Pozorny brak pliku hosts, prawdopodobnie po infekcji

Kliko · 23 Październik 2012 17:02

Witam, to mój pierwszy post na forum.

Mój problem jest bardzo podobny (albo i identyczny) do tego http://forum.dobreprogramy.pl/brak-pliku-hosts-t409405.html

Polega on na tym, w folderze C:\Windows\system32\drivers\etc nie mam pliku hosts (lub go nie widzę). Jest za to hosts.txt, jednak są to dwa inne pliki, gdyż:

mogę wejść do pliku hosts używając opcji “uruchom” lub po prostu wklepując ścieżkę dostępu i treść tego pliku jest nieco inna niż pliku hosts.txt.
Nie mogę blokować żadnych stron za pomocą pliku hosts.txt

Treść pliku hosts:

# Copyright (c) 1993-2006 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host


127.0.0.1 localhost

::1 localhost









































































































































































































68.168.222.227 www.google-analytics.com.

68.168.222.227 ad-emea.doubleclick.net.

68.168.222.227 www.statcounter.com.

108.163.215.51 www.google-analytics.com.

108.163.215.51 ad-emea.doubleclick.net.

108.163.215.51 www.statcounter.com.

Jak widać, na samym końcu są podejrzane adresy, które chciałbym usunąć. Chciałbym również dodać pewną stronę do listy blokowanych stron.

Próbowałem już wielu rzeczy, np. przez konto administratora (aktywowane w cmd) próbowałem zmienić nazwę pliku hosts.txt na hosts bez rozszerzenia, lecz nie mogłem tego zrobić. Mogłem tylko anulować czynność lub zmienić nazwę na hosts(2).

Plik hosts prawie na pewno ma atrybuty tylko do odczytu i ukryty.

Zapomniałem dodać, że mam ustawioną opcję widzenia ukrytych plików i folderów.

Wklejam logi z OTL i GMER’a, mam nadzieję, że pomogą.

Skanowanie w OTL’u robiłem przy takich ustawieniach - http://i.imgur.com/igCZU.png

OTL: http://wklej.to/SlgK6

Extras: http://wklej.to/4evSs

GMER: Nic nie wykrył, więc nie mam co wklejać.

Pomóżcie

@EDIT

Poprawiona literówka.

Atis · 23 Październik 2012 17:18

Odinstaluj Veoh Web Player Toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM…\URLSearchHook: {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Program Files (x86)\Veoh_Web_Player\prxtbVeo0.dll (Conduit Ltd.) [2012-10-13 16:31:55 | 000,000,000 | —D | M] (QuickStores-Toolbar) – C:\Program Files (x86)\mozilla firefox\extensions\quickstores@quickstores.de O2 - BHO: (Veoh Web Player Toolbar) - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Program Files (x86)\Veoh_Web_Player\prxtbVeo0.dll (Conduit Ltd.) O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (Veoh Web Player Toolbar) - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Program Files (x86)\Veoh_Web_Player\prxtbVeo0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKLM…\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found [2012-10-19 16:10:47 | 000,000,000 | —D | C] – C:\Program Files\Babylon [2012-10-19 16:10:47 | 000,000,000 | —D | C] – C:\Program Files (x86)\Babylon [2012-10-23 17:19:24 | 000,000,000 | —D | C] – C:\ProgramData\abelhadigital.com [2012-10-23 17:19:24 | 000,000,000 | —D | C] – C:\Users\Michał2\AppData\Roaming\abelhadigital.com [2010-10-16 12:18:09 | 002,944,904 | ---- | C] (Ask) – C:\Program Files (x86)\Common Files\AskToolbarInstaller.exe :Files C:\Windows\SysNative\drivers\etc\hosts :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

Leon1 · 23 Październik 2012 17:27

masz plik w tej lokalizacji,jest ukryty

zawiera te adresy

jeśli chcesz go zresetować to zostaw skrypt który podam nienaruszony

jeśli nie to usuń ze skryptu linijkę

na samym dole

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL IE - HKLM…\URLSearchHook: {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Program Files (x86)\Veoh_Web_Player\prxtbVeo0.dll (Conduit Ltd.) FF - HKLM\Software\MozillaPlugins@vividas.com/npVividasPlayer: C:\Program Files (x86)\Vividas\Player\npVividasPlayer.dll File not found O2 - BHO: (Veoh Web Player Toolbar) - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Program Files (x86)\Veoh_Web_Player\prxtbVeo0.dll (Conduit Ltd.) O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (Veoh Web Player Toolbar) - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Program Files (x86)\Veoh_Web_Player\prxtbVeo0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKLM…\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found [2012-10-19 16:10:47 | 000,000,000 | —D | C] – C:\Program Files\Babylon [2012-10-19 16:10:47 | 000,000,000 | —D | C] – C:\Program Files (x86)\Babylon [2010-10-16 12:18:09 | 002,944,904 | ---- | C] (Ask) – C:\Program Files (x86)\Common Files\AskToolbarInstaller.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [RESETHOSTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

Kliko · 23 Październik 2012 20:35

Dzięki

Atis , Leon$.

Problem chyba już minął. Polegał on na tym, że pojawiały mi się reklamy na stronach, które normalnie nie miały reklam w kodzie źródłowym.

Po przejrzeniu kodu reklamy doszedłem do wniosku, że muszę zablokować jeden adres i będzie klawo. Oczywiście ten wirus zablokował mi dostęp do pliku hosts (już się pojawił, dzięki:D).

Program Anti-malware, który podałeś Atis, znalazł jakieś 3 śmiecie, już je usunąłem.

Póki co nie wyświetlają mi się żadne reklamy, chyba już wszystko gra.

Jeszcze potestuje kilka dni i zobacze, czy faktycznie jest tak jak być powinno.

Nowe logi, o które prosił Leon$:

OTL: http://wklej.to/OJyYU

Extras: http://wklej.to/Ey1J1

– Dodane 25.10.2012 (Cz) 14:55 –

Wirus usunięty, jednak mam kolejny problem - dodałem do pliku hosts taki adres http://www.find-allyouneed.com/, jednak nie jest on blokowany. Plik hosts wygląda tak:

127.0.0.1 localhost

::1 localhost

127.0.0.1 www.find-allyouneed.com/

127.0.0.1 find-allyouneed.com/

I ma status tylko do odczytu.

– Dodane 30.10.2012 (Wt) 17:25 –

Nikt nie wie?