Infekcja przeniesiona z pendriva

[diox]

Jeśi chodzi o tryb PIO: weź prawym na kanał, na którym jest tryb PIO, tam wciśnij Odinstaluj . Zrób restart systemu, tryb PIO zmieni się na DMA .

 

Co do HOSTS: Wejdź w C:\WINDOWS\System32\drivers\etc, stamtąd skopiuj plik hosts np. na Pulpit, tam otwórz go na pomocą Wordpada, usuń co jest w tym pliku i wklej:

 

# Copyright (c) 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

 

127.0.0.1 localhost

 

Zapisz jako hosts i podmień pliki z lokalizacji, którą podałem .

[siedzik]

Zrobione . Po odinstalowaniu PIO i zrestartowaniu systemu jak się włączył wyskoczyło okienko z ponowną instalacją plików jeśli zainstalowałem je ponownie wróci do poprzedniego ustawienia ?

 

Hosts również zaktualizowany teraz zrobię logi i skan .

 

Skan kaspersky nic nie wykrył wklejam logi .

 

Mam jeszcze pytanie czy jesteście w stanie pomóc w odnalezieniu prawidłowych sterowników do mojego lapka dużo osób próbowało mi pomóc i nie było skutku ;/ (Gram bez sterowników już od dłuższego czasu) Laptop jest starszej generacji .

Fixlog.txt

OTL.Txt

[diox]

Podaj model laptopa, bez tego nic nie można pomóc .

 

Spróbuj też odpalić GMER-a w Trybie awaryjnym Windows .

[siedzik]

Jest taka sprawa że mam 2 numery tam wpisane i nie wiem który jest modelem lapka bo nie jest to opisane ;/ 

 

A co do GMER to co on ma jeszcze wyszukać ?? 

 

Dobra mam Sony Vaio PCG-9RFL 

[picasso]

Najpierw doczyść infekcję. Potem założysz nowy temat w innym dziale na temat sterowników. Nie mieszaj wątków tutaj.

 

Tego GMERA zostaw już, w końcu po to dałam TDSSKiller. Nie wszystko się wykonało ze skryptu i wymagane poprawki. Czy na pewno dysk H był podpięty podczas uruchamiania skryptu FRST? Poza tym w związku z obecnością Sality będzie wymagany kompletny antywirusowy skan. Kolejne akcje:

 

1. Dysk H ma być podpięty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"vbcc32.exe"=-
 
:Files
H:\autorun.inf
H:\lwoetr.exe
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing.

 

 

.

[siedzik]

Z pena wywaliłem tego OTLPE całego już wcześniej ale zrobię to dla jasności

 

Wykonane. 

 

Tak żebym wiedział gdzie mogę umieścić temat z sterownikami ??

UsbFix Listing 3 MIKI-D3C83A57D5.txt

OTL.Txt

[picasso]

Zadania wykonane. Kolejna porcja czynności:

 

1. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj resztę narzędzi i ten plik:

 

C:\WINDOWS\System32\drivers\etc\hosts.old

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób skan za pomocą Kaspersky Virus Removal Tool. Domyślnie Kaspersky robi skan ekspresowy, w opcjach należy zmienić na pełny. Wszystkie dyski muszą być przeskanowane w całości, a wg OTL są obecnie dwa dostępne:

 

Drive C: | 55,88 Gb Total Space | 0,96 Gb Free Space | 1,72% Space Free | Partition Type: NTFS

Drive H: | 14,52 Gb Total Space | 13,21 Gb Free Space | 90,97% Space Free | Partition Type: FAT32

 

Jeśli skaner coś wykryje, przeklej te wyniki do oceny.

 

 

Tak żebym wiedział gdzie mogę umieścić temat z sterownikami ??

Dział Windows XP lub Hardware. Temat już założyłeś: KLIK.

 

 

 

.

[siedzik]

Skan zrobiony nic nie wykryło.

 

Lecz mam jeszcze jedno pytanie mianowicie gdy siedziałem wcześniej na internecie to często wyskakiwało mi powiadomienie iż mam zbyt mało miejsca przeznaczonego na pamięć wirtualną i system musiał ją powiększać co mam zrobić by mi czyściło tą pamięć przy każdym wyłączaniu systemu ??

[picasso]

To na pewno był pełny skan Kasperskym?

 

 

Lecz mam jeszcze jedno pytanie mianowicie gdy siedziałem wcześniej na internecie to często wyskakiwało mi powiadomienie iż mam zbyt mało miejsca przeznaczonego na pamięć wirtualną i system musiał ją powiększać co mam zrobić by mi czyściło tą pamięć przy każdym wyłączaniu systemu ??

Pamięci fizycznej RAM to masz bardzo malutko i przy wyczerpaniu zasobów pamięci system musi silnie stronicować na dysku:

 

382,98 Mb Total Physical Memory | 94,51 Mb Available Physical Memory | 24,68% Memory free

1,05 Gb Paging File | 0,70 Gb Available in Paging File | 66,59% Paging File free

 

Nie ma potrzeby robić żadnych operacji z "czyszczeniem przy zamykaniu", bo reset komputera jest równoznaczny ze zwolnieniem pamięci. W widzianej konfiguracji ewentualnie należy powiększyć plik pamięci wirtualnej przy udziale konfiguracji systemowej, ale to nie da wybitnych rezultatów, prędzej należy dołożyć fizyczny RAM, o ile da się / opłaca inwestować w tego laptopa.

 

 

 

.

[siedzik]

Nie opłaca się to jest laptop tymczasowy póki się czegoś innego nie znajdzie lecz myślę że w przyszłości i tak będzie używany dlatego też staram się o sterowniki do niego .Możesz spojrzeć na mój temat ze sterownikami ?? Bo nie wiem co tam brakuje ;/

[picasso]

Nie odpowiedziałeś mi na pytanie o skan Kasperskym.

 

siedzik, a moim zdaniem tu nie w sterownikach rzecz. Tam Ci już podali tropy w temacie. A ja dodatkowo podkreślę jeszcze raz: masz bardzo mało RAM, niecałe 400 MB dostępne. W takiej sytuacji system będzie mulił i tyle.

 

 

.

[siedzik]

Tak pobrałem kaspersky z linka którego podałaś .

[picasso]

Ja pytam czy skan w Kasperskym był typu pełnego (wszystkie dyski wybrane w konfiguracji skanera), a nie ekspresowego.

 

 

.

[siedzik]

Tak zmieniłem ustawienia jak mnie pokierowałaś skan się dłużył strasznie pierw wyskoczyło iż zakończy się w 1h a co kilka minut zmieniało się o godzinę więcej .Musiałem zostawić go na noc włączonego by zakończył skan ;/ 

[picasso]

Na zakończenie: nowszy OTL podany w drugim temacie pokazuje nowe drobne szczątki adware. Usuń je i już pusty wpis Fix-it (poprzednio nie był).

 

1. Odinstaluj Qtrax Player.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Microsoft Fix it Center\Matsvc.exe -- (MatSvc)
[2013-07-11 08:37:36 | 000,001,965 | ---- | C] () -- C:\Documents and Settings\Grzesiek\Menu Start\Programy\Qtrax Player.lnk
[2013-07-11 08:37:36 | 000,001,959 | ---- | C] () -- C:\Documents and Settings\Grzesiek\Pulpit\Qtrax Player.lnk
[2013-07-11 08:34:31 | 000,000,953 | ---- | C] () -- C:\Documents and Settings\Grzesiek\Pulpit\Continue Codec Package Installation.lnk
[2013-07-11 08:36:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzesiek\Ustawienia lokalne\Dane aplikacji\Babylon
[2013-07-11 08:35:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2013-07-11 08:35:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzesiek\Dane aplikacji\Babylon
[2013-07-11 08:34:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Grzesiek\Dane aplikacji\DSite
[2013-07-11 08:39:18 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\EPUpdater.job
[2013-07-06 16:47:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\MATS
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Gdy program ukończy działanie, uruchom Sprzątanie.

 

3. Odinstaluj starszą Java i wtyczki Adobe / Silverlight, zastąp najnowszymi (o ile potrzebne): KLIK.

 

4. Ponownie wyczyść foldery Przywracania systemu: KLIK.

 

 

To tyle z zakresu czyszczenia systemu z infekcji i śmieci. Przypominam, bardzo mało RAM, a i z miejscem na dysku jest też problem:

 

382,98 Mb Total Physical Memory | 114,40 Mb Available Physical Memory | 29,87% Memory free
 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 55,88 Gb Total Space | 1,19 Gb Free Space | 2,13% Space Free | Partition Type: NTFS

 

 

 

.

[siedzik]

Jest problem ponieważ mam sporo filmów na lapku a nie mam jak ich przenieść na płytę ;/ 

 

Biorę się do pracy

[picasso]

Jest problem ponieważ mam sporo filmów na lapku a nie mam jak ich przenieść na płytę ;/

A poprzez pendrive stopniowo przenosić na inny komputer?

 

 

.

[siedzik]

Chciałem tak lecz nie mam dostępu do sprawnej nagrywarki u kuzyna również coś szwankuje ;/

 

Zaktualizowano wszystko ,przywracanie systemu wyczyszczone i odinstalowane programy .

 

Wyniki końcowe OTL

OTL..txt

[picasso]

Akcje wykonane = Temat ukończony.

[siedzik]

Niestety mam ponowny problem z infekcją sality z poprzedniego tematu rozpocząłem walkę z tym . 

Sality killer wciąż wykrywa 1 z objaw infekcji której nie mogę się pozbyć po kilku próbach ;/

 

SalityRegCure: Fixing system.ini

 

 

 

Stało się to po podłączeniu pendriva którego o to nie podejrzewałem .że zawiera infekcję ;/ 

 

Oto logi wykonane po akcjach sality .

 

Logów z GMER oczywiście nie dodałem po ostatnim namieszaniu i zwieszaniu się skanowania .

Addition.txt

AdwCleanerS2.txt

Extras.Txt

FRST.txt

OTL.Txt

UsbFix Listing 1 MIKI-D3C83A57D5.txt

[picasso]

Temat sklejam z poprzednim.

 

 

Sality killer wciąż wykrywa 1 z objaw infekcji której nie mogę się pozbyć po kilku próbach ;/

 

SalityRegCure: Fixing system.ini

A czy tu aby nie jest tak, że SalityKiller po prostu przetwarza plik systemowy, który wcale nie jest zainfekowany? Otwórz w Notatniku plik C:\Windows\system.ini i wklej tu jego zawartość.

 

Ogólnie nie wygląda na to, by infekcja była czynna, ale pendrive H: owszem zainfekowany. Wykonaj te działania:

 

1. Odinstaluj BrowseToSave 1.74, McAfee Security Scan Plus, Update for Codec Package.

 

2. Przy podpiętym pendrive uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
H:\autorun.inf
H:\jirpou.cmd
C:\Program Files\Mozilla Firefox
netsh firewall reset /C
 
:OTL
O4 - HKLM..\RunOnce: [] File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk = File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go.

 

 

 

 

 

.

[siedzik]

Akcje wykonane .
 
BrowseToSave nie można usunąć . 
 
Zawartość systemu.ini
 

; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app852.FON
EGA80WOA.FON=EGA80852.FON
EGA40WOA.FON=EGA40852.FON
CGA80WOA.FON=CGA80852.FON
CGA40WOA.FON=CGA40852.FON
[MCIDRV_VER]

 

 

Log z usuwania + Logi OTL i FRST

 

Niestety po ponownym przeskanowaniu systemu Sality killer pojawiają się nowe infekcje ;/ Gdzieś wciąż jest ukryty sterownik sality i infekuje ;/ 

 

 

 

SalityRegCure: Registoring general registry keys

 

SalityRegCure: Fixing system.ini

 

c:\_OTL\MovedFiles\07202013_172827\H_\jirpou.cmd  infected virus.Win32.Sality.aa ...cured

skrypt.txt

FRST.txt

OTL.Txt

Edytowane 20 Lipca 2013 przez siedzik

[picasso]

Niestety po ponownym przeskanowaniu systemu Sality killer pojawiają się nowe infekcje ;/ Gdzieś wciąż jest ukryty sterownik sality i infekuje ;/

 

SalityRegCure: Registoring general registry keys

SalityRegCure: Fixing system.ini

c:\_OTL\MovedFiles\07202013_172827\H_\jirpou.cmd infected virus.Win32.Sality.aa ...cured

Nie, to nie są "nowe" infekcje:

 

- Dwa pierwsze rekordy mają inne znaczenie niż dosłowne usuwanie nowo wykrytej infekcji. SalityKiller uruchomiony ponownie będzie próbował przetwarzać to samo na poziomie rejestru i pliku system.ini. A Twój plik system.ini jest poprawny.

- Ostatni wynik pochodzi z kwarantanny OTL, to plik już usunięty z urządzenia moim skryptem OTL. Kwarantannę OTL usuwam zawsze na końcu.

 

Zadania wykonane. Kolejne kroki:

 

1. Usunięcie opornego wpisu BrowseToSave. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SP_48c708f2]

 

Klik w Wykonaj skrypt. Sprawdź sobie czy wpis przetworzony. Logów nie potrzebuję.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Dla pewności zrób kompletny skan ogólnym skanerem antywirusowym. Poprzednio proponowałam Kaspersky Virus Removal Tool i tym razem też to zadaję. Przypominam: w opcjach ustaw skan wszystkiego.

 

 

 

.

[siedzik]

Akcje wykonane prócz ostatniej . 

 

Podczas instalacji kaspersky za 1 razem się uruchomił bez problemów lecz gdy podłączyłem 2 pendriva kaspersky odmawia mi posłuszeństwa ;/

Podczas rozpakowywania wyskakują błędy .

 

Udało się po restarcie systemu .

 

Skan wykrył 2 trojany ;/ 

 

Oto info ze skanu .

 

 

skan.txt

Edytowane 21 Lipca 2013 przez siedzik

[picasso]

Wyniki skanowania "ubogie", tylko dwa wykrycia. Kaspersky wszystko skasował. Możesz usunąć Kasperskiego.

 

Temat wygląda na ukończony.

 

 

.