Skocz do zawartości

Wirus SALITY... czy to koniec ?


Rekomendowane odpowiedzi

Przed instalacja mialem wrzucone themesy do windowsa, ale na czysto, bez zadnego windows blinds. Co zrobić ?

 

1. To była modyfikacja przez patchowanie uxtheme.dll? Jeśli tak, SP3 podmienia ten plik i należy ponowić patchowanie np. narzędziem UltraUXThemePatcher. Po patchowaniu przeładować styl.

 

2. Alternatywnie: zamiast patchować uxtheme.dll na żywca, można styl nakładać w sposób nieingerencyjny patchując tylko pamięć. Robi to darmowe Allure.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Ok jest, na podsumowanie wszystkich działań wysyłam logi

 

 

A jak już ok jest wszystko z tematami to tego allure moge usunac ? a jak nie usunac to chociaz wylaczyc z autostartu?

 

Results of screen317's Security Check version 0.99.5

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira AntiVir Personal - Free Antivirus

USB FireWall 1.1.3

Antivirus up to date! (On Access scanning disabled!)

```````````````````````````````

Anti-malware/Other Utilities Check:

Ad-Aware

Malwarebytes' Anti-Malware

HijackThis 2.0.2

CCleaner

Java 6 Update 21

Adobe Flash Player 10.1.82.76

````````````````````````````````

Process Check:

objlist.exe by Laurent

Ad-Aware AAWService.exe is disabled!

Ad-Aware AAWTray.exe is disabled!

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

Comodo Firewall cmdagent.exe

Comodo Firewall cfp.exe

````````````````````````````````

DNS Vulnerability Check:

GREAT! (Not vulnerable to DNS cache poisoning)

 

``````````End of Log````````````

 

 

 

btw. a czym zdefragmentować dysk "bezpiecznie" i szybko ? coś polecasz ? najlepiej darmowe oczywiście...

Extras.Txt

OTL.Txt

Odnośnik do komentarza

1. Drobna kosmetyka na koniec. Usunięcie jednego wpisu "not found" i dziwnych plików w Harmonogramie zadań. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper)
[2010-09-08 23:26:18 | 000,000,332 | ---- | M] () -- C:\WINDOWS\Tasks\$~$Sys0$.job
[2010-09-08 23:53:42 | 000,000,332 | ---- | M] () -- C:\WINDOWS\Tasks\$~$Sys1$.job
[2010-09-09 12:33:32 | 000,000,332 | ---- | M] () -- C:\WINDOWS\Tasks\$~$Sys2$.job

 

Rozpocznij przez Uruchom skrypt. Patrz czy zadanie się wykona. Jeśli tak, to skasuj folder C:\_OTL. Logów ogólnych pokazywać nie musisz, załącz tylko ten z usuwania, jeśli będzie w nim jakiś błąd.

 

Ad-Aware AAWService.exe is disabled!

Ad-Aware AAWTray.exe is disabled!

 

Widzę to już któryś raz z kolei, mimo że w OTL usług po Ad-aware brak i program był usuwany. Pokaż mi wyciąg OTL robiony na ograniczonym warunku:

- sekcja Usługi ustawiona na Wszystko, ale wszelkie inne sekcje na Brak, a poszukiwanie plików nowo tworzonych / modyfikowanych na Żadne.

- w polu Własne opcje skanowania /skrypt wpisz słowo msconfig.

Uruchom proces przez opcję Skanuj i załącz log wynikowy.

 

 

2. Podsumowanie:

- Nie widzę śladów infekcji (czy przeskanowałeś na wszelki wypadek Avirą cały dysk systemowy?)

- Dysk zewnętrzny USB noszący zalążki wirusów został sformatowany (możesz go jeszcze zimmunizować w Pandzie poddając go procesowi USB Vaccination)

- System został zabezpieczony (aktualizacje SP3 + IE8, COMODO, Avira, Panda USB Vaccine)

Nie mam tu nic więcej do roboty w zakresie infekcji. Zaś USB FireWall odinstaluj. To jest całkowicie zbędne przy posiadaniu Panda USB Vaccine.

 

A jak już ok jest wszystko z tematami to tego allure moge usunac ? a jak nie usunac to chociaz wylaczyc z autostartu?

 

Ależ nie. Allure, jeśli użyte do załadowania stylu, musi cały czas siedzieć w systemie i ładować się w Autostarcie, by styl się utrzymał. Ta metoda polega na patchowaniu w czasie rzeczywistym w pamięci. Jest to jednak lepsza metoda niż ingerencja w plik uxtheme.dll jako taki, bo każda grubsza aktualizacja XP może plik wyzerować i następuje pewna powtarzalność działań.

 

btw. a czym zdefragmentować dysk "bezpiecznie" i szybko ? coś polecasz ? najlepiej darmowe oczywiście...

 

Masz do wyboru darmowe:

 

Proponuję Puran lub UltimateDefrag. Oba mają opcję Boot Time Defragmentation, umożliwiającą wykonanie także defragmentacji specjalnych plików systemowych nieprzesuwalnych spod Windows.

 

 

 

.

Odnośnik do komentarza

W msconfig są wyłączone obiekty Ad-aware, zresztą są tu i inne śmieci:

 

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Exif Launcher.lnk - C:\Program Files\FinePixViewer\QuickDCF.exe - (FUJI PHOTO FILM CO., LTD.)

MsConfig - StartUpFolder: C:^Documents and Settings^lukasz^Menu Start^Programy^Autostart^Logitech . Rejestracja produktu.lnk - C:\Program Files\Common Files\LogiShrd\eReg\SetPoint\eReg.exe - (Leader Technologies/Logitech)

MsConfig - StartUpReg: Ad-Watch - hkey= - key= - C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe File not found

MsConfig - StartUpReg: EPSON Stylus C45 Series - hkey= - key= - File not found

MsConfig - StartUpReg: EvtMgr6 - hkey= - key= - C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)

MsConfig - StartUpReg: H/PC Connection Agent - hkey= - key= - C:\Program Files\Microsoft ActiveSync\Wcescomm.exe (Microsoft Corporation)

MsConfig - StartUpReg: IMJPMIG8.1 - hkey= - key= - C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)

MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= - File not found

MsConfig - StartUpReg: MSPY2002 - hkey= - key= - File not found

MsConfig - StartUpReg: MSServer - hkey= - key= - File not found

MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found

MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found

MsConfig - StartUpReg: NVIDIA nTune - hkey= - key= - C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe File not found

MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found

MsConfig - StartUpReg: nwiz - hkey= - key= - File not found

MsConfig - StartUpReg: P17Helper - hkey= - key= - File not found

MsConfig - StartUpReg: PHIME2002A - hkey= - key= - File not found

MsConfig - StartUpReg: PHIME2002ASync - hkey= - key= - File not found

MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Program Files\QuickTime\QTTask.exe (Apple Inc.)

MsConfig - StartUpReg: REGSHAVE - hkey= - key= - File not found

MsConfig - StartUpReg: RelevantKnowledge - hkey= - key= - C:\program files\relevantknowledge\rlvknlg.exe File not found

MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Program Files\Common Files\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

MsConfig - StartUpReg: UpdReg - hkey= - key= - File not found

MsConfig - StartUpReg: USBFW - hkey= - key= - C:\Program Files\Net Studio\USB FireWall\USB FireWall.exe File not found

MsConfig - StartUpReg: VirtualCloneDrive - hkey= - key= - File not found

 

Start > Uruchom > regedit i skasuj w całości te dwa kluczyki:

 

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg

 

kurcze ten allure troche obciaza system, nie duzo ale jednak...

 

To już sam oblicz co się bardziej opłaca. Jeśli nie chcesz mieć żadnego dodatkowego procesu ale niedomyślne tematy / style, to zamiennie musisz wykorzystać tę rzeźniczą metodę bezpośredniego patchowania uxtheme.dll. Narzędzie już podałam (UltraUXThemePatcher).

 

 

.

Odnośnik do komentarza
Results of screen317's Security Check version 0.99.5

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira AntiVir Personal - Free Antivirus

Antivirus up to date! (On Access scanning disabled!)

```````````````````````````````

Anti-malware/Other Utilities Check:

Ad-Aware

Malwarebytes' Anti-Malware

HijackThis 2.0.2

CCleaner

Java 6 Update 21

Adobe Flash Player 10.1.82.76

````````````````````````````````

Process Check:

objlist.exe by Laurent

Ad-Aware AAWService.exe is disabled!

Ad-Aware AAWTray.exe is disabled!

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

Comodo Firewall cmdagent.exe

````````````````````````````````

DNS Vulnerability Check:

GOOD! (Not vulnerable to DNS cache poisoning)

 

``````````End of Log````````````

 

 

dalej jest ten wpis, ale chyba on nie szkodzi nic ?

Odnośnik do komentarza

Szkodzić nie szkodzi, ale skoro tak ładnie sprzątamy, to do końca. Zapisy nie zniknęły, to już zostaje ostatnia możliwość = odpadki rejestracyjne we WMI. W gruncie rzeczy od tego powinnam była zacząć. Jeśli to w tym dzieło, w Centrum zabezpieczeń XP powinny stać dane na temat nieistniejącego Ad-aware. Metoda globalna synchronizacji to master reset Repozytorium. Otwórz Notatnik i wklej w nim:

 

net stop winmgmt
rd /s /q C:\WINDOWS\system32\wbem\Repository
net start winmgmt
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

Zresetuj system i sprawdź co powie Security Check.

 

 

 

.

Odnośnik do komentarza

Ok , narazie Avira skanuje po tym wszystkim i jakies wirusy są...

 

A jak bedziesz miala czas to prosze spójrz na Pw ;]

 

~~~~~~~~posty połączone~~~~~~~~

 

No niestety jest duzo syfu... a to tylko ustawione bylo na dysk C: , systemowy...

 

Do tego nawet nie moge odinstalowac firefoxa... NCIS sie włącza, nawet w tym REVO UNINSTALLER :/ kaplica no

scan.txt

Edytowane przez picasso
Odnośnik do komentarza
No niestety jest duzo syfu... a to tylko ustawione bylo na dysk C: , systemowy...

 

Gen Sality został wykryty w SetPoincie Logitecha, reszta plików ma status "patched" i nie wiem do końca do którego z procesów to przyłożyć. Podsumowując raport:

- Cały folder C:\f6dbe46b9dabcbeb88f2ae299dfda5 spokojnie możesz spuścić przez SHIFT+DEL z dysku. Jest to folder tymczasowy dla rozpakowujących się instalacji aktualizacji, tu dla .NET Frameworka. Folder przy próbie kasacji przypuszczalnie zwróci Odmowę dostępu. Jeśli tak będzie, wystarczy mu zresetować uprawnienia (KLIK).

- Do reinstalacji programy: 7-Zip, DAEMON Tools Lite, Dziobas Rar Player, Logitech, Free Download Manager, MBAM, Microsoft ActiveSync, Pando, Total Video Converter.

 

Do tego nawet nie moge odinstalowac firefoxa... NCIS sie włącza, nawet w tym REVO UNINSTALLER :/ kaplica no

 

Przestempluj Firefox: pobierz nowy instalator i uruchom z niego tradycyjną instalację, która się nałoży na starą, to nadpisze pliki i przypuszczalnie umożliwi już normalną deinstalację całkowitą. Zauważ, że deinstalacja nie narusza ustawień w Danych aplikacji.

W podobny sposób możesz postąpić z pozostałymi programami, jeśli ich deinstalatory okażą się uszkodzone (w raporcie Avira nawet widać, że zostały usunięte niektóre pliki odpowiedzialne za deinstalację). Po wykonaniu wszelkich czynności reinstalacyjnych wykonaj ponowny skan Avirą i podaj raport.

 

 

.

Odnośnik do komentarza
Do reinstalacji programy: 7-Zip, DAEMON Tools Lite, Dziobas Rar Player, Logitech, Free Download Manager, MBAM, Microsoft ActiveSync, Pando, Total Video Converter.

 

Ale one wszystkie działają... Nie wiem czy jest sens przeinstalowywać...

 

 

Już z firefoxem sobie poradzilem , pousuwalem z rejestru itp i od nowa zainstalowalem i wrzucilem stary profil, moze teraz bedzie lepiej... a w ogole wiesz gdzie firefox trzyma te wtyczki, zobacz ile z nich nie uzywam i po co maja smiecic tylko... pamietam ze kiedys cos robilem i usuwalem, ale za cholere nie pamietam gdzie...

 

fdssdfi.th.jpg

Odnośnik do komentarza
Ale one wszystkie działają... Nie wiem czy jest sens przeinstalowywać...

 

Oglądałeś raport Avira? ;) Te instalacje są niekompletne, Avira wywaliła pliki tych programów, a niektóre z nich są kluczowe do działania (patrz np. co wywalił z MBAM):

 

Beginning disinfection:

C:\Program Files\Total Video Converter\AtomicParsley.exe

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '4fe79f05.qua'.

C:\Program Files\Pando Networks\Media Booster\uninst.exe

[DETECTION] Is the TR/Crypt.ULPM.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '577ab0bd.qua'.

C:\Program Files\Namco\Puzzle Quest 2\vc2008redist_x86.exe

[DETECTION] Is the TR/Patched.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '056cea5b.qua'.

C:\Program Files\Microsoft ActiveSync\Drivers\Rndis_Update_64.exe

[DETECTION] Is the TR/Patched.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '630da595.qua'.

C:\Program Files\Microsoft ActiveSync\Drivers\Rndis_Update_2k3.exe

[DETECTION] Is the TR/Patched.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '268988ab.qua'.

C:\Program Files\Microsoft ActiveSync\Drivers\Rndis_Update.exe

[DETECTION] Is the TR/Patched.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '5992baca.qua'.

C:\Program Files\Microsoft ActiveSync\WMP10_Update.exe

[DETECTION] Is the TR/Patched.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '151e9661.qua'.

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '6935d6dc.qua'.

C:\Program Files\Logitech\SetPointP\LU\LogitechUpdate.exe

[DETECTION] Contains code of the W32/Sality.Patched Windows virus

[NOTE] The file was moved to the quarantine directory under the name '4475f983.qua'.

C:\Program Files\Logitech\SetPointG\LU\LogitechUpdate.exe

[DETECTION] Contains code of the W32/Sality.Patched Windows virus

[NOTE] The file was moved to the quarantine directory under the name '5d1dc219.qua'.

C:\Program Files\Free Download Manager\Updater.exe

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '315cee2a.qua'.

C:\Program Files\Dziobas Rar Player\gzip.exe

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '40fad7b0.qua'.

C:\Program Files\DAEMON Tools Lite\uninst.exe

[DETECTION] Is the TR/Patched.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '4ee0e77b.qua'.

C:\Program Files\Creative\Shared Files\CTRegSvr.exe

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '0be09edf.qua'.

C:\Program Files\Common Files\LogiShrd\Unifying\LU\LogitechUpdate.exe

[DETECTION] Contains code of the W32/Sality.Patched Windows virus

[NOTE] The file was moved to the quarantine directory under the name '02c09a91.qua'.

C:\Program Files\7-Zip\7z.exe

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '5ac683f7.qua'.

 

a w ogole wiesz gdzie firefox trzyma te wtyczki, zobacz ile z nich nie uzywam i po co maja smiecic tylko... pamietam ze kiedys cos robilem i usuwalem, ale za cholere nie pamietam gdzie...

 

Pliki wtyczek są w C:\Program Files\Mozilla Firefox\plugins. Dokładne dane który plik do jakiej wtyczki pasuje pobierzesz wklepując w pasku adresów Firefox about:plugins.

 

 

 

.

Odnośnik do komentarza

1. Popatrz jeszcze do katalogu użytkownika:

 

C:\Documents and settings\Konto\Dane aplikacji\Mozilla\plugins

 

2. Może być i tak, że plik wtyczki leży w katalogu aplikacji macierzystej a nie Firefoxa (tak jest np. z wtyczką Shockwave Flash, która siedzi w system32).

 

Start > Uruchom > regedit i wyeksportuj mi tu do wglądu kluczyk:

 

HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins

 

 

.

Odnośnik do komentarza
nie mam takiego folderu....

 

Może go nie być. Tam lądują tylko niektóre wtyczki. U mnie w tym katalogu siedzi samotnie tylko wtyczka Google Talk.

 

screen z rejestru

 

Prosiłam o eksport REG a nie screen. Eksport pokaże mi rekursywnie całą zawartość klucza, włącznie z podkluczami każdej wtyczki i precyzyjnymi ścieżkami dostępu do plików. Proszę zedytuj post wyżej i doczep zawartość eksportu.

Póki co: widzę prawie wszystkie wtyczki, które są wyłączone. W każdym kluczu wtyczki należy sprawdzić do jakiej ścieżki kieruje wpis Path, odwiedzić tę lokalizację i upewnić się że pliku nie ma (a nawet jeśli jest, to bez znaczenia, bo wtyka jest wyłączona), a następnie skasować klucze tych wtyczek z rejestru.

 

EDIT:

 

Jak widać, pliki wtyczek są wedle przewidywań w katalogach macierzystych aplikacji / system a nie Firefox:

 

Nazwa klucza:      HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Google.com/GoogleEarthPlugin

Wartość 5

Nazwa: Path

Typ: REG_SZ

Dane: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll

 

 

 

Nazwa klucza: HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@nexon.net/NxGame

Wartość 0

Nazwa: Path

Typ: REG_SZ

Dane: C:\Documents and Settings\All Users\Dane aplikacji\NexonUS\NGM\npNxGameUS.dll

 

 

 

Nazwa klucza: HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@ngm.nexoneu.com/NxGame

Wartość 0

Nazwa: Path

Typ: REG_SZ

Dane: C:\Documents and Settings\All Users\Dane aplikacji\NexonEU\NGM\npNxGameeu.dll

 

 

 

Nazwa klucza: HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@ogplanet.com/npOGPPlugin

Wartość 4

Nazwa: Path

Typ: REG_SZ

Dane: C:\WINDOWS\system32\npOGPPlugin.dll

 

 

Nazwa klucza: HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@tools.google.com/Google Update;version=8

Wartość 0

Nazwa: Path

Typ: REG_SZ

Dane: C:\Program Files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

 

Zamknij Firefox.

 

Start > Uruchom > regedit i po prostu skasuj te klucze z prawokliku:

 

HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Google.com/GoogleEarthPlugin

HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@nexon.net/NxGame

HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@ngm.nexoneu.com/NxGame

HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@ogplanet.com/npOGPPlugin

HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@tools.google.com/Google Update;version=8

 

Następnie wykasuj ten plik z dysku:

 

C:\Documents and settings\Konto\Mozilla\Firefox\Profiles\Profil Liska\pluginreg.dat

 

Zastartuj Firefox.

 

 

 

 

.

Odnośnik do komentarza

Ok to porobione, tydzien się bawiliśmy ;] ale DZIĘKUJĘ CI SERDECZNIE, jakbym miał okazje i mieszkała byś bliżej to odwdzięczył bym się jakoś "ładniej", ale nie mam możliwości i mogę tylko słownie podziękowac...

 

A wniosek taki - nie podlączaj dysków zewnętrznych do złomów w szkole... ;]

Edytowane przez picasso
Temat wygląda na ukończony, toteż go zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...