Tasior Opublikowano 21 Maja 2013 Zgłoś Udostępnij Opublikowano 21 Maja 2013 Witam! Ostatnio na jednym z komputerów pojawił się problem z Ukash (Policja itp), po resecie i załadowaniu się Windowsa pojawia się biały ekran. Próbowałem uruchomić Tryb Awaryjny, ale żaden nie działa (komputer resetuje się). Załączam logi otrzymane z OTLPE uruchomionego z płyty. Bardzo proszę o pomoc. Pozdrawiam Wojtek OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 21 Maja 2013 Zgłoś Udostępnij Opublikowano 21 Maja 2013 Niestety, ale "policja" to najmniejszy problem. Tu jest kupa infekcji, w tym zmodyfikowany plik systemowy userinit.exe, ale najgorszy kaliber to wirus Sality (m.in. widać sterownik aic32p), który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Tryb awaryjny nie działa, bo Sality go całkowicie skasował. 1. Pierwszy etap to usunięcie infekcji pobocznych i zdjęcie blokady. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL FF - prefs.js..extensions.enabledItems: a4d41df3-b0e7-40f2-abab-120615dcf791@43f0c24d-2e1c-4165-8a5e-f1d7bfcfaf82.com:0.91.17 O2 - BHO: (Advertising) - {11111111-1111-1111-1111-110211951147} - C:\Program Files\Advertising\Advertising.dll (igor) O4 - HKLM..\Run: [Common User Runtime] C:\Program Files\Common Files\Common User Runtime.{2227A280-3AEA-1069-A2DE-08002B30309D}\lgzovopie.exe () O4 - HKLM..\Run: [Regedit32] File not found O4 - HKLM..\Run: [smwcore] C:\WINDOWS\system32\actxprxy.exe () O4 - HKU\Master.SREDNI_ON_C..\Run: [Common User Runtime] File not found O4 - HKU\Master.SREDNI_ON_C..\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O4 - HKU\Master.SREDNI_ON_C..\Run: [Komunikator] File not found O4 - HKU\Master.SREDNI_ON_C..\Run: [Windows NT Login Application] C:\Documents and Settings\Master.SREDNI\Dane aplikacji\winlogons.exe () O4 - HKU\Master.SREDNI_ON_C..\Run: [wsctf.exe] File not found O4 - Startup: C:\Documents and Settings\Master.SREDNI\Menu Start\Programy\Autostart\NG4YIHc1dzGo.lnk = File not found O4 - Startup: C:\Documents and Settings\Master.SREDNI\Menu Start\Programy\Autostart\PaExt9YuRqI9.lnk = File not found O4 - Startup: C:\Documents and Settings\Master.SREDNI\Menu Start\Programy\Autostart\Rnda9OonB7Vs.lnk = File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 50369 = C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\msqhhv.scr () O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Master.SREDNI\fvjwsc.exe) - C:\Documents and Settings\Master.SREDNI\fvjwsc.exe (Misnazene ) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O27 - HKLM IFEO\hijackthis.exe: Debugger - _.exeGE File not found O27 - HKLM IFEO\housecalllauncher.exe: Debugger - _.exeGE File not found O27 - HKLM IFEO\rstrui.exe: Debugger - rbgiyp_.exeLOOKASID File not found O27 - HKLM IFEO\spybotsd.exe: Debugger - _.exeGE File not found O29 - HKLM SecurityProviders - (AyvomzugKutw.dll) - C:\WINDOWS\System32\AyvomzugKutw.dll () SRV - File not found [Auto] -- -- (BNDMSS) DRV - File not found [Kernel | Auto] -- -- (SSPORT) DRV - File not found [Kernel | On_Demand] -- -- (kwflower) DRV - File not found [Kernel | Auto] -- -- (DgiVecp) DRV - File not found [Kernel | On_Demand] -- -- (aic32p) DRV - [2007/11/14 11:05:16 | 000,394,952 | ---- | M] (Zone Labs, LLC) [Kernel | On_Demand] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2007/08/28 03:48:24 | 000,065,024 | ---- | M] (Kerio Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\kvpndrv.sys -- (kvpndev) :Files C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\*.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ESET C:\Documents and Settings\Master.SREDNI\*.exe C:\Documents and Settings\Master.SREDNI\*.scr C:\Documents and Settings\Master.SREDNI\Dane aplikacji\*.exe C:\Documents and Settings\Master.SREDNI\Dane aplikacji\*.dll C:\Documents and Settings\Master.SREDNI\Dane aplikacji\*.lnk C:\Documents and Settings\Master.SREDNI\Dane aplikacji\skype.dat C:\Documents and Settings\Master.SREDNI\Dane aplikacji\skype.ini C:\Documents and Settings\Master.SREDNI\Dane aplikacji\bits C:\Documents and Settings\Master.SREDNI\Dane aplikacji\ESET C:\Documents and Settings\Master.SREDNI\Dane aplikacji\Kerio C:\Documents and Settings\Master.SREDNI\Dane aplikacji\naBXj C:\Documents and Settings\Master.SREDNI\Dane aplikacji\dclogs C:\Documents and Settings\Master.SREDNI\Dane aplikacji\Rnda9OonB7Vs.bak C:\Documents and Settings\Master.SREDNI\Dane aplikacji\mozilla\Firefox\Profiles\byhy6gxr.default\extensions\a4d41df3-b0e7-40f2-abab-120615dcf791@43f0c24d-2e1c-4165-8a5e-f1d7bfcfaf82.com C:\Program Files\Common Files\Common User Runtime.{2227A280-3AEA-1069-A2DE-08002B30309D} C:\WINDOWS\System32\drivers\817.exe C:\WINDOWS\System32\drivers\359.exe C:\WINDOWS\System32\ajSavReg.dll C:\WINDOWS\System32\ajSavReg.exe C:\WINDOWS\System32\actxprxy.exe C:\WINDOWS\System32\6to4svc.exe C:\WINDOWS\System32\adsnt.exe C:\WINDOWS\System32\atkctrs.exe C:\WINDOWS\System32\adptif.exe C:\WINDOWS\System32\imon1.dat C:\autorun.inf D:\autorun.inf E:\autorun.inf :Reg [HKEY_USERS\Master.SREDNI_ON_C\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_USERS\Master.SREDNI_ON_C\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Nie loguj się na razie do systemu. Zrób nowy log OTL z poziomu OTLPE na warunku dostosowanym, tzn. w sekcji Custom Scans/Fixes wklej co podane niżej i klik w Scan. /md5start userinit.exe /md5stop HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf Dołącz log utworzony podczas usuwania. . Odnośnik do komentarza
Tasior Opublikowano 21 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2013 To prawda, niestety komputer jest bardzo zapuszczony, ale nie należy do mnie, a właściciel nie ceni sobie porządków i archiwizacji danych. Załączam to, co wyskoczyło mi po Scan'ie. Nie mogę zamieścić tego co mi wyskoczyło po RunFix'ie, bo pokazuje się informacja, że nie mam uprawnień do wysyłania tego typu plików. OTL.txt Extras.txt Odnośnik do komentarza
picasso Opublikowano 21 Maja 2013 Zgłoś Udostępnij Opublikowano 21 Maja 2013 Nie mogę zamieścić tego co mi wyskoczyło po RunFix'ie, bo pokazuje się informacja, że nie mam uprawnień do wysyłania tego typu plików. Objaśnia to Pomoc forum (link na spodzie strony) oraz zasady działu. Załączniki akceptują tylko format *.TXT a to jest *.LOG. Ręcznie zmień nazwę pliku. To prawda, niestety komputer jest bardzo zapuszczony, ale nie należy do mnie, a właściciel nie ceni sobie porządków i archiwizacji danych. Nie wiadomo jak wielkie szkody zrobił Sality. Może nastąpić format. . Odnośnik do komentarza
Tasior Opublikowano 21 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2013 Racja, przepraszam, zapomniałem o tym. 05222013_005026.txt Odnośnik do komentarza
picasso Opublikowano 21 Maja 2013 Zgłoś Udostępnij Opublikowano 21 Maja 2013 Nie puścił wpis fałszywego explorer.exe, ale to dlatego że zapomniałam, iż w tym starym OTL idzie to inaczej (należy ominąć białą listę). I trzeba będzie zaimportować ręcznie wpisy do rejestru (wpisy awaryjnego i inne). 1. Uruchom OTL i sekcji Custom Scans/Fixes wklej: :Files [override] C:\WINDOWS\System32\EXPLORER.EXE [stopoverride] C:\WINDOWS\system32\userinit.exe|C:\WINDOWS\system32\dllcache\userinit.exe /replace C:\Documents and Settings\Master.SREDNI\__00405c12.lnk Klik w Run Fix. 2. Nie zamykaj OTL, bo zostanie odładowany rejestr, do którego ręcznie będę importować. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal] [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\Base] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\Boot Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\Boot file system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\CryptSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\DcomLaunch] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\dmadmin] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\dmboot.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\dmio.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\dmload.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\dmserver] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\EventLog] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\HelpSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\Netlogon] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\PCI Configuration] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\PlugPlay] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\PNP Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\Primary disk] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\SCSI Class] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\sermouse.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\SRService] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\System Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\vga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\WinMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}] @="Universal Serial Bus controllers" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}] @="CD-ROM Drive" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}] @="Standard floppy disk controller" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}] @="PCMCIA Adapters" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}] @="SCSIAdapter" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}] @="Floppy disk drive" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}] @="Human Interface Devices" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network] [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\AFD] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Base] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Boot Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Boot file system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Browser] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\CryptSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\DcomLaunch] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Dhcp] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\dmadmin] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\dmboot.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\dmio.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\dmload.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\dmserver] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\DnsCache] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\EventLog] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\HelpSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\ip6fw.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\ipnat.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\LanmanServer] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\LanmanWorkstation] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\LmHosts] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Messenger] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\NDIS] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\NDIS Wrapper] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Ndisuio] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\NetBIOS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\NetBIOSGroup] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\NetBT] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\NetDDEGroup] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Netlogon] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\NetMan] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Network] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\NetworkProvider] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\nm] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\nm.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\NtLmSsp] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\PCI Configuration] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\PlugPlay] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\PNP Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\PNP_TDI] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Primary disk] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\rdpcdd.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\rdpdd.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\rdpwd.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\rdsessmgr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\SCSI Class] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\sermouse.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\SharedAccess] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\SRService] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Streams Drivers] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\System Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\Tcpip] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\TDI] @="Driver Group" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\tdpipe.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\tdtcp.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\termservice] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\vga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\WinMgmt] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\WZCSVC] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}] @="Universal Serial Bus controllers" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}] @="CD-ROM Drive" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}] @="Standard floppy disk controller" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}] @="Net" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}] @="NetClient" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}] @="NetService" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}] @="NetTrans" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}] @="PCMCIA Adapters" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}] @="SCSIAdapter" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}] @="Floppy disk drive" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\SYSTEM_ON_C\ControlSet001\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}] @="Human Interface Devices" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG W OTLPE klik w Start > Run > regedit i z menu File za pomocą opcji Import wskaż ten plik FIX.REG. 3. Nie loguj się do Windows. Zrób nowy log OTL z opcji Scan. Pokaż też log z usuwania. . Odnośnik do komentarza
Tasior Opublikowano 21 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2013 Zrobione, zamieszczam logi 05222013_020348.txt OTL.txt Odnośnik do komentarza
picasso Opublikowano 21 Maja 2013 Zgłoś Udostępnij Opublikowano 21 Maja 2013 Zadania wykonane. Teraz: 1. Startuj od razu do Trybu awaryjnego (zrekonstruowałam go plikiem FIX.REG), nie przechodź w Tryb normalny. Jeżeli Sality okaże się czynny, skasuje Tryb awaryjny ponownie. 2. Wykonaj skan za pomocą SalityKiller. Narzędzie uruchamiaj do skutku, tyle razy aż żaden zainfekowany plik nie zostanie znaleziony. 3. Zrób nowe logi: OTL (ten w OTLPE jest zbyt stary) + GMER. . Odnośnik do komentarza
Tasior Opublikowano 22 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2013 Podczas skanowania SalityKiller'em znajdowane są dwa pliki w katalogu C:_OTL, które nie zostają wyleczone (mimo, że już 4 razy puściłem skanowanie). Co w takiej sytuacji można zrobić? Odnośnik do komentarza
picasso Opublikowano 23 Maja 2013 Zgłoś Udostępnij Opublikowano 23 Maja 2013 Katalog C:\_OTL się nie liczy, to kwarantanna OTL. Przez SHIFT+DEL go skasuj. Odnośnik do komentarza
Tasior Opublikowano 23 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2013 Zamieszczam otrzymane logi. Nie mam raportu po GMER'rze, ponieważ program oznajmił, że nic nie odnalazł i przyciśnięcie przycisku Kopiuj nie wstawia nic do schowka. Czy wykonać ten skan w inny sposób? OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 Czy to był pełny skan GMER a nie "Quick"? Natomiast log OTL jest zrobiony z niewłaściwego konta. Zalogowany był wbudowany w system Administrator (to konto serwisowe ujawniane w awaryjnym i na dodatek nie było aktywne przed akcją) a nie konto użytkownika Master.SREDNI: Computer Name: SREDNI | User Name: Administrator | Logged in as Administrator. Log z OTL wygląda obiecująco w rozumieniu braku widzialności sterownika Sality, ale na dysku C poniewierają się liczne ukryte pliki. Kolejne akcje: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files xmor.exe /alldrives y.exe /alldrives ws.exe /alldrives viewDrive.exe /alldrives u16sqrqn.exe /alldrives t8g.exe /alldrives q3kku.exe /alldrives nymdik.exe /alldrives nx.exe /alldrives nqdymj.exe /alldrives mvmdh.exe /alldrives mh.exe /alldrives mbdm.exe /alldrives kmj.exe /alldrives k0maw.exe /alldrives k8jc.exe /alldrives imghyva6.exe /alldrives i9bwjpqc.exe /alldrives h0.exe /alldrives e9naq.exe /alldrives df.exe /alldrives cs6phv6d.exe /alldrives c2e.exe /alldrives bveijo.exe /alldrives 9d6tpg.exe /alldrives 8xcrbho6.exe /alldrives 3exi.exe /alldrives 2id9.exe /alldrives 1hqup.exe /alldrives 0qw6vege.exe /alldrives :OTL O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab (Reg Error: Key error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Popraw plik HOSTS do postaci zgodnej z XP (dorywczo go resetowałam skryptem, ale reset nie przywraca zawartości 1:1 na XP). Otwórz w Notatniku plik C:\WINDOWS\system32\drivers\etc\Hosts i wymaż z niego tę drugą linię ::1 localhost. 3. Zrób nowy log OTL z opcji Skanuj z poziomu zalogowanego konta Master.SREDNI oraz USBFix z opcji Listing. Dołącz log z wynikami usuwania OTL. . Odnośnik do komentarza
Tasior Opublikowano 24 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2013 GMER nic nie znalazł na pełnym skanie. Załączam otrzymane logi. Nie mam loga z wynikami usuwania, ponieważ podczas przenoszenia go z komputera do komputera zainteresował się nim AVG i usunął. Extras.Txt OTL.Txt UsbFix Listing 1 SREDNI.txt Odnośnik do komentarza
picasso Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 Nie mam loga z wynikami usuwania, ponieważ podczas przenoszenia go z komputera do komputera zainteresował się nim AVG i usunął. Czy na pewno chodziło tylko o log tekstowy? Czy Ty przypadkiem nie przenosiłeś folderu kwarantanny OTL (tam wirusy były)? Jakoś nie chce mi się wierzyć, że AVG wywalił prosty plik tekstowy *.LOG, który nie powinien mieć żadnych ciągów "ASCII" aktywujących antywirusa. 1. Odinstaluj adware Advertising. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\0fpdq2dw.exe C:\qkm.exe C:\sywyrl0q.exe D:\0fpdq2dw.exe D:\qkm.exe D:\sywyrl0q.exe D:\163fe35 E:\0fpdq2dw.exe E:\qkm.exe E:\sywyrl0q.exe rd /s /q C:\$RECYCLE.BIN /C rd /s /q C:\RECYCLER /C rd /s /q D:\$RECYCLE.BIN /C rd /s /q D:\Recycled /C rd /s /q E:\RECYCLER /C :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing. I mam jeszcze pytanie, czy tu aby nie napisywano systemem XP instalacji nowszego systemu? Są pliki charakterystyczne dla Vista i w górę (bootowania: Boot + bootmgr, oraz Kosze $RECYCLE.BIN), ale w dir dysków nie ma innych śladów sugerujących zainstalowany równoległy nowszy system. . Odnośnik do komentarza
Tasior Opublikowano 25 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2013 Tak, przenosiłem cały folder, ponieważ został on automatycznie zapisany na pendrive'ie. Nie sądziłęm, że pliki w kwarantannie zostaną w ten sposób wykryte i że zostanie usunięty log. Załączam logi z działań Na tym komputerze nigdy Visty nie było, bo komputer nie spełnia minimalnych parametrów. Jest baaardzo niewielka szansa, że płyta od Visty mogła być użyta do prób odzyskania jakiś plików, ale to raczej także nie miało miejsca. OTL.Txt UsbFix Listing 2 SREDNI.txt 05252013_100058.txt Odnośnik do komentarza
picasso Opublikowano 25 Maja 2013 Zgłoś Udostępnij Opublikowano 25 Maja 2013 Akcje wykonane. Idziemy dalej: 1. Usuń narzędzia: odinstaluj USBFix, w OTL uruchom Sprzątanie.2. Wyczyść foldery Przywracania systemu: KLIK.3. Zrób pełne skanowanie za pomocą Kaspersky Virus Removal Tool. Domyślnie program robi skan ekspresowy. Należy wejść do konfiguracji i zaznaczyć wszystkie dyski. To bardzo wydłuży skan, ale gwarantuje więcej. Jeśli program coś znajdzie, przeklej ze skanu wyniki typu Detected (inne typy mnie nie interesują). Na tym komputerze nigdy Visty nie było, bo komputer nie spełnia minimalnych parametrów. Jest baaardzo niewielka szansa, że płyta od Visty mogła być użyta do prób odzyskania jakiś plików, ale to raczej także nie miało miejsca. "Vistowate" Kosze już wywaliłam. Natomiast zostały pliki bootowania nowszego systemu: [20/02/2007 - 08:05:57 | SHD ] C:\Boot[02/11/2006 - 11:53:57 | RASH | 438840] C:\bootmgr Te obiekty są stare i sugerują, że jednak pojawił się kontekst nowego systemu. Owszem, prawdopodobne, że bootowano płytę conajmniej w wersji Vista i próbowano coś "naprawiać". Pliki można usunąć. System XP bootuje inną techniką poprzez te pliki: [16/04/2008 - 19:20:48 | RSH | 211] C:\boot.ini[22/07/2001 - 00:13:54 | RASH | 4952] C:\Bootfont.bin[03/08/2004 - 23:38:34 | RASH | 47564] C:\NTDETECT.COM[03/08/2004 - 23:59:54 | RASH | 250624] C:\ntldr . Odnośnik do komentarza
Tasior Opublikowano 26 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2013 Zrobione. Dodatkowo do skanu dołączyłem pendrive na którym znajduje się _OTL, co zresztą wyraźnie widać w wynikach skanowania. removal tool raport.txt Odnośnik do komentarza
picasso Opublikowano 26 Maja 2013 Zgłoś Udostępnij Opublikowano 26 Maja 2013 Hmmm, ale Sprzątanie w OTL miało za zadanie właśnie usunąć folder kwarantanny OTL. Przez SHIFT+DEL skasuj foldery: C:\Program Files\Common Files\894fy894yt98.{2227A280-3AEA-1069-A2DE-08002B30309D} H:\_OTL Dla pewności ponów skanowanie Kasperskym. Jeśli nic nie znajdzie, podam końcowe kroki. . Odnośnik do komentarza
Tasior Opublikowano 27 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2013 Zakończyłem skanowanie, Kaspersky nic nie znalazł. Skanowanie musiałem robić na raty (po jednej partycji na raz), ponieważ kilkukrotnie wyskakiwały mi błędy "Wystąpił problem z aplikacją tą i tą, zostaje ona zamknięta. Przepraszamy za kłopoty" (z pytaniem o to, czy wysyłać raport do Microsoftu) zamykające explorer.exe i samego RemovalTool'a. Co może powodować takie błędy, czy jest jakiś "typowe" źródło takich błędów? Odnośnik do komentarza
picasso Opublikowano 28 Maja 2013 Zgłoś Udostępnij Opublikowano 28 Maja 2013 Nie wiem skąd te błędy, ale tu był Sality i nie jest wykluczone, że jakieś pliki są uszkodzone. I tak większość systemowych zostanie nadpisana, bo teraz przechodzimy do obowiązkowych aktualizacji: KLIK. Zarówno system, jak i zainstalowane aplikacje są w krytycznym stanie "załatania": Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player Plugin (wtyczka dla Firefox) "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 "JRE 1.3.1" = Java 2 Runtime Environment Standard Edition v1.3.1 "MozBackup_is1" = MozBackup 1.4.5 "Mozilla Firefox (3.5)" = Mozilla Firefox (3.5) "Mozilla Thunderbird (1.5.0.14)" = Mozilla Thunderbird (1.5.0.14) Czyli: - Odinstaluj wszystkie stare wtyczki Adobe, Java oraz produkty Mozilla. Już jest zainstalowany MozBackup, więc cenne dane (w Firefox ogranicz to tylko do zakładek i haseł) można skopiować. Zainstaluj najnowsze produkty Mozilla i potrzebne wtyczki. - Pełna aktualizacja Windows XP: instalacja nowszego Agenta aktualizacji, instalacja SP3 i IE8 oraz wszystkie uzupełnienia z Windows Update wydane po publikacji SP3 (od roku 2008 będzie tego sporo). Te procesy nadpiszą większość plików Windows. - Aktualizacja pakietu Microsoft SQL Server 2005: KB913089. . Odnośnik do komentarza
Rekomendowane odpowiedzi