Zmodyfikowany plik HOSTS

ChateaudeJabol · 11 Czerwiec 2012 15:23

Dr. Web CureIt wykrył zmodyfikowany plik HOSTS podczas szybkiego skanu.

Ps. sa 2 opcje : nie i tak. Nie jest podkreslone, nie wiem co kliknac i jak później usunąć tego syfa z kwarantanny

Wczesniej kilka dni zobaczylem na virustotal że strona którą odwiedzam chyba jest zarażona i avira na pełnym skanie wykryła jakiś “ukryty obiekt” i się komp wyłączył ale ogólnie raport skanu pisało że nie wykryto infekcji jak włączyłem na nowo i skonczyło skanować. Dzisiaj nic już nie wykryła, wszystko git, ale dr web … Aha! MBAM jeszcze - ten nic nie wykrył, ale nim skanowałem najwcześniej

– Dodane 11.06.2012 (Pn) 18:07 –

Dobra, dałem na “tak” poprosiło o restart aby wyleczyć infekcje… Teraz zapuszcze pełny skan, szybko nie minie. Jak się skończy to zapodam logi otl

– Dodane 12.06.2012 (Wt) 14:40 –

Witam, to ponownie ja. Zapuściłem skan i znowu wyskoczył ten komunikat, za każdym razem tak się dzieje, na drugim komputerze również, dodam że program przed skanem informuje że ma przestarzałą wersje bazy wirusów ale wątpie aby to było z tym związane a poza tym nie chce mi się go aktualizować bo musiałbym ponownie pobierać a to z moją prędkością trwało by, oj dłuuuugo.

Zapodaje logi z pierwszego kompa (komp stacjonarny - windows xp) Po sprawdzeniu tych logów zapodam logi z drugiego kompa

otl.txt http://wklej.org/id/771849/

extras.txt http://wklej.org/id/771850/

gmer http://wklej.org/id/771851/

(zapodałbym jeszcze raport z dr.weba ale jak próbuje wkleić na wklej.org lub tutaj to net dostaje koszmarnego paraliżu

spandaupol · 12 Czerwiec 2012 14:38

Kasperski i Avira to w końcu na pewno w całości jest Avira więc Kasperski chyba do deinstalacji.

Plik hosts jest zmodyfikowany.

O1 HOSTS File: ([2012-05-23 16:55:04 | 000,604,003 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\HOSTS O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost #[iPv6] O1 - Hosts: 127.0.0.1 fr.a2dfp.net O1 - Hosts: 127.0.0.1 m.fr.a2dfp.net O1 - Hosts: 127.0.0.1 ad.a8.net O1 - Hosts: 127.0.0.1 asy.a8ww.net O1 - Hosts: 127.0.0.1 abcstats.com O1 - Hosts: 127.0.0.1 a.abv.bg O1 - Hosts: 127.0.0.1 adserver.abv.bg O1 - Hosts: 127.0.0.1 adv.abv.bg O1 - Hosts: 127.0.0.1 bimg.abv.bg O1 - Hosts: 127.0.0.1 ca.abv.bg O1 - Hosts: 127.0.0.1 www2.a-counter.kiev.ua O1 - Hosts: 127.0.0.1 track.acclaimnetwork.com O1 - Hosts: 127.0.0.1 accuserveadsystem.com O1 - Hosts: 127.0.0.1 www.accuserveadsystem.com O1 - Hosts: 127.0.0.1 achmedia.com O1 - Hosts: 127.0.0.1 aconti.net O1 - Hosts: 127.0.0.1 secure.aconti.net O1 - Hosts: 127.0.0.1 www.aconti.net #[Dialer.Aconti] O1 - Hosts: 127.0.0.1 am1.activemeter.com #[server down?] O1 - Hosts: 127.0.0.1 www.activemeter.com #[Tracking.Cookie] O1 - Hosts: 127.0.0.1 ads.activepower.net O1 - Hosts: 127.0.0.1 stat.active24stats.nl #[Tracking.Cookie] O1 - Hosts: 127.0.0.1 cms.ad2click.nl O1 - Hosts: 16164 more lines…

ChateaudeJabol · 12 Czerwiec 2012 17:40

Kasperskiego kiedyś miałem ale już bardzo dawno odinstalowałem, więc nie wiem o co chodzi żebym go odinstalował… :?

Log po wykonaniu skryptu http://wklej.org/id/772027/ jest Ok?

Teraz logi z drugiego kompa (notebook windows 7 )

otl http://wklej.org/id/772032/

extras http://wklej.org/id/772034/

gmer - nie chciał działać

Acorus · 12 Czerwiec 2012 18:28

Jakiego skryptu ?

Teraz masz skrypt.

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

– Dodane 12.06.2012 (Wt) 20:36 –

Drugi komputer.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL DRV - File not found [Kernel | Disabled | Stopped] – C:\Windows\System32\Drivers\sptd.sys – (sptd) DRV - File not found [Kernel | On_Demand | Stopped] – -- (lgbusenum) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lgandmodem.sys – (ANDModem) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lgandgps.sys – (AndGps) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lganddiag.sys – (AndDiag) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lgandbus.sys – (Andbus) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.) [2011-11-12 18:56:18 | 000,000,000 | -HSD | M] – C:\Users\User\AppData\Roaming.# :Commands [emptytemp] [resethosts]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

ChateaudeJabol · 13 Czerwiec 2012 12:27

Acorus, wkleiłem w pierwszym kompie do otl to co pisałeś

( tego co kolega wyzej kazał wkleić juz nie wklejałem) I po wykonaniu skryptu wyskoczył błąd coś “cannon create file C:\WINDOWS\system32\drivers\etc\HOSTS” o ile dobrze pamiętam, w kazdym razie błąd. Następnie avira zablokowała jakis hosts i otl się zawiesił więc zresetowałem kompa. Może źle że nie wkleiłem tez tego co kolega wyżej dał. hmm? na pewno miało byc samo

?

Acorus · 13 Czerwiec 2012 12:36

Tak.Pokaż nowe logi OTL.txt

ChateaudeJabol · 13 Czerwiec 2012 12:42

Po uruchomieniu otl wyskoczyło w notatniku to coś http://wklej.org/id/772384/ i avira znowu zblokowała jakiś hosts - cytat z raportu z aviry http://wklej.org/id/772387/ PS Zaraz zapodam nowe logi otl

– Dodane 13.06.2012 (Śr) 14:57 –

Już są: http://wklej.org/id/772398/

spandaupol · 13 Czerwiec 2012 13:05

Proszę użyć kavremover.exe http://support.kaspersky.com/faq/?qid=208279463 po tym pokaż nowy raport OTL.txt usuniemy co pozostało oraz zresetujemy plik hosts.

ChateaudeJabol · 13 Czerwiec 2012 13:09

a jak użyć tego programu? bo w zestawieniu do usunięcia są różne wersje kaspera i różne jego jakieś pliki… oraz opcja “remove all known products”

spandaupol · 13 Czerwiec 2012 13:18

No ale chyba wiesz jaką wersje kasperskiego miałeś zainstalowaną? Pobrałeś program, uruchomiłeś, wpisałeś kod z obrazka?

ChateaudeJabol · 13 Czerwiec 2012 13:25

przepisałem i dałem “remove all known products” po ponownym uruchomieniu kompa wyskoczy szybkił błąd coś "nie można odnaleźc skryptu vbs czy vbc … temp… Ale nie ważne, zaraz zapodam log otl. Jak dalej będa w logach m.in procesu kaspera to juz chyba bede wiedział co zaznaczyć w programie do usunięcia tych procesów

– Dodane 13.06.2012 (Śr) 15:31 –

logi http://wklej.org/id/772425/

– Dodane 13.06.2012 (Śr) 15:56 –

usunęło procesy kaspera? no bo w koncu chce wiedziec czy mam zaznaczyć co innego w programie do usuwania śmieci kaspera czy nie i w końcu oprócz procesów kaspera chce pozbyć się póki co z pierwszego kompa o którym na razie mowa tego hosts’a

spandaupol · 13 Czerwiec 2012 15:44

Będziemy usuwać ręcznie. Proszę wykonać skrypt w trybie awaryjnym windows.

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

ChateaudeJabol · 13 Czerwiec 2012 15:48

zaraz zrobie wg zaleceń

– Dodane 13.06.2012 (Śr) 18:32 –

wykonałem skrypt, tyle, że zapomniałem go wykonać w trybie awaryjnym. avira jak zwykle zablokowała plik hosts a co najgorsze myszka przestała reagować, próbowałem kilka razy podłaczać i nic, nawet w trybie awaryjnym. czy w takim przypadku pozostaje mi tylko format?

spandaupol · 14 Czerwiec 2012 10:13

W sytuacji kiedy nie ma logów trudno mi dokonać analizy. Nie wiadomo czy skrypt się wykonał, a jeśli tak to w jakiej części. Problemy z myszką może powodować Kasperski podobny temat problem-odinstalowaniem-kaspersky-ego-t472387.html

ChateaudeJabol · 14 Czerwiec 2012 14:00

pożyczyłem myszke od kumpla i też nie działa. kupie nową jutro może, to zapodam logi. póki co przeskoczmy do skryptu dla drugiego kompa ktore kilka postów wyżej acorus kazał wleić. pytanie: jak mam uruchomic otla aby go wykonac skoro mam windows 7? jako administrator? bo przy pierwszym uruchomieniu kompa tak zrobiłem wg instrukcji. teraz tak samo mam uruchomic?

Acorus · 15 Czerwiec 2012 13:06

Uruchom jako administrator.Na czas usuwania wyłącz Avirę.

ChateaudeJabol · 15 Czerwiec 2012 13:30

Raport z usuwania http://wklej.org/id/773842/ Zaraz zapodam nowe logi

– Dodane 15.06.2012 (Pt) 16:02 –

otl http://wklej.org/id/773862/

extras http://wklej.org/id/773862/

Acorus · 16 Czerwiec 2012 08:06

W porządku.W OTL użyj opcji Sprzątanie.

ChateaudeJabol · 16 Czerwiec 2012 12:32

Ok, użyję opcji sprzątanie. Jeszcze tylko jedno pytanie. Mogę z kompa usunąć dr.weba i jego folder w którym jest jakis log i oprócz tego podfolder kwarantanny (quarantine) a w nim jakies pliki hosts?

PS sprawa z komputerem w którym przestała reagować myszka jest juz zammknieta, zrobił mi kumpel format i zainstalowałem inną wersję xp, myszka zaczęła działać, a infekcje skoro zrobiłem format chyba usunęło prawda? bo tak i sie wydaje, ale nie wiem co ty o tym sądzisz

Acorus · 16 Czerwiec 2012 12:39

Możesz.Jak był format to niema o czym dyskutować.