Sality Bardzo Pilne

[Elek009]

Witam

Mam taki problem stało się to wieczorem .Chciałem zagrać w wowa no i włączyłem i wywaliło błąd

"Microsoft Visual C++ Runtime error r6002 floating point support not loaded "

Następnie wchodząc na dysk wyświetla się "Caption Hello World" nie wiem co robić.

Nie moge pobierać z internetu tak jakbym miał zablokowane .

Proszę o pomoc.

 

Log z OTL

http://www.speedyshare.com/D2g2y/OtlLog.rar

[picasso]

Umieść logi w bardziej czytelny sposób, nie w RAR tylko każdy z osobna wklejony na serwis wklej.org.

[Elek009]

Log z OTL http://wklej.org/id/888865/

Extras http://wklej.org/id/888868/

[picasso]

Ta infekcja może się skończyć formatem wszystkich dysków. A zależy to od tego jak bardzo system jest już uszkodzony i ile plików jest zarażonych. Próba wstępna lecznia:

 

1. Wstępne czyszczenie (nie zatrzyma wirusa) + nałożenie blokady na uruchamianie plików autorun.inf. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Files
C:\WINDOWS\System32\28463
autorun.inf /alldrives
rebvg.exe /alldrives
atsxq.pif /alldrives
mkygln.pif /alldrives
C:\Documents and Settings\God\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial_sf.crx
C:\Documents and Settings\God\Ustawienia lokalne\Dane aplikacji\funmoods.crx
C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:OTL
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll (Babylon BHO)
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2012-11-18 22:34:42 | 000,000,000 | ---D | M]
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\25911~1.18\{c16c1~1\mngr.dll) - c:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll ()
SRV - [2012-11-12 11:05:14 | 002,402,840 | ---- | M] () [Auto | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -- (Browser Manager)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych). Dopiero wtedy, gdy nic już nie będzie wykrywane:

 

3. Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

4. Przez Dodaj/Usuń programy odinstaluj adware Babylon Chrome Toolbar, Babylon toolbar, Browser Manager, Funmoods, QuickStores-Toolbar 1.1.0. O ile zdołasz (uszkodzenia Sality)...

 

5. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

6. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

7. Zrób nowy log OTL z opcji Skanuj (ma powstać po raz drugi plik Extras = opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania"), zaległy GMER oraz USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Elek009]

2.Zrobione

3.Zrobione

4.Zrobione Nie da się usunąć "Babylon toolbar"

5.Zrobione

6.zrobione

7

Proszę

OTL- http://wklej.org/id/888993/

Extras- http://wklej.org/id/888996/

AdwCleaner- http://wklej.org/id/888997/

UsbFix - http://wklej.org/id/889001/

Gmer - http://wklej.org/id/889026/

[picasso]

Nie da się usunąć "Babylon toolbar"

 

Poprawił to uruchomiony później AdwCleaner.

 

Jest lepiej, sterownik Sality zniknął, co oznacza że infekcja jest wstrzymana. Ale to nie koniec, a na dysku nadal mogą być zainfekowane pliki. Będzie jeszcze ogólny pełny skan potwierdzający, a poza tym Windows do aktualizacji, co przebije potencjalnie naruszone pliki XP. Na teraz wykonaj:

 

1. Małe poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
:Services
hpdj
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Wyczyść po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj wyliczone poniżej foldery.

 

C:\Documents and Settings\God\Pulpit\Stare dane programu Firefox

C:\Documents and Settings\God\DoctorWeb

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj skanowanie w Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz skanowanie wszystkich dysków. To znacznie wydłuży skan, ale da większą pewność w kwestii potencjalnych plików z genem Sality. Po ukończeniu skanu zgłoś się tu ze statystykami, czy coś wykryte, a jeśli tak to przeklej z dziennika skanera gdzie.

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso