Totalnie zmulony Firefox

[ratatouille]

Witam, przyszedłem na to forum za zaproszeniem Kominka, który już wcześniej pomagał mi z ogarnięciem logów - niestety, nie udało nam się wówczas sprawy zakończyć. Mam nadzieję, że teraz pójdzie lepiej
Do rzeczy. Pecet jest stary, dysk twardy dostał w ostatnich latach w tyłek, ale to wciąż nie tłumaczy kilku problemów:
1) Podczas uruchamiania, między postem a ekranem logowania do Windowsa XP, komputer bardzo często "wiesza się" - a monitor nie odbiera żadnego sygnału (pomarańczowa kontrolka).
2) Moją główną przeglądarką jest Mozilla Firefox, która kiedyś działała względnie płynnie - teraz jednak "brak odpowiedzi" występuje przy przełączaniu się z jednej karty na drugą... w ten sposób prawie nie da się korzystać z internetu.
3) Częsty komunikat w Firefox: "Ostrzeżenie: Skrypt nie odpowiada. Skrypt na tej stronie może być zajęty lub przestał odpowiadać. Można przerwać ten skrypt teraz lub kontynuować, by sprawdzić, czy jego wykonywania się zakończy".
Tak jak pisałem na innym forum, nie mogę zamieścić logów z GMER czy RootRepeala, ponieważ restartuje to peceta i nie wywołuje logów... Zatem na początek dam logi z OTL.
OTL:
http://wklej.eu/index.php?id=93d0f44508
Extras:
http://wklej.eu/index.php?id=55744b4bf01

[kominekl]

Witam, przyszedłem na to forum za zaproszeniem Kominka, który już wcześniej pomagał mi z ogarnięciem logów - niestety, nie udało nam się wówczas sprawy zakończyć.

Czemu się nie udało? Nie zdążyliśmy? Czy to w związku z moim protestem na Peb?

Extras.txt

Źle podałeś link, jednak z góry widzę, że trzeba odinstalować BabylonToolbar.

Następnie pobierz Combofix na pulpit (nie uruchamiaj) http://www.instalki.pl/programy/downloa ... boFix.html. Następnie wejdź w START URUCHOM i wklej tam "C:\Documents and Settings\Administrator\Pulpit\Combofix.exe" /uninstall .

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\es137140.sys -- (es137140)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\ensqio.sys -- (ensqio)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\83cpnt.sys -- (83cpnt.sys)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.foxtab.com/?s=0&chnl=irn
IE - HKLM\..\SearchScopes,DefaultScope = {1E4CF405-F7D7-4E13-96DD-0DAFF961ECEE}
IE - HKLM\..\SearchScopes\{1E4CF405-F7D7-4E13-96DD-0DAFF961ECEE}: "URL" = http://search.foxtab.com/?s=0&chnl=irn
IE - HKU\S-1-5-21-515967899-842925246-682003330-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.babylon.com/?babsrc=HP_ss&mntrId=ccda4925000000000000001f1f0567c7
IE - HKU\S-1-5-21-515967899-842925246-682003330-500\..\SearchScopes,DefaultScope = {1E4CF405-F7D7-4E13-96DD-0DAFF961ECEE}
IE - HKU\S-1-5-21-515967899-842925246-682003330-500\..\SearchScopes\{1E4CF405-F7D7-4E13-96DD-0DAFF961ECEE}: "URL" = http://search.foxtab.com/?s=0&chnl=irn
IE - HKU\S-1-5-21-515967899-842925246-682003330-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.startup.homepage: "http://pl.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3
FF - prefs.js..keyword.URL: "http://isearch.babylon.com/?babsrc=adbartrp&babsrc=SP_ss&mntrId=ccda4925000000000000001f1f0567c7&q="
[2012-04-17 01:23:07 | 000,002,298 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O8 - Extra context menu item: Pobierz  FlashGetem3 - C:\Documents and Settings\Administrator\Dane aplikacji\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: Pobierz wszystko FlashGetem3 - C:\Documents and Settings\Administrator\Dane aplikacji\FlashGetBHO\GetAllUrl.htm ()
O8 - Extra context menu item: 使用快车3下载 - C:\Documents and Settings\Administrator\Dane aplikacji\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: 使用快车3下载全部链接 - C:\Documents and Settings\Administrator\Dane aplikacji\FlashGetBHO\GetAllUrl.htm ()
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab (Reg Error: Key error.)
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab (NVIDIA Smart Scan)

:Files
C:\Documents and Settings\Administrator\Dane aplikacji\BabylonToolbar
C:\Program Files\BabylonToolbar
RECYCLER /alldrives
C:\ComboFix

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller http://forum.instalki.pl/otl-gmer-silen ... ml#p120292.

[ratatouille]

Gdy byliśmy w trakcie czyszczenia mojego komputera Twój użytkownik został zbanowany, a dopiero dzisiaj przeczytałem maila, którego wysłałeś
Odinstalowałem Babylon Toolbar (nawet nie pamiętam, skąd on się znalazł), a następnie ComboFixa wg wskazówek. A teraz logi:

Log po czyszczeniu OTLem:
http://wklej.eu/index.php?id=8b0a12b057
Log z TDSSKiller (znalazł dwa podejrzane obiekty):
http://wklej.eu/index.php?id=9601216c58
OTL:
http://wklej.eu/index.php?id=2ed4a092a7
Extras:
http://wklej.eu/index.php?id=f9d3e4752f

[mateo8898]

Był tutaj rootkit w MBR. W OTL wklej:

Kod: Zaznacz wszystko

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip)

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-

:Commands
[reboot]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL + nowy log z TDSSKiller.

[ratatouille]

Po wykonaniu podanego skryptu w OTL i reboocie nie wyświetlił się log z usuwania. Jeśli jest konieczny, powiedzcie proszę, gdzie go znajdę. Mam natomiast logi ze zwykłego skanowania + TDSSKillera.

OTL:
http://wklej.eu/index.php?id=f73aabef42
Extras:
http://wklej.eu/index.php?id=3cb35d305a
TDSSKiller:
http://wklej.eu/index.php?id=c5968d30a3

[mateo8898]

Nie jest konieczny.

W logach nic więcej nie widać.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Zaktualizuj Firefoksa do najnowszej wersji https://www.instalki.pl/download/programy/windows/internet/przegladarki-www/firefox/

Odinstaluj starą wersję Javy:

Java(TM) 6 Update 21

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... /Java.html

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.4.1

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

[kominekl]

Gdy byliśmy w trakcie czyszczenia mojego komputera Twój użytkownik został zbanowany, a dopiero dzisiaj przeczytałem maila, którego wysłałeś

Uściśle. Rozpocząłem protest przeciwko durnym Administratorom Peb`a za co zostałem zbannowany .

[ratatouille]

Wszystko zrobione, jednak Service Pack instalowałem na samym końcu. MBAM usunął kilka plików, oto log: http://wklej.eu/index.php?id=8668973351
Na koniec mam jeszcze kilka pytań:
1) Czy możecie polecić mi inną przeglądarkę internetową, niż Firefox? Mój komputer to złom, dlatego "im szybsza, tym lepsza". Wielu moich znajomych chwali sobie Chrome, a także Safari - czy warto je instalować?
2) Jak dodatkowo mogę zabezpieczyć komputer przed infekcjami przy użyciu freeware? Obecnie posiadam Avirę (notabene do aktualizacji), ale zastanawiam się, czy nie znaleźć czegoś lepszego.
3) Ostatnia sprawa: i tak niedługo zabierać się będę do formatowania dysku twardego Mogę prosić o link do jakiegoś poradnika?

Z góry dziękuję i pozdrawiam fanów pierwszego Deus Ex.

[mateo8898]

1. Mogę polecić http://www.instalki.pl/programy/downloa ... owser.html
2. Avira jak najbardziej wystarczy.
3. http://www.stronamini.pl/windows/window ... ws-xp.html