Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Weelsof, problem ze znanym wirusem

bthzz

Przez bthzz
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

bthzz

bthzz

Opublikowano
Opublikowano

Witam, mam problem ze znanym wirusem, zainstalowałem avasta, wykonałem skan całego systemu także podczas uruchamiania, ale niestety nic nie pomogło. Nie jestem zbytnio zaawansowanym uzytkownikiem, więc wykonałem krok po kroku wszystkie polecenia z Samouczka z działu bezpieczeństwo i w załączniku dodaję moje logi. Mam nadzieję, że znajdzie się ktoś, kto ma trochę wolnego czasu i chciałby pomóc. Będę wdzięczny:)

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano (edytowane)

Niestety u Ciebie sprawa wygląda gorzej. Tu jest nie tylko Weelsof, ale przede wszystkim wirus Sality infekujący pliki .exe na dysku. Zastosuj się do poniższych zaleceń.

 

1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe MySQL -- (MySQL)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Radek\USTAWI~1\Temp\kfecapod.sys -- (kfecapod)
DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\EAPPkt.sys -- (EAPPkt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Radek\USTAWI~1\Temp\cdiskdun.sys -- (cdiskdun)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pdnhq.sys -- (amsint32)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1342869550_204510
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1342869550_204510
IE - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found
IE - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091"
O3 - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found
O4 - HKU\S-1-5-21-1417001333-1958367476-725345543-1003..\Run: [wsctf.exe] wsctf.exe File not found
O4 - HKU\.DEFAULT..\RunOnce: [Helper] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\PackSetup.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [jia] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\yps.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [Helper] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\PackSetup.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [jia] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\yps.exe (Microsoft Corporation)
O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\4DB5FC.lnk =  File not found
O4 - Startup: C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\DreamMail.lnk =  File not found
O4 - Startup: C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\Netia.lnk =  File not found
O4 - Startup: C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\Opera.lnk = C:\Program Files\Opera\opera.exe (Opera Software)
O4 - Startup: C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\Skrót do PAMIETAJ!.lnk =  File not found
O4 - Startup: C:\Documents and Settings\Radek\Menu Start\Programy\Autostart\Netia.lnk =  File not found
O7 - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
 
:Files
netsh firewall reset /C
C:\WINDOWS\tasks\At*.job
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\ctfmon.lnk
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\S-1-5-21-1417001333-1958367476-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER.EXE"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Przez Panel sterowania odinstaluj: V9 HomeTool

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchamiasz OTL ponownie (wszystkie opcje zaznacz na "Użyj filtrowania"), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl + extras). Daj też znać co pokazał SalityKiller.

Edytowane przez picasso
17.12.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...