Spowolniona praca przeglądarki, przekierowywanie stron

[shalott]

Witam,

Problemy z komputerem, który użytkuję już przeszło 7 lat, były zawsze. Zaczęło się od dość regularnych restartów (+/- co godzinę), następnie zrywanie połączenia internetowego no i blue screeny. Dotychczas całkowite skanowanie systemu (AVG, Avira) przynosiło rezultaty.

Jednakże, od 2 tygodni, pomimo kolejnej próby użycia antywirusa, problem nie został rozwiązany. Najbardziej uciążliwe jest nieustanne zawieszanie się stron w Mozilli. Otworzenie chociażby google.pl wymaga około 2-3 minut, czasem zrestartowania komputera. Dodatkowo przy próbach szukania pomocy poprzez wyszukiwarkę często następują przekierowywania na przypadkowe (i dosyć podejrzane) strony www, lub po prostu na moją stronę główną.

Dzisiaj mój niepokój wzbudziło żądanie numeru karty i CVV przy próbie logowania do mojego banku. Zaczęłam szukać rozwiązania w sieci i spotkałam się z podobnym przypadkiem (spowolniony system + próba wyłudzenia dostępu). Zanim trafiłam na fixitpc zdążyłam użyć programu ComboFix - który owszem, pomógł na problem z bankiem, lecz przeglądarka jak nie działała, tak nie działa. Dlatego bardzo proszę o pomoc w rozwiązaniu tej uciążliwej sprawy.

 

Załączam logi z OTL / GMER / ComboFix.

 

pozdrawiam,

marta.

OTL.Txt

Extras.Txt

log.txt

GMER.txt

[Landuss]

Według tego co pokazują logi jest tutaj rootkit w MBR. Wykonuj po kolei zalecenia:

 

1. Użyj narzędzia Kaspersky TDSSKiller i kiedy wykryje rootkita kliknij opcję Cure (leczenie). Narzędzie wykryje też sterownik sptd ale wtedy klikasz w Skip (pomiń). Zachowaj raport z programu.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\avast!]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
:OTL
SRV - File not found [On_Demand | Stopped] --  -- (Icpgpl1)
SRV - File not found [On_Demand | Stopped] --  -- (avast! Web Scanner)
SRV - File not found [On_Demand | Stopped] --  -- (avast! Mail Scanner)
SRV - File not found [Auto | Stopped] --  -- (avast! Antivirus)
SRV - File not found [Auto | Stopped] --  -- (aswUpdSv)
DRV - File not found [Kernel | On_Demand | Running] --  -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] --  -- (xcpip)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yahoo.com/"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = "http://us.rd.yahoo.com/customize/ie/defaults/cs/msgr8/*http://www.yahoo.com/ext/search/search.html"
IE - HKU\S-1-5-21-583907252-1606980848-682003330-1012\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.orbitdownloader.com"
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@veoh.com/VeohTVPlugin: C:\Program Files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll File not found
[2011-01-27 19:59:39 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -  File not found
O2 - BHO: (no name) - {F97DA966-F09D-4cab-BF29-75A0026986EA} - No CLSID value found.
[2008-07-04 15:29:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Avg7
[2009-06-15 20:25:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bartosz_2\Dane aplikacji\AVG7
[2011-01-27 21:31:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bartosz_2\Dane aplikacji\BabylonToolbar
[2007-10-28 17:33:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dane aplikacji\AVG7
[2011-01-27 20:02:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\m k\Dane aplikacji\BabylonToolbar
[2011-03-26 21:12:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\m k\Dane aplikacji\OpenCandy
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Z panelu usuwania programów odinstaluj pasek sponsoringowy Winamp Toolbar

 

4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer, raport z KasperskyTDSSKiller oraz AD-Remover z trybu skanowania.

 

 

[shalott]

Po uruchomieniu Gmer'a trzykrotnie pojawił się blue screen, który uniemożliwia mi dokończenie skanowania i wklejenie loga. Czy można na to coś poradzić?

Wklejam logi.

TDSSKiller.2.5.14.0_07.08.2011_23.25.22_log.txt

OTL.Txt

Ad-Report-SCAN1.txt

[Landuss]

Po uruchomieniu Gmer'a trzykrotnie pojawił się blue screen, który uniemożliwia mi dokończenie skanowania i wklejenie loga. Czy można na to coś poradzić?

 

A zobacz w trybie awaryjnym czy będzie tak samo. W zamian za to wykonaj jeszcze raz log z Kaspersky TDSSKiller dla pewności czy sobie poradził.

 

Wykonaj kolejny skrypt do OTL:

 

:Files
C:\Documents and Settings\m k\Ustawienia lokalne\Dane aplikacji\OpenCandy
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{8D292EC0-6792-4A38-82ED-73A087E41BA6}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{621FEACD-8857-43A6-AE26-451D670D5370}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{98635087-3F5D-418F-990C-B1EFE0797A3B}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{DF8AC7EC-373F-4606-9049-E6DA55CC5D05}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{E79DFBC0-5697-4FBD-94E5-5B2A9C7C1612}]
[-HKEY_LOCAL_MACHINE\Software\Freeze.com]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_LOCAL_MACHINE\Software\Classes\MIME\Database\Content Type\Application/x-f3embed]
 
:OTL
SRV - File not found [Auto | Stopped] --  -- (cvqzenwdj)

 

Pokazujesz nowy log z OTL.

 

 

[shalott]

Uruchomienie komputera w trybie awaryjnym nie pomogło - skanowanie przerwał samoistny restart.

Dodatkowo program TDSSKiller wykrył ponownie ten sam podejrzany obiekt nazwany "Backdoor.Win32.Sinowal.knf

W chwili gdy chcę go "wyleczyć" pojawia się takie ostrzeżenie:

 

 

Niezależnie od tego co wybiorę, obiekt wciąż jest obecny.

Wklejam również log z OTL.

OTL.Txt

[Landuss]

Tak właśnie myślałem, że Kaspersky sobie nie radzi z tą infekcją bo log z niego mi się nie podobał i nie potwierdzał usunięcia.

 

W takim razie pozostaje ręczne nadpisanie MBR - start do Konsoli Odzyskiwania i użyć polecenia FIXMBR

 

Po tej czynności do raportu nowe logi z OTL (podczas skanu opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filotrowania"), Gmer (w razie problemów z Kasperskyego) oraz z Ad-Remover.

[shalott]

Przy próbie odpalenia Konsoli Odzyskiwania pojawiła się informacja

"Plik INF txtsetup.sif jest uszkodzony lub nie ma go, stan 7. Instalator nie może kontynuować".

natomiast udało mi się uruchomić Gmera ( w trybie awaryjnym)

Teraz dodatkowo nie działa internet mobilny orange.

gmer.txt

[picasso]

Przy próbie odpalenia Konsoli Odzyskiwania pojawiła się informacja

"Plik INF txtsetup.sif jest uszkodzony lub nie ma go, stan 7. Instalator nie może kontynuować".

 

O jakiej płycie mowa - Twojej CD XP czy moim obrazie Konsola(fixitpc.pl).iso?

 

Alternatywnie: zastartować z płyty OTLPE, z Pulpitu płyty uruchomić MbrFix i w linii komend wpisać: MbrFix /drive 0 fixmbr /yes. Zresetować system i sprawdzić co widzi Kaspersky TDSSKiller.

 

 

 

.

[shalott]

Błąd wyskoczył przy Konsoli pobranej z forum.

Skorzystałam więc z OTLPE, już bez żadnych problemów. TDSS nie wykrył żadnego "podejrzanego obiektu" oprócz sptd.

Wklejam log z Ad-Remover.

Ad-Report-SCAN2.txt

[Landuss]

Infekcja pomyślnie usunięta i już nie powinno być żadnych problemów. Można przejść do czynności końcowych.

 

1. Użyj opcji Sprzątanie w OTL.

 

2. Wykonaj ważne aktualizacje Internet Explorer i Java: KLIK.

 

3. Opróżnij folder Przywracania systemu: KLIK.

 

 

.

[shalott]

Jest nieporównywalnie lepiej. Dziękuje serdecznie za cierpliwość i okazaną pomoc!