (MS dostarcza aktualizacje tylko XP SP3). Do obowiązkowej instalacji: Service Pack 3 + Internet Explorer 8. Tak, przeglądarka również musi być aktualizowana niezależnie od faktu, że nie jest w ogóle ręcznie uruchamiana, bo korzystasz z Firefox. Silnikiem IE w trybie cichym posługują się system i różne programy. Po ukończeniu głównych aktualizacji udaj się na Windows Update i załaduj wszystkie krytyczne łaty wydane po SP3.

 

 

 

 

.

[sotiv]

Aktualizacje wykonane i to co miało być usunięte to jest Wielkie dzięki za pomoc przy czyszczeniu, naprawianiu systemu Szacunek i uznanie dla takich osób jak Ty A jeszcze jedno, możesz mi zaproponować jakiś program antywirusowy + firewall, który nie będzie specjalnie spowalnial kompa, a będzie skuteczny..

[picasso]

A jeszcze jedno, możesz mi zaproponować jakiś program antywirusowy + firewall, który nie będzie specjalnie spowalnial kompa, a będzie skuteczny..

 

W raportach widziałam Avirę, co z nią nie tak, za ciężka? Darmowe propozycje alternatywne:

 

AV: Microsoft Security Essentials (antywirus "klasyczny") + Panda Cloud Antivirus (antywirus w chmurze, może być łączony z innym antywirusem). Przy okazji: Panda ma zestaw reguł zachowawczych (KLIK), a jedną z nich jest blokowanie instalacji rootkita TDL, tego samego który gościł na Twoim systemie.

FW: PrivateFirewall

 

 

 

.

[sotiv]

Nie, nie narzekam na Avire, po prostu zapytalem, bo bardziej sie obracasz w takich sprawach wiec lepiej zapytac co sadzi na temat jakiegos tam programu. Wszystko ladnie chodzi puki co tylko wciaż mnie zastanawia dlaczego nie moge wejsc na niektóre strony np. cyfrowypolsat.pl cyfraplus.pl chomikuj.pl. a wszystko przedtem działało, a teraz wyskakuje bład "nieodnaleziono Serwera". Mam neostrade, wszystko podpiete pod router tp-linka. Jest możliwość, że coś sie poprzestawialo w routerze? Ba, jest taki problem, ze nie moge wejsc na www routera :/ Dobra, już wiem, ze to wina routera, bo przez modem Sagema dzialaja strony. Wiesz moze gdzie moglby byc blad?

[picasso]

Na temat niedziałania stron, czy te adresy IP widzialne w logu są właściwym DNS:

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 173.192.105.217 173.193.227.124

Whois zwraca mi lokalizację USA. To wartość DhcpNameServer (dla porównania inny temat z forum: KLIK) = czyli zmiana DNS do wykonania z poziomu interfejsu routera. Tylko mówisz:

 

Ba, jest taki problem, ze nie moge wejsc na www routera :/

 

To nadal aktualne? Na czym polega niemożność wejścia (dane logowania stanowią problem czy coś innego)?

 

 

 

.

[sotiv]

Ehh..jak się jest leniem, to tak się dzieje..wystarczyło zresetować router i ponownie ustawić wszystko w konfiguracji... także wszystko w porządku.. strony które nie działały już się włączają. dzięki za pomoc i chęci

Edytowane 12 Marca 2011 przez picasso
Temat rozwiązany. Zamykam. //picasso