Zablokowane pobieranie antywirusów i błąd

osc91 · 23 Lipca 2013

Witam,

mam następujący problem z komputerem, na którym zainstalowany jest Windows XP (32-bit) Service Pack 3. System bardzo bardzo powoli się uruchamia, przy próbie pobrania instalki programu antywirusowego dochodzi do 99% i się zatrzymuje, a co jakiś czas pojawia się błąd http://img19.imageshack.us/img19/354/clcm.jpg.Załączam logi z OTL i GMER (niestety nie mogłem załączyć przez forum, więc daję link) http://chomikuj.pl/osc91/GMER,2938759191.txt.

Uprzejmie proszę o pomoc.

OTL.Txt

Extras.Txt

picasso · 27 Lipca 2013

Niestety, kiepsko. System jest bardzo zainfekowany różnej maści trojanami, ale najgorsza z infekcji to wirus Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Może być wymagane przeformatowanie całego dysku. Pierwsze podejście:

1. Wstępne usunięcie wpisów startowych (to nie zatrzyma infekcji Sality). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.searchamong.com/?source=64020400f00960c0ef04052547b134b3
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
O4 - HKLM..\Run: [Realtek Audio Manager] C:\Program Files\Common Files\Realtek0\zjiujsnjb.exe (BreakPoint Software)
O4 - HKLM..\Run: [winlogon] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\AppServices.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Def1] C:\Documents and Settings\Administrator\Dane aplikacji\zOYHH\ltc.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Default] C:\Documents and Settings\Administrator\Dane aplikacji\PKyTK\ltc.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Driver Update Manager] C:\Documents and Settings\Administrator\Dane aplikacji\Update Drivers\micromgr.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Realtek Audio Manager] C:\Program Files\Common Files\Realtek0\zjiujsnjb.exe (BreakPoint Software)
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [startup] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Client.exe (legacyLink Inc)
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Win Update Service] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Installer\Install.exe (Microsoft GmbH)
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [winlogon] C:\WINDOWS\121075918\winsys.exe ()
O4 - HKLM..\RunOnce: [*121075918] C:\WINDOWS\121075918\winsys.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\RunOnce: [*121075918] C:\WINDOWS\121075918\winsys.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 43444 = c:\docume~1\alluse~1\dxwnsyxjt.exe (BreakPoint Software)
O7 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O7 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1
O7 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found
O27 - HKLM IFEO\hijackthis.exe: Debugger - f_.exe File not found
O27 - HKLM IFEO\housecalllauncher.exe: Debugger - rqmynan_.exe File not found
O27 - HKLM IFEO\mbam.exe: Debugger - rtqiispq_.exe File not found
O27 - HKLM IFEO\mbamgui.exe: Debugger - zjiucdlv_.exe File not found
O27 - HKLM IFEO\rstrui.exe: Debugger - dt_.exe File not found
O27 - HKLM IFEO\spybotsd.exe: Debugger - z_.exe File not found
DRV - File not found [File_System | System | Stopped] -- C:\Program Files\System\CPL Bonus\Vcdrom.sys -- (vcdrom)
 
:Files
C:\autorun.inf
C:\coosex.exe
C:\cacpbb.exe
C:\ajdkog.exe
C:\WINDOWS\121075918
C:\Program Files\Common Files\Realtek0
C:\Documents and Settings\Administrator\Dane aplikacji\dmplogs
C:\Documents and Settings\Administrator\Dane aplikacji\fdirsfjd
C:\Documents and Settings\Administrator\Dane aplikacji\Mango
C:\Documents and Settings\Administrator\Dane aplikacji\zOYHH
C:\Documents and Settings\Administrator\Dane aplikacji\PKyTK
C:\Documents and Settings\Administrator\Dane aplikacji\Update Drivers
C:\Documents and Settings\Administrator\Dane aplikacji\zocxn
C:\Documents and Settings\Administrator\Dane aplikacji\zOYHH
C:\Documents and Settings\Administrator\Dane aplikacji\WindowsLogonSS
C:\Documents and Settings\Administrator\Dane aplikacji\WindowsLogonSSS
C:\Documents and Settings\Administrator\Dane aplikacji\WindowsWideScreen
C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Installer
C:\Documents and Settings\Administrator\Dane aplikacji\__0004a7c5.lnk
C:\Documents and Settings\Administrator\Dane aplikacji\vioplayer_d1983274.exe
C:\Documents and Settings\Administrator\Dane aplikacji\b.exe
C:\Documents and Settings\Administrator\Dane aplikacji\b8351d73.exe
C:\Documents and Settings\Administrator\Dane aplikacji\vio_clean.exe
C:\Documents and Settings\Administrator\Dane aplikacji\satoolbar.exe
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6q64kylc.default\searchplugins\SearchAmong Search.xml
C:\Documents and Settings\Administrator\AppServices.exe
C:\Documents and Settings\Administrator\Pulpit\vba1.ini
C:\Documents and Settings\All Users\Dane aplikacji\APN
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\dxcofs.exe
C:\Documents and Settings\All Users\dxwnsyxjt.exe
C:\WINDOWS\System32\WC.com
C:\WINDOWS\System32\cygwinb19.dll
C:\WINDOWS\System32\zlib1.dll
C:\WINDOWS\System32\CabTool.exe
C:\WINDOWS\System32\theowl.dll
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Pobierz SalityKiller. Wykonaj nim skan do skutku, tzn. po pierwszy przebiegu musi być powtórzony tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. Dopiero wtedy:

3. Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg i potwierdź import do rejestru.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowe logi: OTL z opcji Skanuj (ma powstać ponownie plik Extras) + GMER + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller.

.

Edytowane 20 Września 2013 przez picasso
20.09.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Zablokowane pobieranie antywirusów i błąd

Rekomendowane odpowiedzi

osc91

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność