Akasha89 Opublikowano 22 Września 2010 Zgłoś Udostępnij Opublikowano 22 Września 2010 Od jakiegoś czasu po włączeniu systemu pojawia się komunikat o treści: "Aplikacja nie została właściwie zainicjowana (0xc000007b). Kliknij przycisk OK aby zakończyć aplikację." Po kliknięciu ok komputer po krótkiej chwili się restartuje. Podejrzewam, że przyczyną problemu może być upośledzenie pracy antywirusa (po uruchomieniu avasta pojawia się komunikat treści: "Program antywirusowy avast został zatrzymany lub jego stan jest niespójny. Uruchom program ponownie aby podjąć ochronę systemu." Zrobiłam stan z combofixa, było to pierwszą rzeczą która przyszła mi do głowy po nieudanej próbie instalacji innego oprogramowania antywirusowego. Załączam również loga z tego skanu, a także logi obowiązkowe, zrobione juz po użyciu combofixa. Proszę o sprawdzenie logów i pomoc w rozwiązaniu problemu. Z góry dziękuję. Extras.Txt GMER.txt OTL.Txt ComboFix.txt checkup.txt Odnośnik do komentarza
picasso Opublikowano 22 Września 2010 Zgłoś Udostępnij Opublikowano 22 Września 2010 Niestety, jest tu infekcja Sality, czyli atakująca i sukcesywnie niszcząca wszystkie pliki wykonywalne na wszystkich dyskach. Wszelkie aplikacje zwracające błąd uruchomienia są już zaatakowane przez wirusa, uszkodzone i nadają się do wyrzucenia, jeśli nie będą mogły zostać wyleczone. Przypuszczalne źródło złapania: urządzenie USB, bo widać na wszystkich dyskach podczepione ukryte pliki autorun.inf. Składniki infekcji: ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\nqjlkn.sys Nie można odnaleźć określonego pliku. ! DRV - File not found [Kernel | Unknown | Running] -- -- (amsint32) PRC - [2010-09-22 12:46:28 | 000,035,840 | ---- | M] () -- C:\Documents and Settings\Parqr\Ustawienia lokalne\temp\wf1bad.exePRC - [2010-09-22 12:41:50 | 000,011,776 | ---- | M] () -- C:\Documents and Settings\Parqr\Ustawienia lokalne\temp\wininejai.exePRC - [2010-09-22 12:41:16 | 000,035,840 | ---- | M] () -- C:\WINDOWS\Temp\wa5bcb.exePRC - [2010-09-22 12:38:32 | 000,029,696 | ---- | M] () -- C:\Documents and Settings\Parqr\Ustawienia lokalne\temp\winycklix.exePRC - [2010-09-22 12:37:00 | 000,011,776 | ---- | M] () -- C:\WINDOWS\Temp\idhpkd.exe O32 - AutoRun File - [2010-09-22 12:32:54 | 000,000,233 | RHS- | M] () - C:\autorun.inf -- [ FAT32 ]O32 - AutoRun File - [2010-09-22 12:32:53 | 000,000,331 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2010-09-22 12:32:53 | 000,000,327 | RHS- | M] () - E:\autorun.inf -- [ NTFS ][2010-09-22 12:32:54 | 000,103,140 | RHS- | M] () -- C:\efbik.exe Dodatkowo: masz zapewne uszkodzony Tryb awaryjny, bo Sality zajmuje się kasowaniem klucza SafeBoot z rejestru. Infekcja jest bardzo ciężka do usunięcia, może wymagać Reperacji XP z płyty CD (jeśli zniszczenia zaszły za daleko), a przy nieskutecznym leczeniu często kończy się totalnym formatem. Dla porównania podobny temat: KLIK. Rozpocznę od próby usuwania spod działającego Windows: 1. Wstępne usuwanie zostanie przeprowadzone w OTL. To nie zdejmie aktywności wirusa, jest czyszczeniem pola i redukcją składników przeładowujących (pliki autorun.inf). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives efbik.exe /alldrives :Services amsint32 :Commands [emptyflash] [emptytemp] Rozpocznij przez Wykonaj skrypt. System będzie restartował, dostaniesz z tego log (zachowaj go do późniejszego wglądu), i natychmiast przejdź do tej operacji: 2. Pobierz SalityKiller: KLIK / KLIK. Podaję dwa linki, ponieważ przypuszczalnie pierwszy przy aktywnej infekcji się nie otworzy. Rozpakowany program umieść bezpośrednio na C:\. W Start > Uruchom > wklej polecenie uruchomienia skanu i jednoczesnego zapisu do raportu: C:\salitykiller.exe -v -l C:\killerlog.txt Wszelkie programy, które po tej operacji nadal nie będą działać, kwalifikują się tylko do całkowitego usunięcia z systemu. 3. Pobierz paczkę Sality_RegKeys.zip: KLIK. Rozpakuj i ze środka uruchom plik SafeBootWinXP.reg. 4. Do oceny: log powstały z usuwania OTL w punkcie 1, nowe logi z OTL + GMER. Zdaj i relację z działania Killera, czyli zawartość raportu C:\killerlog.txt = to będzie bardzo gruby raport, trzeba to będzie jakoś skompresować, lub przekleić z tego raportu tylko wątki tyczące leczenia plików (bym widziała co było naprawiane). . Odnośnik do komentarza
Akasha89 Opublikowano 22 Września 2010 Autor Zgłoś Udostępnij Opublikowano 22 Września 2010 Wszystko według instrukcji, wklejam linki do logów. http://wklej.eu/index.php?id=f8254697f8 http://wklej.eu/index.php?id=b312bfc98d http://wklej.eu/index.php?id=42cc8ee2ac http://wklej.eu/index.php?id=a1dd6c76a0 http://wklej.eu/index.php?id=b1a5103583 Odnośnik do komentarza
picasso Opublikowano 22 Września 2010 Zgłoś Udostępnij Opublikowano 22 Września 2010 (edytowane) To nie jest pełny log z SalityKiller. Serwisy wklejkowe obcinają baaaardzo długie raporty. A sytuacja = bez zmian. Wszystko co było usuwane zostało zrekonstruowane i jeszcze zaczęły się mnożyć pliki. Sality nadal działa w tle. Powtórz wszystkie kroki raz jeszcze, z tą drobną modyfikacją, że od razu zablokuję uruchamianie plików autorun.inf, a skrypt do OTL będzie nieco inaczej wyglądał. Czyli: 1. W OTL wklej w sekcji Własne opcje skanowania / skrypt tę zawartość: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" :Files autorun.inf /alldrives twva.exe /alldrives Recycled /alldrives :Services asc3360pr amsint32 :Commands [emptytemp] Jak poprzednio: Wykonaj skrypt, będzie restart, otrzymasz log. 2. Powtórz operację z SalityKiller oraz importem pliku SafeBootWinXP.reg. 3. Do oceny: log z usuwania OTL, seria nowych logów OTL+GMER oraz porządny cały log z SalityKiller (skompresuj do ZIP, ZIP shostuj np. na SpeedyShare i podaj tu link). Dorzuć także log z USBFix z opcji Listing. PS. Nie używaj funkcji Raportuj do zgłaszania odpowiedzi własnej w temacie. My widzimy, że ktoś napisał, a odpisujemy gdy jesteśmy obecni. . Edytowane 17 Października 2011 przez picasso 22.10.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi