polska Opublikowano 30 Listopada 2012 Zgłoś Udostępnij Opublikowano 30 Listopada 2012 Witam! Proszę o sprawdzenie logów, ponieważ komputer strasznie mi wolno chodzi. OTL: http://wklej.org/id/884161/ Extras: http://wklej.org/id/884163/ Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 (edytowane) Niestety niedobre wieści. Pomijając już fakt, że system zabrudzony adware, w systemie działa wirus Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Jego obecność zdradza m.in. ten sterownik: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\renm.sys -- (amsint32) Infekcja jest drastyczna i przy nipowodzeniu jej leczenia może być wymagany format wszystkich dysków. 1. Wstępne czyszczenie (nie przerwie infekcji Sality) + nałożenie blokady na uruchamianie plików autorun.inf. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Files autorun.inf /alldrives C:\Documents and Settings\Adam\Dane aplikacji\Babylon C:\Documents and Settings\Adam\Dane aplikacji\Toolbar4 C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\~Browser Manager C:\Documents and Settings\Adam\Dane aplikacji\Mozilla C:\Program Files\Mozilla Firefox C:\WINDOWS\tasks\Norton Security Scan for Adam.job :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={3F6F7C77-B41E-4A8C-93C1-DE734B642871}" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.funmoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=117242&tt=4712_3&babsrc=SP_ss&mntrId=8c6f90ab000000000000000c6e6eaf62" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=CLM&o=15427&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=LE&apn_dtid=YYYYYYYYPL&apn_uid=8e1a5088-e713-4626-95d5-8c5b454ca6f6&apn_sauid=8CAB14C6-BE0F-4F1D-8718-A8E3F2343108" IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=8c6f90ab000000000000000c6e6eaf62&tlver=1.4.19.19&ss=1&affID=17981" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}" IE - HKCU\..\SearchScopes\{665FF225-2C7D-404E-AF9B-0F3AB286281B}: "URL" = "http://www.bing.com/search?q={searchTerms}&r=" IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?aff=114&q={searchTerms}" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={AEBD11B9-8020-427A-B0C7-261C9630E2D0}&mid=107f0b24fcda47d08d2fd145288a4691-b602d594afd2b0b327e07a06f36ca6a7e42546d0&lang=pl&ds=xn011&pr=sa&d=2012-11-28 21:56:09&v=13.2.0.4&sap=dsp&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2907651" IE - HKCU\..\SearchScopes\{DA601B4F-B12D-4f80-8F59-E92055879783}: "URL" = "http://www.ask.com/web?&o=13795&l=dis&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={3F6F7C77-B41E-4A8C-93C1-DE734B642871}" O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O4 - HKLM..\Run: [] File not found O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\25911~1.18\{c16c1~1\mngr.dll) - File not found DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\zfxjvvyu.sys -- (zfxjvvyu) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\xjmojrgt.sys -- (xjmojrgt) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\fkevisrp.sys -- (fkevisrp) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany dopóki nie uzyskasz zwrotu zero zainfekowanych). Dopiero wtedy, gdy nic już nie będzie wykrywane: 3. Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 4. Przez Dodaj/Usuń programy odinstaluj tyle ile zdołasz z adware (to może nie być do wykońca wykonalne ze względu na uszkodzenia Sality): Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, DealPly, Deinstalator Strony V9, Internet Explorer Toolbar 4.6 by SweetPacks, SpeedBit Video Downloader, SweetIM for Messenger 3.7, TUTO4PC. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Uruchom Junkware Removal Tool. Na Pulpicie powstanie log. 7. Zrób nowy log OTL z opcji Skanuj (ma powstać po raz drugi plik Extras = opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania"), zaległy GMER oraz USBFix z opcji Listing. Dołącz logi utworzone przez AdwCleaner i JRT. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi