atasuke Opublikowano 2 Lipca 2011 Zgłoś Udostępnij Opublikowano 2 Lipca 2011 Witam W komputerze zainstalowany jest Windows XP. Po jego uruchomieniu nie widać ikon na pulpicie ani paska ,dopiero gdy zamknę explorer i uruchomię go jako nowe zadanie wszystko pozornie wraca do normy Avira Antivir Personal zgłasza w pliku c:\windows\system32\ wmimgr32.dl_ takiego wirusa: W32 Sality . L.1. Odinstalowałem tylko demona, alcochol 120 i uruchomiłem logi z otl i gmera : OTL http://www.wklej.org/id/555881/ Extras: http://www.wklej.org/id/555882/ Gmer: http://www.wklej.org/id/555922/ Odnośnik do komentarza
Landuss Opublikowano 2 Lipca 2011 Zgłoś Udostępnij Opublikowano 2 Lipca 2011 Wszystko wskazuje na to, że naprawdę tu może być Sality bo są ślady infekcji z dysków przenośnych a taką drogą Sality wchodzi najczęściej. 1. Wykonaj skan dysku za pomocą SalityKiller i skanuj dotąd dopóki nic nie wykryje. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives C:\Program Files\Conduit c:\windows\system32\wmimgr32.dl_ C:\Documents and Settings\pc\csrss.exe C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\Conduit :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [HKEY_USERS\S-1-5-21-746137067-1957994488-1801674531-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :OTL SRV - File not found [Auto | Stopped] -- -- (hglylx) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-746137067-1957994488-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1098640" FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT1098640&SearchSource=13" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014 FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 FF - prefs.js..keyword.URL: "http://start.facemoods.com/results.php?f=5&a=ddr&q=" [2010-02-03 21:15:43 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\7aekjsue.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-06-15 15:05:19 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\7aekjsue.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2011-07-02 10:40:22 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\7aekjsue.default\extensions\DTToolbar@toolbarnet.com [2011-06-15 15:05:19 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\7aekjsue.default\extensions\engine@conduit.com [2011-04-09 12:56:17 | 000,000,000 | ---D | M] (Facemoods) -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\7aekjsue.default\extensions\ffxtlbr@Facemoods.com [2011-05-25 16:55:54 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\7aekjsue.default\searchplugins\conduit.xml [2010-02-25 08:44:22 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\7aekjsue.default\searchplugins\daemon-search.xml [2010-02-03 21:40:20 | 000,001,201 | ---- | M] () -- C:\Documents and Settings\pc\Dane aplikacji\Mozilla\Firefox\Profiles\7aekjsue.default\searchplugins\winamp-search.xml [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O3 - HKU\S-1-5-21-746137067-1957994488-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [4StoryPrePatch] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Z panelu usuwania programów odinstaluj pozycję facemoods 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Możesz załączyć też raport z SalityKillera. Odnośnik do komentarza
atasuke Opublikowano 2 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2011 Wszystko zrobiłem tak jak kazałeś oto wyniki: skany z OTL: http://www.wklej.org/id/556293/ extras: http://www.wklej.org/id/556294/ Otl po skrypcie: http://www.wklej.org/id/556295/ Odnośnik do komentarza
Landuss Opublikowano 3 Lipca 2011 Zgłoś Udostępnij Opublikowano 3 Lipca 2011 Skrypt się wykonał i w logach infekcji już nie widać. Ale nie piszesz co z SalityKiller? Wykrył coś? I napisz też czy problem z pustym pulpitem ustąpił bo powinien. Jeśli tak przejdziemy do dalszych działań na koniec. Odnośnik do komentarza
atasuke Opublikowano 3 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2011 SalityKiller przepuściłem kompa dwa razy osobiście nic nie zgłaszał o infekcji ale przy niektórych plikach podczas skanowania tym programem antywirus zaczął zgłaszać o infekcji więc po prostu dawałem usuń plik. I teraz nic nie zgłasza. Chciałem dać loga z tego killera ale możesz zabić ale nic takiego nie powstało chyba że powstało tylko ja nie wiem gdzie to jest. Komputer uruchamia się już normalnie , Ikony i pasek wróciły. Dziękuje możemy przejść do dalszych czynności Odnośnik do komentarza
Landuss Opublikowano 3 Lipca 2011 Zgłoś Udostępnij Opublikowano 3 Lipca 2011 W poprzednim logu nadal widać ten plik od infekcji: [2010-06-04 21:19:00 | 000,018,666 | -H-- | C] () -- C:\WINDOWS\System32\wmimgr32.dl_ Przepuść kolejny skrypt przez OTL: :Files C:\WINDOWS\System32\wmimgr32.dl_ Do wglądu nowy log z OTl (otl.txt) Odnośnik do komentarza
atasuke Opublikowano 3 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2011 Wykonałem co zaleciłeś: Oto nowy log z otl: Po wykonaniu skryptu: http://www.wklej.org/id/556394/ Odnośnik do komentarza
Landuss Opublikowano 3 Lipca 2011 Zgłoś Udostępnij Opublikowano 3 Lipca 2011 Według tego co pokazuje OTL pliku teraz już nie było na dysku więc coś go musiało usunąć wcześniej. To lecimy dalej. 1. Użyj opcji Sprzątanie z OTL. 2. Do wykonania aktualizacja IE (to jest ważne) - Internet Explorer 8 3. Opróżnij folder przywracania systemu: KLIK Odnośnik do komentarza
atasuke Opublikowano 3 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2011 (edytowane) Zrobione Internet explorer 8 zainstalowany Przywracanie wykonane sprzątanie po OTL Edytowane 3 Lipca 2011 przez Landuss W takim razie temat zamykam Odnośnik do komentarza
Rekomendowane odpowiedzi