Samoistnie otwierają się strony gry reklamy

[BORO]

Witam,

Bardzo bym prosił o możliwą pomoc w rozwiązaniu przyczyny otwierania się reklam, gier oraz stron ero.. podczas pracy na przeglądarce. Owe strony są w języku rosyjskim / ikraińskim (nie ma pojęcia który).  Problem pojawia się na przeglądarce Internet Explorer jak i na Firefoxie. Próba ponownej instalacji także nic nie pomogła. Nowy antywirus, ADWcleaner i próba odinstalowania zbędnych programów także zawiodła. Nadmienię iż komputer zawsze był używany tylko do pracy, nigdy nie ściągałem żadnych muzyczek / filmików itp.

Komputer korzysta z internetu Neostrady rozyłanego bezprzewodowo WIFI za pośrednictwem routera TP-Link. Problem ten nie ma miejsca na innych komputerach korzystających z tej sieci. Komputer korzysta z systemu Windows XP Home Ediotnion SP3

 

Jeśli coś zapomniałem, nie napisałem z góry przepraszam i proszę o pomoc jak w temacie.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

Log z GMER robiłeś w złym środowisku, przy czynnym emulatorze SPTD: KLIK.

 

R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [477240 2012-06-13] (Duplex Secure Ltd.)

 

Jedyne co widać w raporcie, to sterownik adware grupy Sambreel i kilka drobnych adresów adware w IE, a także multi-instancje iexplore.exe (to podejrzane, o ile nie był uruchomiony ręcznie). Sterownik adware chyba nie jest przyczyną samoistnego otwierania stron we wszystkich przeglądarkach. Objawy brzmią nieco jak infekcja DNS routera, choć adres pobierany z routera nie wykazuje w logu szkodników (widać tylko IP routera), a Ty podkreślasz, że inne komputery korzystające z tej samej sieci nie mają problemu. Jaki model TP-Link jest tu na chodzie?

 

Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

 

 

Na razie usuń widoczne obiekty adware i zobaczymy co z tego wyniknie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}t; C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys [55232 2014-04-24] (StdLib)
HKU\S-1-5-21-861567501-484763869-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=HP_ss&mntrId=ccddf50d000000000000001cbf4a0100
HKU\S-1-5-21-861567501-484763869-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=NT_ss&mntrId=ccddf50d000000000000001cbf4a0100" 
SearchScopes: HKU\S-1-5-21-861567501-484763869-682003330-1004 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=ccddf50d000000000000001cbf4a0100
SearchScopes: HKU\S-1-5-21-861567501-484763869-682003330-1004 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=ccddf50d000000000000001cbf4a0100
SearchScopes: HKU\S-1-5-21-861567501-484763869-682003330-1004 -> {24979725-5596-4B9B-B829-4B2F8D0D21FC} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=EE28BC37-4157-49A6-ADC4-592A5CA9F98B&apn_sauid=48EFEF88-DC5F-48CE-9F68-1BA113641AA0
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CustomCLSID: HKU\S-1-5-21-861567501-484763869-682003330-1004_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Borowicz\Pulpit\BESTPL~1.EXE No File
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81548713.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81548713.sys => ""="Driver"
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\APN
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
C:\Documents and Settings\Borowicz\Dane aplikacji\Babylon
C:\Documents and Settings\Borowicz\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Documents and Settings\Borowicz\Pulpit\Nieużywane ikony\Adobe Reader X.lnk
C:\Documents and Settings\Borowicz\Pulpit\Nieużywane ikony\Bullzip PDF Printer.lnk
C:\Documents and Settings\Borowicz\Ustawienia lokalne\Dane aplikacji\APN
C:\Program Files\Common Files\Java(2)
C:\Program Files\Kaspersky Lab
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER (po usunięciu sterownika SPTD + restart systemu). Dołącz też plik fixlog.txt oraz wszystkie logi z folderu C:\AdwCleaner (był używany, nie uruchamiaj ponownie, chodzi o poprzednie wyniki). Wypowiedz się czy są jakiekolwiek zmiany.