maciek1111 Opublikowano 22 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2011 WITAM, PROSZĘ O POMOC , KOMPUTER JEST POWAZNIE ZAINFEKOWANY PRZY PRÓBIE USUNIĘCIA WIRUSA NASTĘPUJE RESTART,WŁĄCZAJĄ SIĘ MOJE DOKUMENTY 2 RAZY PRZY STARCIE SYSTEMU , OGÓLNIE KOMPUTER JEST BARDZO SPOWOLNIONY , MOZILLA I NIEKTÓRE PROGRAMY ZOSTAŁY USUNIĘTE PRAWDOPODBNIE PRZEZ INFEKCJE , PROSZĘ O POMOC . OTL.Txt loggmer.txt Odnośnik do komentarza
maciek1111 Opublikowano 23 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2011 czy ktoś może mi pomóc z tym problemem? dodam do tematu jeszcze że antywirus został wyłączony lub uszkodzony , włącza się na 2 sekundy,pisze,że nie ma ochrony i wyłącza się , menadżer zadań zablokowany,wszelkie próby wejścia na strony www producentów oprogramowania lub instalacji antywirusa kończą się niepowodzeniem :/ pierwszym objawem było usunięcie części plików office xp ( exel nie uruchamiał się ) , to samo stało się z adobe ( pdf ) , co kilka włączeń zdarza się zobaczyć pusty ekran powitalny ( brak ikon ) reset pomaga .... w jaki sposób poradzić sobie z tą infekcją ??? Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2011 Mamy wakacje, dlatego nie odpowiadamy tu w tempie błyskawicznym. Log z OTL jest niekompletny, nie podałeś Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). A sytuacja kiepska: DRV - File not found [Kernel | On_Demand | Running] -- -- (abp470n5) System jest zainfekowany wirusem Sality, który niszczy wszystkie wykonywalne na wszystkich dyskach i może okazać się konieczny format (przy braku skutkach w leczeniu). Próba leczenia: 1. Wstępne usuwanie komponentów pobocznych (nie zatrzyma to infekcji). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services abp470n5 rbgjnhp ewjxwrwn dzhequ :Files RECYCLER /alldrives C:\WINDOWS\System32\uymezcr.dll :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- "DisableRegistryTools"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EXPLORER.EXE"=- "wsctf.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "facemoods"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany, otrzymasz log z wynikami. 2. Pobierz SalityKiller. Przejdź do Trybu awaryjnego Windows i wykonaj nim skan, do skutku. Nie może zostać ani jeden zainfekowany plik. 3. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 4. Przejdź do Dodaj / Usuń programy i odinstaluj śmieci: Ask Toolbar i Facemoods Toolbar. 5. Wykonaj nowe logi: log z OTL (przypominam o Extras) na dostosowanym warunku, w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj. Również AD-Remover trybu skanowania. . Odnośnik do komentarza
maciek1111 Opublikowano 24 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2011 niestety tryb awaryjny nie chce zaskoczyć :/ nie włącza się , mogę zrobić skan SalityKiller'em w normalnym trybie ? Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2011 Z rozpędu napisałam o Trybie awaryjnym. Przecież po to jest punkt 3, że Sality skasował Tryb awaryjny, dlatego w punkcie 2 nie możesz do niego zastartować. Albo albo: zamień kolejność (ale przy czynnym wirusie import SafeBootWinXP.reg wykonywany przed czyszczeniem wirusa z plików może być nietrwały) albo użyj SalityKiller z poziomu Trybu normalnego. Odnośnik do komentarza
maciek1111 Opublikowano 24 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2011 ok wszystko wykonane , przesyłam log z otl proszę o sprawdzenie : http://www.wklejto.pl/103748 ad-r: http://www.wklejto.pl/103749 Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2011 Proszę korzystaj z funkcji Załączniki, ten serwis wklejkowy jest nieporęczny. Log z OTL nadal niekompletny, mówiłam: Log z OTL jest niekompletny, nie podałeś Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Patrząc na log z OTL, to nie wygląda na to, że wszystkie zadania się wykonały. I nie jestem pewna czy infekcja jest usunięta, ponieważ usługa Sality nadal jest w systemie. Czy SalityKiller w ogóle coś leczył? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\WINDOWS\System32\uymezcr.dll C:\Program Files\Uninstall Ask Toolbar.dll C:\Program Files\AskTBar C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrch.xml :OTL DRV - File not found [Kernel | Unknown | Running] -- -- (abp470n5) NetSvcs: dzhequ - File not found NetSvcs: ewjxwrwn - File not found NetSvcs: rbgjnhp - File not found NetSvcs: ogbhnjs - C:\WINDOWS\system32\uymezcr.dll () FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}] Klik w Wykonaj skrypt. Z tego działania powstanie log. 2. Ponownie odpal SalityKiller i sprawdź czy widzi jakieś zarażone pliki. Również się upewnij, że Tryb awaryjny został naprawiony. 3. Wytwórz nowy log z OTL opcją Skanuj (mówię po raz trzeci: Extras też ma zostać zaprezentowany). I dołącz także log z usuwania z punktu 1. . Odnośnik do komentarza
maciek1111 Opublikowano 24 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2011 przesyłam wszystkie potrzebne pliki , sk nic nie znalazł pozdrawiam i dziekuje Extras.Txt nowyOTL.Txt zmotl1.txt Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2011 (edytowane) 1. W OTL Extras jeszcze widać autoryzowane zapisy zainfekowanych plików. Zresetuj ustawienia: Start > Uruchom > cmd i wpisz komendę netsh firewall reset. 2. Odinstaluj AD-Remover. W OTL uruchom funkcję Sprzątanie. 3. Przeskanuj system za pomocą Kaspersky Virus Removal Tool i przedstaw raport (interesują mnie tylko wyniki infekcyjne, pozostałe typy typu OK / Archive / Packed nie). . Edytowane 26 Września 2011 przez picasso 26.09.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi