martinesq Opublikowano 12 Grudnia 2010 Zgłoś Udostępnij Opublikowano 12 Grudnia 2010 Witam wszystkich forumowiczów, wczoraj pobrałem pewne pliki i podejrzewam że złapałem wirusa SALITY, menadzer zadan, rejestr wyłączone przez administratora, do tego podczas skanowania gmerem wyskakuje blue screen 0x000000F4 (0x00000003,0x8706ADA0,0x8706AF14,0x805FA2F8), dodam jeszcze że po zalogowaniu wyskakuje okno że pliki systemowe zostały zamienione, czy coś w tym stylu. Załączam log z OTL, niestety nie wiem z jakiego powodu ale nie tworzy mi się plik extras.txt. OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Grudnia 2010 Zgłoś Udostępnij Opublikowano 12 Grudnia 2010 podczas skanowania gmerem wyskakuje blue screen 0x000000F4 (0x00000003,0x8706ADA0,0x8706AF14,0x805FA2F8) Zamiennie można użyć w takiej sytuacji narzędzia RootRepeal niestety nie wiem z jakiego powodu ale nie tworzy mi się plik extras.txt. Opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" by powstał log extras. Na razie jednak nie warto się tym zajmować. Poniższa usługa w OTL mówi wszystko i potwierdza to o czym wspominasz: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\iommef.sys -- (dac970nt) Wirus Sality w plikach wykonywalnych. Wstępnie spróbujemy to usuwać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\wanatw4.sys -- (wanatw) WAN Miniport (ATW) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\iommef.sys -- (dac970nt) [2010-11-02 18:25:15 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O2 - BHO: (no name) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - No CLSID value found. O2 - BHO: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found. O4 - Startup: C:\Documents and Settings\mateusz\Menu Start\Programy\Autostart\raw32.dll () O4 - Startup: C:\Documents and Settings\mateusz\Menu Start\Programy\Autostart\raw32.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O33 - MountPoints2\{90e05c34-0501-11e0-8d5e-00304f67daa9}\Shell\AutoPlaY\ComMAnD - "" = E:\neraph.pif -- File not found O33 - MountPoints2\{90e05c34-0501-11e0-8d5e-00304f67daa9}\Shell\AutoRun\command - "" = E:\neraph.pif -- File not found O33 - MountPoints2\{90e05c34-0501-11e0-8d5e-00304f67daa9}\Shell\ExpLore\COmmANd - "" = E:\neraph.pif -- File not found O33 - MountPoints2\{90e05c34-0501-11e0-8d5e-00304f67daa9}\Shell\open\comManD - "" = E:\neraph.pif -- File not found :Files C:\Documents and Settings\mateusz\Ustawienia lokalne\Temp :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 2. Wykonaj skanowania całego dysku za pomocą narzędzia SalityKiller 3. Wykonaj naprawe trybu awaryjnego za pomocą Sality_RegKeys.zip 4. Do oceny log z usuwania OTL oraz nowe logi z OTL wytworzone z ponownego skanowania + log z Gmer lub RootRepeal. Odnośnik do komentarza
martinesq Opublikowano 12 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2010 Nie było żadnego logu z OTL przy wykonaniu skryptu, komputer uruchomił się ponownie i nie było logu. Dorzucam log z OTL i RootRepeal. OTL.Txt sss.txt Odnośnik do komentarza
Landuss Opublikowano 12 Grudnia 2010 Zgłoś Udostępnij Opublikowano 12 Grudnia 2010 Gdzie jest log extras? On jest istotny zwłaszcza przy tej infekcji. Czy skanowałeś SalityKillerem? Nic nie wspominasz. Skanuj do skutku dopóki nic nie wykryje. Tymczasem kolejny skrypt do OTL: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?AF=11900" IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - Reg Error: Key error. File not found O4 - Startup: C:\Documents and Settings\mateusz\Menu Start\Programy\Autostart\Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Vista Sidebar\Thoosje Vista Sidebar.exe File not found :Services wanatw dac970nt :Commands [emptytemp] Nowe logi do oceny z OTL. Postaraj się też extras. Odnośnik do komentarza
martinesq Opublikowano 12 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2010 Więc po wykonaniu skryptu log który wyskoczył, nie można było załączyć ponieważ rozrzeżenie .log, zmieniłem na .txt. Ponowne skanowanie OTL i extras 1.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Grudnia 2010 Zgłoś Udostępnij Opublikowano 12 Grudnia 2010 Na ten moment infekcja wygląda na opanowaną, ale żeby być pewnym trzeba odczekać pare dni z werdyktem. Wykonaj kroki końcowe. 1. Użyj opcji Sprzątanie z OTL. 2. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Wyzeruj stan przywracania systemu: KLIK 4. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 Szczegóły w tym temacie: INSTRUKCJE. Odnośnik do komentarza
martinesq Opublikowano 12 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2010 Mam za słabego kompa na sp3, ie 8 Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2010 Zgłoś Udostępnij Opublikowano 13 Grudnia 2010 Mam za słabego kompa na sp3, ie 8 Skoro dźwiga SP2 to nie widzę problemu z SP3.... SP3 tylko tyle robi, że podmienia pliki systemowe, pliki które już notabene są w systemie i działają. Tak więc rozwiń myśl o co tu Ci chodzi, bo teoria ma luki. Dodatkowo: siedząc na SP2 masz Windows sito i jesteś odcięty od krytycznych aktualizacji (MS zbanował Windowsy poniżej progu SP3). Odnośnik do komentarza
martinesq Opublikowano 13 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2010 Na moje możliwośći to wystarcza sp2, mam własne zdanie i uważam że sp3 to jest coś nowszego co będzie mi bardziej zamulało kompa niż zamula teraz. Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2010 Zgłoś Udostępnij Opublikowano 13 Grudnia 2010 martinesq proszę w takim razie o niezbite dowody a nie domysły. Ja się nie zgadzam z Twoim zdaniem i uważam, że robisz duży błąd zostawiając Windows w takim stanie. Odnośnik do komentarza
martinesq Opublikowano 13 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2010 (edytowane) Uwierzcie że mam słabego kompa, a sp3 miałem zainstalowanego i strasznie spowalniał mi komputer, ładował się godzinę, wszystko się otwierało godzinę, więc ja dziękuje za takie coś;] Edytowane 14 Grudnia 2010 przez picasso Wątki z grząskiego gruntu usuwam. Widzę jawny opór w instalacji SP3. Temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi