Google 404 Not Found + nginx

[karolis]

Witam serdecznie,

 

Bardzo proszę o pomoc w rozwiązaniu problemu.

Problem jak w temacie, przy próbie zastosowania wyszukiwarki Google na dowolnych przeglądarkach wyskakuje error: 404 not found nginx

Wyszukałam już kilka podobnych tematów na tym Forum (hxxp://www.fixitpc.pl/topic/5225-zablokowane-google-404-not-found/) i jak widzę konieczne są dodatkowe skrypty do usunięcia tych infekcji.

Załączam logi z OTL (wykonane zgodnie z instrukcją zamieszczoną na stronie).

 

Pozdrawiam,

karolis

Extras.Txt

OTL.Txt

[picasso]

Zabrakło trzeciego obowiązkowego loga z GMER. W logach z OTL nie widać nic związanego z infekcją, a jedyne co tu jest atypowe to atrybuty pliku HOSTS:

 

[2011-10-07 09:04:18 | 000,000,761 | RHS- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

 

Plik jest ukryty. Wejdź do katalogu C:\WINDOWS\System32\drivers\etc i powiedz mi czy przypadkiem nie widać tam nieukrytego pliku, który niby wygląda w nazwie jak "hosts". Szczegółowe potwierdzenie dla mnie via skan, uruchom OTL i wszystkie opcje ustaw na Brak + Żadne, a w polu Własne opcje skanowania / skrypt wklej:

 

:Files
DIR /A C:\WINDOWS\System32\drivers\etc /C

 

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log.

 

 

.

[karolis]

Weszłam do katalogu, odznaczyłam ukrycie plików i folderów i jedyne co znalazłam to nieukryty plik o nazwie "lmhosts" format SAM.

 

Wykonałam skan OTL zgodnie z zaleceniami, zamieszczam loga.

Postaram się ściągnąć GMER'a i zrobić jeszcze dzisiaj skan.

 

Przepraszam za ślimacze tempo, ale to komp w pracy i w międzyczasie muszę pracować

 

Pozdrawiam,

karolis

OTL_2.Txt

[picasso]

Tak, wg spisu nie ma tu żadnego duplikatu. Toteż oczekuję na log z GMER. Tylko zdejmij atrybuty z pliku HOSTS, gdyż plik nie powinien być ukryty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
attrib -r -s -h C:\WINDOWS\System32\drivers\etc\hosts /C

 

Klik w Wykonaj skrypt (a nie Skanuj!).

 

 

 

.

[karolis]

Skrypt OTL wykonany.

 

Skan GMER zrobiony, log w załącznikach (zgodnie z wytycznymi).

 

Pozdrawiam,

karolis

GMER.txt

[picasso]

Skan jest mocno podejrzany, tu moim zdaniem siedzi rootkit (co tłumaczyłoby zachowania strony Google). Zwłaszcza te fragmenty to sugerują (atapi.sys jest spatchowany):

 

---- Kernel code sections - GMER 1.0.15 ----
 
.text           atapi.sys           F847D852 1 Byte  [CC] {INT 3 }
 
---- Threads - GMER 1.0.15 ----
 
Thread          System [4:136]           8230216D
Thread          System [4:796]           81DBEB90

 

Sięgnijmy po alternatywną opinię. Wykonaj skanowanie w Kaspersky TDSSKiller, ale jeśli cokolwiek zostanie wykryte, jeszcze nie podejmuj żadnej akcji leczenia i wszystkim wynikom przyznaj akcję Skip. Przedstaw log tekstowy.

 

 

 

.

[karolis]

Wykonałam skanowanie, znalazł jedną pozycję, dałam Skip.

Przedstawiam raport.

Kaspersky.txt

[picasso]

15:15:28.0940 3848	ACPI            (d31241e64dba17d1642739993e14d2f3) C:\WINDOWS\system32\DRIVERS\ACPI.sys
15:15:28.0960 3848	Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: d31241e64dba17d1642739993e14d2f3, Fake md5: 05118282f5d039595a2b92b4a4afe197
15:15:28.0970 3848	ACPI ( Virus.Win32.Rloader.a ) - infected
15:15:28.0970 3848	ACPI - detected Virus.Win32.Rloader.a (0)

 

Kaspersky rozpoznaje zagrożenie rootkit. Uruchom go ponownie, ale tym razem dla tego zagrożenia pozostaw domyślną opcję przyznaną przez Kasperskiego (powinno to być Cure) i zresetuj system. Po restarcie zrób nowy log z GMER oraz sprawdź co mówi Kaspersky.

 

 

 

.

[karolis]

Zrobiłam wszystko zgodnie z zaleceniem.

Zamieszczam log z GMER.

Kaspersky nie pokazał żadnego zagrożenia.

 

Google działa!

Dziękuję bardzo za pomoc i bije pokłony

 

Pozdrawiam,

karolis

GMER_2.txt

[picasso]

Jest dobrze, w GMER ustąpiły wszystkie modyfikacje, tam teraz tylko widać ślady akcji Kasperskiego.

 

1. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

2. Wykonaj dla pewności rozszerzone skanowanie za pomocą Kaspersky Virus Removal Tool. Jeśli coś infekcyjnego znajdzie, przeklej wyniki (omiń wszystko co OK / Archive / Packed / Password Protected).

 

 

 

.

[karolis]

1. Przywracanie Systemu - zrobione zgodnie z instrukcją.

2. Skan Kaspersky Virus Removal Tool nie pokazał żadnych zagrożeń.

 

Dziękuję raz jeszcze

 

Pozdrawiam,

karolis

[picasso]

Kaspersky Virus Removal możesz odinstalować, o ile już to się nie stało (nowa wersja autodeinstaluje się przy zamykaniu interfejsu). Na koniec zaktualizuj aplikacje, co jest istotne pod kątem uszczelniania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 11
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu 10" = Gadu-Gadu 10
"Mozilla Thunderbird (3.1.10)" = Mozilla Thunderbird (3.1.10)

 

- Wymienione tu programy zaktualizuj: INSTRUKCJE.

- Może Cię zainteresuje wymiana ciężkiego GG10. Poczytaj temat Darmowe komunikatory. Propozycje: AQQ, Kadu, WTW, Miranda.

 

 

I temat uznaję za zakończony.

 

 

.