Nie działa Google i okienka Captcha

[radar]

Witam,

od paru tygodni mam problem z komputerem, nie działa strona Google, tzn. przy próbie otwarcia pojawia się napis "404 Not Found" i podpis "nginx", nie działają też okienka Captcha na stronach, które ich używają (aby się zarejestrować na forum musiałem skorzystać z innego komputera, bo nie miałem jak wpisać kodu z okienka). Dodatkowo czasem po kliknięciu na link przekierowujący na inną stronę otwiera się zupełnie inna strona niż powinna, adres zawsze polski, na którą nigdy w życiu nie wchodziłem.

Wszystkie problemy pojawiły się w tym samym czasie, gdy po wejściu na jakąś stronę pojawiło się okienko i pasek jakby się coś ładowało, szybko ją zamknąłem, ale jednak coś zdążyło się zainstalować.

Ponieważ avast nie widzi żadnych wirusów itp., a ja nie jestem "specem" w obsłudze komputera, potrzebuje pomocy.

Wykonałem logi zgodnie z instrukcją i zamieszczam je poniżej.

GMER log.txt

OTL.Txt

Extras.Txt

[picasso]

GMER sugeruje rootkita Virus.Win32.Rloader.a:

 

---- Kernel code sections - GMER 1.0.15 ----
 
.text           atapi.sys           F847E7B4 1 Byte  [CC] {INT 3 }
 
---- Threads - GMER 1.0.15 ----
 
Thread          System [4:120]          822DA0E9
Thread          System [4:328]          8217CC30

 

Uruchom Kaspersky TDSSKiller, wszystkie wyniki opuść opcją Skip i tylko przedstaw log do oceny.

 

 

 

.

[radar]

skan tdsskiller wykonany, log poniżej

tdsskiller log.txt

[picasso]

Wyniki wytypowane 1:1, jest zainfekowany sterownik systemowy:

 

02:26:36.0250 3520	ACPI            (56922f51dde99b23a9c61fd5ac25fd7f) C:\WINDOWS\system32\DRIVERS\ACPI.sys
02:26:36.0250 3520	Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: 56922f51dde99b23a9c61fd5ac25fd7f, Fake md5: a966410ecf83b81f3b0b8e07a71957d4
02:26:36.0250 3520	ACPI ( Virus.Win32.Rloader.a ) - infected
02:26:36.0250 3520	ACPI - detected Virus.Win32.Rloader.a (0)

 

Uruchom TDSSKiller, tym razem dla wyniku Virus.Win32.Rloader.a dobierz akcję Cure, zresetuj system. Przeskanuj za pomocą TDSSKiller ponownie, by upewnić się, że już tego nie znajduje. Sprawdź czy Google zostało odblokowane. Zgłoś się tu z podsumowaniem, to przejdziemy do czyszczenia mniej istotnych śmieci w systemie.

 

 

 

.

[radar]

Naprawa wykonana zgodnie z instrukcją, Google działa i Captcha też, wielkie dzięki

tdsskiller log2.txt

[picasso]

Przechodzimy do "kosmetyki", czyli likwidacja martwych odpadków i wpisów pustych, czyszczenie lokalizacji tymczasowych, usuwanie pliku-ducha na Pulpicie (plik ma wadliwą nazwę, próba jego kasacji standardową drogą zwróci komunikat, że plik nie istnieje):

 

File not found -- C:\Documents and Settings\Admin\Pulpit\CA2VGTQP.

 

Poza tym, masz kolekcję archaicznych programów. Windows jest w złym stanie aktualizacji, ale to zostawiam na koniec po wstępnym sprzątnięciu śmietniska.

 

 

1. Zacznijmy od porządków w programach:

 

SRV - [2005-01-21 22:32:12 | 000,206,552 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe -- (SNDSrvc)
DRV - [2006-02-14 02:48:14 | 000,200,184 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\SymcData\idsdefs\20060807.097\SymIDSCo.sys -- (SYMIDSCO)
DRV - [2005-01-21 22:31:50 | 000,267,384 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\SYMTDI.SYS -- (SYMTDI)
DRV - [2005-01-21 22:31:48 | 000,026,424 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMREDRV.SYS -- (SYMREDRV)
DRV - [2005-01-21 22:31:46 | 000,035,000 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMIDS.SYS -- (SYMIDS)
DRV - [2005-01-21 22:31:44 | 000,172,216 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMFW.SYS -- (SYMFW)
DRV - [2005-01-21 22:31:44 | 000,046,808 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMNDIS.SYS -- (SYMNDIS)
DRV - [2005-01-21 22:31:40 | 000,011,544 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\SYMDNS.SYS -- (SYMDNS)

 

Nieprawidłowo usunięty Symantec. Zastosuj narzędzie Norton Removal Tool.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 21
"{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java™ SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"JRE 1.3.1_03" = Java 2 Runtime Environment Standard Edition v1.3.1_03
 
O16 - DPF: {CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/1.3.1/jinstall-131_03-win.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes "file://C:\WINDOWS\Java\classes\dajava.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)

 

Porządny śmietnik Java. Na początek przez Dodaj / Usuń programy odinstaluj wszystkie Java. Następnie zastosuj JavaRa, który powinien poprawić i załatwić zdezelowane kontrolki.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.6
"{FFFF6D5C-E2F1-4B40-BC89-8923312E89EB}}_is1" = ACE Mega CoDecS Pack
"Ad-Aware SE Personal" = Ad-Aware SE Personal
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"avast" = avast! Free Antivirus
"Divxpack" = Divxpack (remove only)
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.5.2.20
"Yahoo! Toolbar" = Yahoo! Toolbar 

 

Te starocie również do deinstalacji (zaś Yahoo Toolbar to jakiś odpadek) ... Na razie omijam instalacje najnowszych wersji, to potem.

 

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2006-11-21 21:20:55 | 000,067,345 | ---- | M] (GMER) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gmer.sys -- (gmer)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found
O3 - HKU\S-1-5-21-2000478354-343818398-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-2000478354-343818398-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
O3 - HKU\S-1-5-21-2000478354-343818398-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-21-2000478354-343818398-1801674531-1003\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll File not found
O4 - HKLM..\Run: [Clipboard_x] C:\WINDOWS\system32\drivers\csrss.exe File not found
O4 - HKLM..\Run: [Kernel32_sysdamper] C:\WINDOWS\system32\drivers\sysdamp.exe File not found
O4 - HKU\S-1-5-21-2000478354-343818398-1801674531-1003..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found
O4 - HKU\S-1-5-21-2000478354-343818398-1801674531-1003..\Run: [VD]  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2000478354-343818398-1801674531-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16 - DPF: {0000000A-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/A/D/FADB11F1-A66C-43C0-AFCA-1106CF4BA374/wmsp9dmo.CAB" (Reg Error: Key error.)
O16 - DPF: {00000075-0000-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/voxmsdec.CAB (Reg Error: Key error.)"
O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/msaudio.cab (Reg Error: Key error.)"
O16 - DPF: {00000162-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/B/B/0BB06A5C-8611-4840-86B3-54DDDD0344B9/wma9dmo.cab" (Reg Error: Key error.)
O16 - DPF: {3234504D-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/a/0/0/a0043c6c-8cd6-428e-9c9e-01883020f5ce/mpg4dmo.CAB" (Reg Error: Key error.)
O16 - DPF: {32564D57-9980-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/wmv8dmo.cab" (Reg Error: Key error.)
O16 - DPF: {3334504D-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/C/8/0C8EDFAB-30BC-4792-898E-2DABE27B2C4D/mp43dmo.CAB" (Reg Error: Key error.)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab" (Reg Error: Key error.)
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} "http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37963.54125" (Reg Error: Key error.)
 
:Files
C:\Program Files\SweetIM
C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\pubinozi.default\searchplugins\sweetim.xml
C:\Documents and Settings\Admin\Dane aplikacji\Kazaa Lite
del "\\?\C:\Documents and Settings\Admin\Pulpit\CA2VGTQP." /C
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

 

3. Przedstaw nowy log OTL z opcji Skanuj.

 

 

 

 

 

.

[radar]

Niestety poległem już na pierwszym zadaniu, gdyż nie wiem jaki produkt Nortona mam, a do wyboru jest kilka opcji. Jak mogę to sprawdzić?

[picasso]

Narzędzie jest wspólne dla wszystkich wersji, jest podawany ten sam link. Kliknij obojętnie którą starą wersję, a w artykule będzie przycisk "Download".

Edytowane 1 Kwietnia 2012 przez picasso
1.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso