Strony www nie ładują się. Avast twierdzi: url:mal

[Dalas]

Dzień dobry!

Na wstępie, przed opisaniem problemu chcę z wyprzedzeniem serdecznie podziękować za udzieloną mi pomoc, ewentualnie chęć pomocy.

 

Co się dzieje? Kilka dni temu osoba używająca dany komputer zwróciła się do mnie z prośbą o pomoc, ponieważ "mimo sygnału nie działa Internet". Na szczęście obawy okazały się przesadzone, blokowane są tylko niektóre strony, zwłaszcza googlowskie.

Po włączeniu przeglądarki (próbowałem Firefox, Chrome i IE) nie można połączyć się z wyszukiwarką google. Przy każdej próbie wyskakiwało okienko Avasta z ostrzeżeniem "url:mal". Myślałem, że to Avast coś blokuje i próbowałem dać wyjątek w jego ustawieniach dla strony google, później wyłączałem antywirusa, niestety bez efektów. Ostatecznie odinstalowałem go i zainstalowałem AVG, przeskanowałem komputer. Oczywiście komunikat Avasta już się nie pojawia, ale połączyć się ze stroną nadal nie można.

 

Jest też inny objaw, nie mam pojęcia czy powiązany z pierwszym. Po włączeniu systemu pojawia się komunikat "Ścieżka 'C:\Documents and settings\user\winlogon.exe' nie istnieje lub nie określa katalogu." Po kliknięciu "ok" wyskakuje drugie okienko "System Windows nie może odnaleźć pliku 'C:\Documents and settings\user\winlogon.exe'. Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie. Aby wyszukac plik, kliknij przycisk Start, a następnie kliknij polecenie Wyszukaj"

 

Z tego co się dowiedziałem to komunikaty pojawiały się już kilka dni przed 'googlowską awarią' i system funkcjonował bez zarzutów, dodaję go jednak zapobiegawczo do opisu pierwszego błędu. Mam nadzieję, że uda się rozwiązać problem. Dołączam logi.

 

 

 

 

Results of screen317's Security Check version 0.99.50

Windows XP Service Pack 3 x86

Internet Explorer 7 Out of date!

``````````````Antivirus/Firewall Check:``````````````

Windows Security Center service is not running! This report may not be accurate!

Czekaj, aľ zostanie zainstalowany program WMIC.

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

Adobe Flash Player 11.1.102.62

Adobe Reader 8 Adobe Reader out of Date!

Mozilla Firefox (15.0.1)

Google Chrome 21.0.1180.83

Google Chrome 21.0.1180.89

````````Process Check: objlist.exe by Laurent````````

AVG avgwdsvc.exe

AVG avgtray.exe

AVG avgrsx.exe

AVG avgnsx.exe

AVG avgemc.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

Extras.Txt

gmer.txt

OTL.Txt

[picasso]

GMER wskazuje, że w systemie jest rootkit Rloader. Charakterystyczne znaki jego działania to właśnie blokada Google oraz niedziałające pola Captcha. Są także odpadki innej infekcji, skutkujące owymi kumunikatami o braku winlogon.exe, ale to puste wpisy. To rootkit jest odpowiedzialny za podstawowe problemy.

 

 

1. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a dobierz akcję Cure. System zostanie zresetowany. Na dysku C powstanie log Kasperskiego.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-839522115-1292428093-1417001333-1003..\Run: [winlogon] C:\Documents and Settings\A. Dalaszyński\winlogon.exe File not found
O7 - HKU\S-1-5-21-839522115-1292428093-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O37 - HKU\S-1-5-21-839522115-1292428093-1417001333-1003\...exe [@ = exefile] -- Reg Error: Key error. File not found
 
:Reg
[HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\529C50A84B7D4CF900038E2C0CDF108C
C:\Documents and Settings\A. Dalaszyński\uidsave.dat
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), GMER, Farbar Service Scanner. Dołącz log z usuwania TDSSKiller.

 

 

 

.

[Dalas]

Już zauważyłem, że blokada Google została usunięta. A jeśli komunikaty są pozostałością po innej infekcji to w jaki sposób je "wyłączyć"?

FSS.txt

gmer.txt

OTL.Txt

TDSSKiller.2.8.8.0_09.09.2012_14.57.21_log.txt

[picasso]

A jeśli komunikaty są pozostałością po innej infekcji to w jaki sposób je "wyłączyć"?

 

Tym się zajęłam w skrypcie OTL. Będzie jedna poprawka, bo nie wszystko się wykonało.

 

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Start > Uruchom > services.msc. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatyczny.

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie + przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj skanowanie kombinacją Malwarebytes Anti-Malware + Kaspersky Virus Removal Tool. Jeżeli coś wykryją, przedstaw raporty z tymi wynikami.

 

 

 

 

.

[Dalas]

Pierwsze z dwóch okienek przestało się pojawiać. Teraz wyskakuje tylko:

"System Windows nie może odnaleźć pliku 'C:\Documents and settings\user\winlogon.exe'. Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie. Aby wyszukac plik, kliknij przycisk Start, a następnie kliknij polecenie Wyszukaj".

 

Kasperski nic nie wykrył, a Malwarebytes coś znalazł.

mbam-log-2012-09-10 (10-19-19).txt

[picasso]

Teraz wyskakuje tylko:

"System Windows nie może odnaleźć pliku 'C:\Documents and settings\user\winlogon.exe'.

 

Ponów FIX.REG o zawartości:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

 

To zlikwiduje ten wynik w MBAM:

 

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent) -> Data: explorer.exe "C:\Documents and Settings\A. Dalaszyński\winlogon.exe" -> Nie wykonano akcji.

 

 

Kasperski nic nie wykrył, a Malwarebytes coś znalazł.

 

Jak mówię wyżej: wynik Trojan.Agent z głowy, do usunięcia zostanie wynik Malware.Trace. Natomiast zespół PUM.Disabled.SecurityCenter (wyłączone powiadomienia Centrum zabezpieczeń) jest zależny od interpretacji, kto/co prowadziło tę modyfikację.

 

 

 

.

[Dalas]

Problem rozwiązany. Bardzo serdecznie dziękuję za pomoc i poświęcony czas. W ramach podziękowań zobowiązuję się porządnie za Panią pomodlić. Życzę wielu sukcesów!

[picasso]

Na zakończenie:

 

1. Ponów czyszczenie folderów Przywracania systemu, gdyż zaistniały tu nowe zmiany konfiguracyjne.

 

2. Zaktualizuj co należy: KLIK. A chodzi mi o:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj SP3

 

3. Prewencyjnie zmień hasła logowania w serwisach.

 

 

 

.