bledy: temp2.exe oraz gnig.exe

[Aaadammm]

Witam.

 

1. Przy starcie systemu (XP SP3) wyskakuje blad temp2.exe.

2. Blad "gnig.exe" - przy probie wejscia na ktorakolowiek z partycji (jedyna opcja to wejscie poprzez wpisanie sciezki)

3. Podejrzane "cos" o ikonie katalogu o nazwie "winfile"

4. Nie moge wejsc do Menadzera Urzadzen

5. Problemy z kopiowaniem przez USB

W zalacznikach logi.

 

Pomocy, bo glupieje juz

Extras.Txt

OTL.Txt

[picasso]

Nie podałeś obowiązkowego loga z rootkit detekcji (GMER lub Root Repeal): KLIK. Ale to zostaw na razie. Masz tu bardzo paskudne zakażenie Sality. Infekcja ta niszczy wszystkie pliki wykonywalne na wszystkich dyskach, programy przestają się prędzej czy później uruchamiać. Charakterystyczne elementy towarzyszące to także: uszkodzony Tryb awaryjny oraz polisy nałożone na Menedżer zadań i rejestr. Źródło infekcji: dysk przenośny. A na wszystkich dyskach masz teraz ukryte pliki autorun.inf, które inicjują infekowanie. Sality może być ciężkie do wytępienia, a jeśli usuwanie będzie nieskuteczne, format. Możność dezynfekcji zależy od tego jak daleko jest posunięta sprawa....

 

 

1. Wstępne usuwanie w OTL tego co tam widać i to nie zatrzyma infekowania plików genem Sality, jest sprzątnięciem wstępnym. Tu również przekonfiguruję w kluczu IniFileMapping, by Windows przestał w ogóle czytać pliki autorun.inf. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\ngtsht.sys -- (amsint32)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ngtsht.sys -- (aic32p)
O4 - HKLM..\Run: [RavTimeXP] C:\WINDOWS\Mstray.exe (gy)
F3 - HKU\S-1-5-21-1614895754-854245398-682003330-1003 WinNT: Load - (C:\WINDOWS\svchost.exe) - C:\WINDOWS\svchost.exe ()
 
:Files
autorun.inf /alldrives
comment.htt /alldrives
gnig.exe /alldrives
C:\Documents and Settings\budysiers\Pulpit\Pulpit.exe
C:\Documents and Settings\budysiers\Moje dokumenty\Moje dokumenty.exe
C:\Documents and Settings\All Users\Dokumenty\Dokumenty.exe
C:\Documents and Settings\budysiers\Moje dokumenty\Default.rdp
C:\Documents and Settings\budysiers\budysiers.exe
C:\Documents and Settings\budysiers\OTLWINFILE.EXE
C:\Documents and Settings\budysiers\OTLcomment.htt
C:\Documents and Settings\budysiers\OTLdesktop.ini
C:\WINDOWS\System32\temp1.exe
C:\WINDOWS\System32\temp2.exe
C:\WINFILE.EXE
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij przez Wykonaj skrypt. Po restarcie dostaniesz z tego log, który zachowaj do pokazania później.

 

2. Pobierz SalityKiller z jednego z tych linków (strona Kasperskiego przypuszczalnie Ci się nie otworzy): KLIK / KLIK. Rozpakowany program umieść bezpośrednio na C:\. W Start > Uruchom > wklej poniższe polecenie. Czekaj cierpliwie, aż program przetworzy wszystko.

 

C:\salitykiller.exe -v -l C:\killerlog.txt

 

3. Pobierz paczkę Sality_RegKeys.zip: KLIK. Rozpakuj i ze środka uruchom plik SafeBootWinXP.reg.

 

4. Ponownie uruchom SalityKiller, tym razem nie z linii komend tylko z dwukliku, i sprawdź czy nadal są wykrywane zarażone pliki w systemie i programach.

 

5. Wytwarzasz nowy zestaw logów z OTL oraz obowiązkowo z rootkit detekcji (GMER lub Root Repeal). Doczep także przesortowane wyniki z loga C:\killerlog.txt, by było wiadome czy leczono i ile plików z Sality.... Oraz wyniki z usuwania OTL powstałe w punkcie 1.

 

 

 

 

.

Edytowane 17 Października 2011 przez picasso
30.10.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso