Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

System po infekcji wirusem Sality

huberciak19

Przez huberciak19
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

huberciak19

huberciak19

Opublikowano
Opublikowano

Witam

 

Problem polega na tym, że posiadam dwie wersje systemu (na partycji C WIn 7,na D Win xp).

Ostatnio antywirus (Comodo interner security) wykryl u mnie wirusa Sality skorzystałem z artykułu wykonałem podane tam kroki i niby uwolniłem sie od tego wirusa jednak przy probie przejscia na win xp komputer restartuje sie i przelancza na win 7. Podejrzewam że podczas uzycia podanych w linku skanerów wyrzarło pliki odpowiedzialne za uruchomienie systemu xp. Myśle że win7 jest mniej podatny na tego wirusa. Prosze o pomoc w sprawie uruchomienia win xp a i dodam ze wywalilem z partycji win xp plik o nazwie NTDETECT.exe ktorego wczesniej nie bylo

 

Daje logi z OTL

http://wklej.to/1RsUC

 

http://wklej.to/OlivN

 

dodam jeszcze ze uzywalem skanerów typu combofix, salitykiller, web cure it

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Temat założony w złym dziale. Przenoszę do sekcji diagnostyki indekcji. Brakuje obowiązkowych logów z FRST i GMER. Dostarcz je. Z tym, że:

 

niby uwolniłem sie od tego wirusa jednak przy probie przejscia na win xp komputer restartuje sie i przelancza na win 7.

Podawanie logów FRST z poziomu Windows 7 przedstawi tylko układ dysków, brak jednak jakichkolwiek informacji o XP. Zrób więc także log FRST z poziomu środowiska zewnętrznego, wybierając do skanu XP.

 

 

Podejrzewam że podczas uzycia podanych w linku skanerów wyrzarło pliki odpowiedzialne za uruchomienie systemu xp. Myśle że win7 jest mniej podatny na tego wirusa.

Widows 7 32-bit ma tę samą podatność na Sality, ale systemy 64-bit (tu taki jest) są mniej dotknięte, tzn. tylko 32-bitowe pliki są niszczone.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Niestety z raportu FRST nic kompletnie nie wynika.

 

 

przy probie przejscia na win xp komputer restartuje sie i przelancza na win 7. Podejrzewam że podczas uzycia podanych w linku skanerów wyrzarło pliki odpowiedzialne za uruchomienie systemu xp.

Podaj mi skan pod kątem obecności plików rozruchowych XP.

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: dir /a C:\
CMD: type C:\boot.ini
File: C:\Bootfont.bin

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST.

 

2. Wejdź do środowiska zewnętrznego. Uruchom FRST, wybierz system XP, kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Teraz przy próbie startu pojawia się napis o brakującym pliku a konkretnie Windows\system32\hal.dll Pytanie czy pomoże go dociągnąć ze stronki www.dll-files.com ?

Czy ten błąd na pewno się powtarza przy ponownej próbie? Nie próbuj nic ściągać z sieci. Pliki muszą być w wersjach zgodnych z polskim XP SP3 i w razie konieczności to ja dostarczę poprawny plik. Ponadto, ten błąd może oznaczać różne usterki: rzeczywisty brak pliku lub jego uszkodzenie, problem z plikiem boot.ini lub inny problem związany z układem rozruchowym (a jest tu dual boot z Windows 7). Zawartość pliku boot.ini już sprawdzałam. Na początek weryfikacja czy plik jest w systemie i w jakim stanie:

 

Przejdź do środowiska zewnętrznego, uruchom FRST i wybierz XP, w polu Search wklep hal.dll i klik w Search Files. Dostarcz wynikowy log.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Twój plik hal.dll wygląda inaczej niż mój (inny rozmiar + suma kontrolna MD5) i jest oznaczony jako modyfikowany dnia dzisiejszego:

 

C:\WINDOWS\system32\hal.dll

[2014-09-05 14:01][2008-05-15 2:20] 0319208 ____A (Microsoft Corporation) 0EC3C2C84FC95B03ACEDB54ACBB35503

 

Co więcej, szukając na sumę kontrolną wychodzi, że w Twoim XP siedzi plik ... Windows 8! :blink: Czy Ty coś ręcznie kombinowałeś, pobierałeś skąd plik? Oczywiście wstawianie niekompatybilnych plików tylko pogarsza sprawę. Mój plik z polskiego XP SP3 wygląda następująco:

 

C:\WINDOWS\system32\hal.dll

[2008-04-15 08:30][2008-04-15 08:30] 0081152 ____A (Microsoft Corporation) c4ba879b581be34536fe01f79ac28631

 

 

Podmieniaj pliki:

 

1. Pobierz: KLIK. Zapisz wprost na dysku C (etykieta SYSTEM). Otwórz Notatnik i wklej w nim:

 

Replace: C:\hal.dll C:\WINDOWS\system32\hal.dll

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST.

 

2. Wejdź do środowiska zewnętrznego. Uruchom FRST, wybierz system XP (nie pomyl się), uruchom Fix. Powstanie fixlog.txt.

 

3. Spróbuj uruchomić XP. Pokaż wynikowy fixlog.txt.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Błąd jak rozumiem ten sam. Plik jakoby został podstawiony. Na wszelki wypadek zrób ponowną akcję z Search Files i dostarcz wynik. Zaprezentuj mi jeszcze widok układu partycji z poziomu Windows 7: uruchom przystawkę diskmgmt.msc, upewnij się że na dole dobrze widać wszystkie partycje i zrób z tego zrzut ekranu.

 

Kiedy właściwie przestał działać start do XP, po której akcji? I tu może być nieopłacalne jego ożywianie, skoro grasował Sality. Nawet po wyleczeniu mogą być szkody w plikach i brak pierwotnej sprawności.

 

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...