ewelinafit Opublikowano 27 Maja 2010 Zgłoś Udostępnij Opublikowano 27 Maja 2010 Witam. Otóż mam problem z wirusem Sality. 2 tygodnie temu zmieniałam Windowsa na XP (wcześniej miałam Vistę) i wgrywałam wszystko od początku. Zainstalowałam firewalla Comodo i avire antyvira. Jednak chyba na dysku D (nie ruszalam go) miałam sality i mi teraz wszędzie zaraża. Avira co jakiś czas mnie powiadamia o infekcjach. Sprawdziłam Salitykillerem i nic nie wychodzi. Drugi mój problem to wyłączanie systemu. Otóż nie idzie go wyłączyć. Albo staje na "zamykanie systemu" albo zawiesza się explorer gdy włączę komendę wyłącz ze startu. Zainstalowałam UPHClean ale problem nadal występuje, przy czym im dłużej komputer używam, tym bardziej nie chce się wyłączyć. Na Viście tak nie miałam, czy ten wirus sality może mieć wpływ? Załączam logi z OTL OTL: http://wklej.org/id/341005/ Extras: http://wklej.org/id/341010/ Skanowałam Gmerem na rootkity, nic nie wykryło ale nie mogłam zapisać loga bo mi sie zawiesił. Pozdrawiam i dziękuję z góry. Odnośnik do komentarza
Landuss Opublikowano 27 Maja 2010 Zgłoś Udostępnij Opublikowano 27 Maja 2010 Jeżeli tu jest Sality to w logach tego nie zobaczymy. To infekcja w kodzie plików. Czasami jest widoczna część tej infekcji w postaci bezplikowej usługi, u ciebie takiego czegoś nie widzę. W takim wypadku każdy problem możesz wiązać z tą infekcją. Proponuję skan z zewnątrz. Czyli na innym komputerze wykonać bootowalną płytkę Dr. Web LiveCD i za jej pomocą przeskanować cały dysk wielokrotnie. Odnośnik do komentarza
ewelinafit Opublikowano 27 Maja 2010 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2010 Jeżeli tu jest Sality to w logach tego nie zobaczymy. To infekcja w kodzie plików. Czasami jest widoczna część tej infekcji w postaci bezplikowej usługi, u ciebie takiego czegoś nie widzę. W takim wypadku każdy problem możesz wiązać z tą infekcją. Proponuję skan z zewnątrz. Czyli na innym komputerze wykonać bootowalną płytkę Dr. Web LiveCD i za jej pomocą przeskanować cały dysk wielokrotnie. Dziękuję, tak zrobię. Zauważyłam ze mam błędy po sterownikach, ID: 7000. Jak się tego pozbyć? [ System Events ] Error - 2010-05-25 10:49:08 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Intel® PROSet/Wireless Service z powodu następującego błędu: %%2 Error - 2010-05-25 10:49:08 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Intel® PROSet/Wireless Event Log z powodu następującego błędu: %%2 Error - 2010-05-25 10:49:08 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi hpdj z powodu następującego błędu: %%1083 Error - 2010-05-25 10:49:08 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Intel® PROSet/Wireless Registry Service z powodu następującego błędu: %%2 Error - 2010-05-26 15:23:55 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi General Purpose USB Driver (e4ldr.sys) z powodu następującego błędu: %%1058 Error - 2010-05-26 15:23:55 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi AEGIS Protocol (IEEE 802.1x) v3.6.0.0 z powodu następującego błędu: %%2 Error - 2010-05-26 15:23:55 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Intel® PROSet/Wireless Service z powodu następującego błędu: %%2 Error - 2010-05-26 15:23:55 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Intel® PROSet/Wireless Event Log z powodu następującego błędu: %%2 Error - 2010-05-26 15:23:55 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi hpdj z powodu następującego błędu: %%1083 Error - 2010-05-26 15:23:55 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Intel® PROSet/Wireless Registry Service z powodu następującego błędu: %%2 Dzięki, pozdrawiam Odnośnik do komentarza
ewelinafit Opublikowano 28 Maja 2010 Autor Zgłoś Udostępnij Opublikowano 28 Maja 2010 Przeskanowałam komputer bootowalną Dr Web LiveCD i nie wykryło nic.. skan trwał całą noc.. próbowałam przed skanem wejść na www.kaspersky.com i nie chodziło, również ze ściąganiem dr web był problem. Innego niezainfekowanego kompa nie mam wiec ściągnęłam LiveCD z tego. Czy to mogło wpłynąć na wynik skanu? Poza tym, od wczoraj avira już nie wykrywa żadnych infekcji tym wirusem. Pozdrawiam Odnośnik do komentarza
Landuss Opublikowano 28 Maja 2010 Zgłoś Udostępnij Opublikowano 28 Maja 2010 W takim razie możliwe, że już tej infekcji tu nie ma. Tak jak mówię ja w logach nie widziałem żadnego komponentu świadczącego o jej aktywności. Obserwuj system i tyle pozostaje zrobić. Przy takiej infekcji nigdy nic nie wiadomo. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03 Do uzupełnienia SP3 i IE8 oraz do wyrzucenia koszmarnie stara Java: INSTRUKCJE. . Odnośnik do komentarza
ewelinafit Opublikowano 29 Maja 2010 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2010 Dziękuję Drugi mój problem to wyłączanie systemu. Otóż nie idzie go wyłączyć. Albo staje na "zamykanie systemu" albo zawiesza się explorer gdy włączę komendę wyłącz ze startu. Zainstalowałam UPHClean ale problem nadal występuje, przy czym im dłużej komputer używam, tym bardziej nie chce się wyłączyć. Na Viście tak nie miałam, A co zrobić z tym problemem? Nadal niestety występuje więc to chyba nie wirus.. Pozdrawiam Odnośnik do komentarza
deFco247 Opublikowano 29 Maja 2010 Zgłoś Udostępnij Opublikowano 29 Maja 2010 Sprawdź na początek jak się zmieni sytuacja po wyłączeniu Piaskownicy w Comodo. Niektóre osoby zgłaszały takie problemy przy jego działaniu. No i też trochę zbędnych procesów działających w tle można by się pozbyć. O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)Optymalizacja Adobe readera. W zasadzie wystarcza jednokrotne uruchomienie tego w czasie instalacji czytnika.Do wyłączenia. O4 - HKLM..\Run: [Camera Assistant Software] C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe (Chicony)Odpowiada za zmianę ustawiń kamerki i robienie za jej pomocą zdjęć. O4 - HKLM..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe (Hewlett-Packard)Podobny stan rzeczy jak przy updaterze Adobe. Ne jest to wymagane do działania non-stop od startu systemu. O4 - HKLM..\Run: [NDSTray.exe] File not foundW zasadzie jest to przycisk w tray'u odpowiadający za przełączanie się pomiędzy kilkoma sieciami. Przy podłączeniu tylko do jednej jest z góry zbędny dodatek. O4 - HKLM..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()Odpowiada za uruchamianie panelu sterowania karty graficznej ATI. Niepotrzebne, jeśli nie zmieniasz często ustawień karty graficznej. O4 - HKLM..\Run: [TDispVol] C:\WINDOWS\System32\TDispVol.exe (TOSHIBA Corporation)Mini gadżet do regulacji głośności z poziomu ikonki w tray'u. O4 - HKCU..\Run: [uTorrent] C:\Program Files\uTorrent\uTorrent.exe (BitTorrent, Inc.)Tego typu programiki wykonują dużą ilość połączeń z siecią, która może wywołać efekt zamrożenia na starcie jak i na zamykaniu systemu.Program sam z siebie też raczej nie jest potrzebny od razu na starcie systemu. Odnośnik do komentarza
ewelinafit Opublikowano 29 Maja 2010 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2010 Dziękuję ślicznie za szybką pomoc. Wyłączyłam owe programy. Gdybyście jeszcze mi mogli pomóc z ponniższymi błędami w dzienniku, byłabym bardzo wdzięczna. Wiem że nawiązują do sterowików które kiedyś zainstalowałam ale nie wiem jak je wyłączyć. Nie mam tego sprzętu widocznego w menedżerze sprzętu. Pozdrawiam Odnośnik do komentarza
deFco247 Opublikowano 29 Maja 2010 Zgłoś Udostępnij Opublikowano 29 Maja 2010 W logach widać, że te usługi stoją jako nieżywe i ustawione na automat, co zawsze spowoduje błędy widoczne w Dzienniku zdarzeń: SRV - File not found [Auto | Stopped] -- -- (S24EventMonitor) Intel®SRV - File not found [Auto | Stopped] -- -- (RegSrvc) Intel® SRV - File not found [Auto | Stopped] -- -- (EvtEng) Intel® Natomiast to: Error - 2010-05-25 10:49:08 | Computer Name = WSPOLNY | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi hpdj z powodu następującego błędu: %%1083 Usługa jest tak felernie ustawiona, że jej plik znajduje się w systemowym folderze plików tymczasowych. SRV - [2003-11-07 22:06:48 | 000,266,240 | ---- | M] (HP) [Auto | Stopped] -- C:\Documents and Settings\ewelinka_jaruss\Ustawienia lokalne\Temp\hpdj.exe -- (hpdj) Nawet zastosowanie programu pokroju CCleaner lub użycie skryptu OTL z dołączaną komenda [emptytemp] spowoduje usunięcie tego felernego pliku. W sumie i tak bez niego nie opłaca się mieć tej usługi aktywnej. Otwórz Notatnik i wklej: sc delete S24EventMonitorsc delete RegSrvc sc delete EvtEng sc config "General Purpose USB Driver" start=disabled sc config hpdj start=disabled Plik zapisz jako typ wszystkie pliki pod nazwą plik.bat -> uruchom powstały plik. Odnośnik do komentarza
ewelinafit Opublikowano 29 Maja 2010 Autor Zgłoś Udostępnij Opublikowano 29 Maja 2010 Dziękuję ci ślicznie. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi