Prawdopodobna infekcja / zmieniony plik hosts

rafor4 · 1 Wrzesień 2012 10:53

Witam. Dzisiaj po pracy przy komputerze i ściągnięciu paru plików nagle przeglądarka przestała działać. Wszystkie otwierane strony po prostu się nie otwierały. Proste adresy typu www.google.pl lub www.wp.pl były zablokowane. Dłuższe i mniej znane strony jak http://www.piriform.com/CCLEANER otwierały się. Postanowiłem sprawdzić plik hosts i było w nim z 250 linijek: xxx.xxx.xxx.xxx (adres ip) www.wp.pl, google.pl itp. itd. Po prostu wszystkie strony były zablokowane w pliku hosts. Plik hosts zamieniłem na domyślny jednak chciałbym wiedzieć czy na komputerze nie mam jakiejś infekcji.

Skan otl.txt:

http://wklej.org/id/822739/

Skan extras.txt:

http://wklej.org/id/822742/

Acorus · 1 Wrzesień 2012 12:04

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\wanatw4.sys – (wanatw) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] – D:\Program Files\MediaCoder\SysInfo.sys – (CrystalSysInfo) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\ADMINI~1.MIC\USTAWI~1\Temp\catchme.sys – (catchme) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\DSA~1.MIC\USTAWI~1\Temp\ALSysIO.sys – (ALSysIO) IE - HKU\S-1-5-21-1214440339-1993962763-839522115-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?l=dis&o=102876&gct=hp IE - HKU\S-1-5-21-1214440339-1993962763-839522115-1005…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = http://isearch.avg.com/search?cid={049F4C0C-F8D2-4DC8-85D8-9FE6206B2958}&mid=2165fc1a416b47d19605d16c64c073ea-ad1491be2ce6c122f6b66faa90e70c2decf7d34c〈=en&ds=qw011&pr=sa&d=2012-07-04 18:46:19&v=11.1.0.12&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-1214440339-1993962763-839522115-1005…\SearchScopes{C9203D16-856C-4511-9B94-8D01FA28D241}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=&apn_ptnrs=6G&apn_dtid=YYYYYYYYPL&apn_uid=25df3f09-95e4-46d7-80bc-eb0e014f7fda&apn_sauid=E51E04FB-5659-44EB-92AC-934B32CB9035 [2012-03-28 11:20:22 | 000,002,355 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKU\S-1-5-21-1214440339-1993962763-839522115-1005…\Run: [Facebook Update] C:\Documents and Settings\dsa.MICHAL-KOMPUTER\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) [2012-08-31 19:33:00 | 000,001,004 | ---- | M] () – C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1214440339-1993962763-839522115-1005Core.job [2012-08-31 22:33:00 | 000,001,026 | ---- | M] () – C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-1214440339-1993962763-839522115-1005UA.job :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.

.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”

rafor4 · 1 Wrzesień 2012 13:12

Skan wyszedł czysty czyli jednak nic nie siedziało ? A jeśli tak to co zmieniło tak plik hosts żeby blokować wszystkie strony ?