karolsw Opublikowano 2 Stycznia 2013 Zgłoś Udostępnij Opublikowano 2 Stycznia 2013 Witam Tak jak w temacie. Podłączyłem dysk pod inny komputer niż zwykle i wszystko zamieniło się w skróty. Dołączam pliki z usbfix i otl. Z góry dzięki za pomoc. Prosiłbym o jakieś wskazówki krok po kroku, ponieważ teamt mi jest totalnie obcy. Karol Extras.Txt OTL.Txt UsbFix.txt Odnośnik do komentarza
jessica Opublikowano 2 Stycznia 2013 Zgłoś Udostępnij Opublikowano 2 Stycznia 2013 DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\knnqon.sys -- (amsint32) Skróty to "małe piwo" w porównaniu z tym powyższym! To usługa jednej z wersji SALITY/SECTOR, wirusa zarażającego wszystkie pliki *.exe. Oczywiście możesz użyć USBFix z opcji DELETION, by załatwić sprawę skrótów. Wszystkie skany przeprowadzaj z podpiętym dyskiem zewnętrznym, bo to z niego jest SALITY. 1) Użyj SalityKiller, Win32/Sality Remover, Dr. Web CureIt. 2) Wszystkie skany powtarzaj wielokrotnie po kolei dotąd, aż żaden z nich nic nie będzie wykrywał. 3) Sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu) 4) Wtedy dasz logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy) - oraz nowy log z USBFix, z opcji LISTING. Odnośnik do komentarza
karolsw Opublikowano 4 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2013 Dzięki za pomoc. Podłaczyłem jeszcze jeden dysk, który też okazał się być zainfekowany. Skorzystałem z metody ręcznej, powtórzonej kilkakrotnie. Logi w załączeniu. UsbFix.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Nie wiem czy sprawa infekcji jest załatwiona, w logu bowiem nadal widać sterownik Sality. Nie odpowiedziałeś też, czy sprawdziłeś Tryb awaryjny = Sality go kasuje, a nie zostały tu zadane żadne operacje rekonstrukcji. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\mozilla firefox\searchplugins\v9.xml rd /s /q "C:\Documents and Settings\Stasiek\DoctorWeb" /C netsh firewall reset /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- :OTL IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = "http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6OyVt5p5zP&i=26" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox O4 - HKLM..\RunOnce: [] File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\CamDrL20.sys -- (PhilCam8116_XP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\lvusbsta.sys -- (LVUSBSta) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pjrqt.sys -- (amsint32) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj oraz zaległy GMER. By GMER prawidłowo się uruchomił, należy usunąć sterownik SPTD emulacji napędów wirtualnych. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
karolsw Opublikowano 18 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2013 Dzięki za kolejną pomoc. Punkty 1 - 3 wykonałem bez problemu, punkt 4 - z logiem z OTL też nie było problemu. Troszkę kłopotów napotkałem z GMER'em, tzn. z wyłączeniem SPTD a dokładnie z usunięciem kluczy z rejestru, dlatego skorzystałem z opcji nr. 2 czyli - Defogger. Załaczam nowy log z OTL'a, pliki z Defogger'a, Adw oraz GMER'a. defogger_disable by jpshortstuff (23.02.10.1) Log created at 19:35 on 17/01/2013 (Stasiek) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... SPTD -> Already disabled -=E.O.F=- AdwCleanerS1.txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2013 Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 Ponawiam pytanie: Nie odpowiedziałeś też, czy sprawdziłeś Tryb awaryjny = Sality go kasuje, a nie zostały tu zadane żadne operacje rekonstrukcji. Co do akcji czyszczących, pomyślnie wykonane. Usunięty sterownik Sality nie odtworzył się. Wykonaj kolejne działania: 1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Secondary Start Pages"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Dla pewności zrób pełne skanowanie w Kaspersky Virus Removal Tool. Jeżeli coś zostanie wykryte, przeklej tu wyniki typu "Detected" (inne typy mnie nie interesują) do oceny. . Odnośnik do komentarza
karolsw Opublikowano 30 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 Punkty od 1 do 4 zrobione. Kaspersky Virus Removal Tool nic nie wykrył (no threats detected). Tryb awaryjny niestety nie rusza. Pojawia się "szybki niebieski ekran" i komputer się restartuje. Dodam jeszcze, że w liście wyboru po wciśnięciu F8 nie widać polskich znaków. Również, co zauważyłem dopiero teraz, przy uruchamianiu komputera na parę sekund pojawią się: "Nieprawidłowy plik Boot.ini, rozruch C:\Windows" Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2013 Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Tryb awaryjny niestety nie rusza. Pojawia się "szybki niebieski ekran" i komputer się restartuje. Dodam jeszcze, że w liście wyboru po wciśnięciu F8 nie widać polskich znaków. Pobierz Sality_RegKeys. Uruchom plik SafeBootWinXP.reg, potwierdź import do rejestru. Zresetuj system i sprawdź czy Tryb awaryjny wchodzi. Również, co zauważyłem dopiero teraz, przy uruchamianiu komputera na parę sekund pojawią się: "Nieprawidłowy plik Boot.ini, rozruch C:\Windows" Przeklej do posta zawartość pliku C:\boot.ini. . Odnośnik do komentarza
karolsw Opublikowano 31 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Tryb Awaryjny działa. Próbując zobaczyć (edytować) plik boot.ini system stwierdził, że nic nie ma i przy okazji utworzył niby nowy plik boot.ini który jest pusty. Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2013 Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Pusty plik = błędny plik. Wklej w pliku tę zawartość: [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect Zresetuj system i podaj czy błąd pliku nadal się ujawnia. . Odnośnik do komentarza
karolsw Opublikowano 31 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Po wklejeniu błędu już nie ma, tryb awaryjny również działa bez zarzutu. Jeszcze raz wielkie dzięki. Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2013 Zgłoś Udostępnij Opublikowano 31 Stycznia 2013 Na koniec wykonaj aktualizacje: KLIK. Konkretnie mi chodzi o te pozycje na Twojej liście zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java 6 Update 35"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10"Foxit Reader" = Foxit Reader"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl) > wg głównego raportu jest już wersja 18, drobna aktualizacja do 18.0.1 PS. Widzę zainstalowany Tlen.pl. Nie rozwijany. Zainteresuj się nowoczesnym WTW: KLIK. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi