Podejrzenie infekcji

[atasuke]

Witam

Koleżanka poprosiła mnie bym zobaczył co dzieje się z jej laptopem. Po ogólnych oględzinach stwierdziłem że strona główna została podmieniona na (starships) , plik hosts został nadpisany ,Avast w ogóle nie działa ,aktualizacje w ogóle nie robione .

Zamieściłem ten temat tutaj by upewnić się czy coś się nie wkradło przy tak zaniedbanym sprzęcie.

Windows tego cuda jest 32 bitowy.

 

Przedstawiam logi z OTL oraz Gmer:

OTL.Txt

Extras.Txt

gmer.txt

[Landuss]

Infekcji aktywnej nie notuję w logach. Jedynie szczątki do usuwania.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1"
IE - HKLM\..\SearchScopes\{DC3B1A03-C24E-45D1-A69F-AD99E364F4CD}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\..\SearchScopes\{DC3B1A03-C24E-45D1-A69F-AD99E364F4CD}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\..\SearchScopes\{E0834B3D-0C72-4568-9162-1096C316D4A0}: "URL" = "http://findgala.com/?&uid=2121&q={searchTerms}"
IE - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25531
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1"
FF - prefs.js..keyword.URL: "http://www.scanquery.com/?tmp=nemo_results_removelink&prt=ScnqryPB&keywords="
[2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Renata2\AppData\Roaming\mozilla\firefox\profiles\e7fm0c78.default\searchplugins\startsear.xml
O3 - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript File not found
O7 - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 1
[2012-09-06 17:58:02 | 000,000,000 | ---D | C] -- C:\Users\Renata2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
[2012-09-05 20:31:41 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF981B01D03D0051C06B2F3B707C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: ShopperReports

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[atasuke]

Wykonałem zalecenia i daje log z OTL:

 

Ale sa następujące problemy:

gdy w w dowolną przeglądarke wpisze google atomatycznie przekierowuje mnie na jakąś inna strone,natomiast po wpisaniu www.google.com

wypisuje mi coś takiego

 

"Podczas łączenia z serwerem www.google.pl wystąpił błąd.

SSL otrzymał rekord przekraczający największą dozwoloną długość.

(Kod błędu: ssl_error_rx_record_too_long)

Żądana strona nie może zostać wyświetlona, ponieważ nie udało się potwierdzić

autentyczności otrzymanych danych.

Należy skontaktować się z właścicielem witryny i poinformować go o tym problemie albo

skorzystać z opcji "Zgłoś niedziałającą witrynę" w menu Pomoc."

[Landuss]

Co do Google to problem stanowi plik HOSTS. Zresetuj ten plik do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK

 

Sprawdź czy pomogło i przejdziemy dalej.

[atasuke]

Nie pomogło narzędzie z microsoftu nie zaistalowało się wywala: kod błędu 2738 .

Próbowałem tym alternatywnym co jest pod spodem ale przy zmianie nazwy na hosts.old wywala że nie może tego pliku zamienić , i pisze odmowa dostępu chociaż zezwolilem mu by wykonał zadanie jako admin.

[picasso]

Ten plik z pewnością jest zablokowany przez uprawnienia.

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\System32\drivers\etc\hosts

 

Klik w Unlock. Po tym dopiero zapuszczasz resetujący automat Fix-it MS.

 

2. Nie usunął się folder po tworze Live Security Platinum, w preferencjach Firefox jest też resztka adware ScanQuery, a na OTL jest nałożony jakiś dziwny Debugger. Zapuść skrypt OTL o postaci:

 

:OTL

FF - prefs.js..extensions.enabledItems: {DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}:1.0
 
:Files
C:\ProgramData\036DFF981B01D03D0051C06B2F3B707C
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OLT.exe]

 

 

.

[atasuke]

Instalator w dalszym ciagu nie działał dlatego spróbowałem jeszcze raz tej drugiej możliwości i udało się plik hosts jest sprawny i działa jak należy.

Wykonałem też skrypt który zaleciłaś daje log z tego co robił:

 

========== OTL ==========

Prefs.js: {DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}:1.0 removed from extensions.enabledItems

========== FILES ==========

C:\ProgramData\036DFF981B01D03D0051C06B2F3B707C folder moved successfully.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OLT.exe\ deleted successfully.

 

OTL by OldTimer - Version 3.2.61.0 log created on 09082012_111228

[picasso]

Teraz oczywista faza:

 

1. Porządki: w AdwCleaner zastosuj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Czy to nadal ma miejsce:

 

Avast w ogóle nie działa ,aktualizacje w ogóle nie robione .

 

 

.

 

[atasuke]

3. Czy to nadal ma miejsce:

Avast w ogóle nie działa ,aktualizacje w ogóle nie robione .

 

Z tym dam rade już ściagnołem Microsoft security i powinno pomóc

Dziekuje za pomoc

[picasso]

Na wszelki wypadek: Avast Uninstall Utility. I jeszcze się upewnię, czy plik HOSTS doprowadziłeś do takiej zawartości defaultowej dla Vista:

 

127.0.0.1       localhost
::1             localhost

 

 

.

[atasuke]

Do pliku host wkleiem taką treść:

# Copyright © 1993-2006 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

 

127.0.0.1 localhost

::1 localhost

 

Oraz odinstalowałem tym narzędziem co podałaś: Avasta.

[picasso]

Czyli jest OK. Rozumiem, że temat mogę zamknąć i tak też czynię.