besser25 Opublikowano 7 Września 2011 Zgłoś Udostępnij Opublikowano 7 Września 2011 Witam,jak w temacie mam z tym problem-nie mogę wejść ani do menedżera ani do edytora.Nawet po sformatowaniu problem nie zniknął .Do tego nie mogę usuwać programów np.Daemon Tools , gdy gram w gry wyskakuje mi błąd R6002 .Proszę o poradę.W załączniku dodaje to co mi wyskoczyło w OTL-u. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 7 Września 2011 Zgłoś Udostępnij Opublikowano 7 Września 2011 Zabrakło obowiązkowego loga z GMER Niestety infekcję masz ciężka. Wirus Sality, który zaraża wszystkie pliki wykonywalne .exe na dysku twardym, a dowodem na to jest ta usługa w logu OTL: DRV - File not found [Kernel | On_Demand | Running] -- -- (amsint32) Jeśli format ci nie pomógł to znaczy, że albo nie formatowałeś całego dysku (wszystkie partycje), albo gdzieś zostawiłeś zalążek wirusa na dysku bądź urządzeniu przenośnym i ponownie zaogniłeś infekcję. Logi wskazują, że zaraziłeś się za pomocą urządzenia przenośnego np. pendrive i jego należy sformatować. Wstępnie spróbujemy to usuwać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives autorun.inf.vir /alldrives ohow.pif /alldrives :OTL DRV - File not found [Kernel | On_Demand | Running] -- -- (amsint32) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b91d916-dbf4-11dd-8bd3-0014c2d6b5f8}] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\DOCUME~1\luk\USTAWI~1\Temp\winebhev.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winprtm.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winlqbht.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winnlufh.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winoxsdww.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\tufajl.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winwuoi.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winaqvqae.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\oper.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Otrzymasz log, który zachowaj do pokazania na forum. 2. Pobierz SalityKiller. Wykonaj nim skan, do skutku. Nie może zostać ani jeden zainfekowany plik. 3. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. Ta operacja ma na celu naprawę skasowanego trybu awaryjnego. 4. Uruchamiasz ponownie OTL, tym razem na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wklej: DIR /A C:\ /C DIR /A D:\ /C Kliknij w Skanuj i wklej nowe logi z OTL. Odnośnik do komentarza
besser25 Opublikowano 8 Września 2011 Autor Zgłoś Udostępnij Opublikowano 8 Września 2011 Robiłem skan w SalityKiller ok.7 godzin,po tym czasie program dalej skanował...a ja byłem zmuszony wyłączyć już pc-ta.Czy to możliwe żeby tak długo skanował? Jak tak to biorę się zaraz znów do skanowania. Odnośnik do komentarza
Landuss Opublikowano 8 Września 2011 Zgłoś Udostępnij Opublikowano 8 Września 2011 Ale czy on coś znajdywał i usuwał lub leczył? Bo to jest istotne. W takim razie wykonuj pozostałe czynności i zobaczymy. Odnośnik do komentarza
besser25 Opublikowano 8 Września 2011 Autor Zgłoś Udostępnij Opublikowano 8 Września 2011 Leczył coś takiego "Infected Virus.Win32 Sality.ag...cured".zrobiłem resztę tak jak mówiłeś ale dalej to samo Odnośnik do komentarza
picasso Opublikowano 8 Września 2011 Zgłoś Udostępnij Opublikowano 8 Września 2011 Skoro sytuacja bez zmian, Sality nie jest wyleczony. Ponów skanowanie za pomocą SalityKiller, skan musi być robiony do skutku (zero zainfekowanych). Po akcji wykonaj po raz drugi import pliku SafeBootWinXP.reg (dopóki jest czynny Sality, ta zmiana się nie utrzymuje i infekcja kasuje w kółko klucz Trybu awaryjnego) oraz przedstawić log o który zostałeś poproszony. Odnośnik do komentarza
besser25 Opublikowano 8 Września 2011 Autor Zgłoś Udostępnij Opublikowano 8 Września 2011 Ponawiam skan i przesyłam loga. 09072011_180936.txt Odnośnik do komentarza
besser25 Opublikowano 10 Września 2011 Autor Zgłoś Udostępnij Opublikowano 10 Września 2011 Z menedżerem już się uporałem-działa bez zarzutu.Pozostał problem z błędem Microsoft Visual C++ Runtime Library .Mianowicie wyskakuje mi coś takiego: Microsoft Visual C++ Runtime Library Runtime Error! Program:D:\Program Files\Common Files\Java\Java Update\jusched.exe R6002 -floating point support not loaded W dalszym ciągu nie mogę odinstalować Daemon Toosl-co jest niezbędne do użycia GMER-a Odnośnik do komentarza
Landuss Opublikowano 10 Września 2011 Zgłoś Udostępnij Opublikowano 10 Września 2011 Zaprezentuj nowe logi z OTL z opcji Skanuj by było jasne jaka jest teraz sytuacja. Odnośnik do komentarza
besser25 Opublikowano 10 Września 2011 Autor Zgłoś Udostępnij Opublikowano 10 Września 2011 Przesyłam logi z OTL otlhe.txt Odnośnik do komentarza
Landuss Opublikowano 10 Września 2011 Zgłoś Udostępnij Opublikowano 10 Września 2011 Log ekstras też powinieneś pokazać. Opcję "Rejestr - skan dodatkowy" zaznacz na "Użyj filtrowania". W obecnym logu komponentów Sality nie widać, ale są za to od infekcji z urządzenia przenośnego. Wykonaj taki skrypt do OTL: :Files autorun.inf /alldrives bkmdt.pif /alldrives ohow.pif /alldrives D:\Documents and Settings\luk\Dane aplikacji\Mozilla\Firefox\Profiles\ls6hn1d7.default\searchplugins\web-search.xml :OTL O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKCU..\Run: [PCSpeedUp] File not found Do oceny nowe logi z OTL (obydwa) Odnośnik do komentarza
picasso Opublikowano 10 Września 2011 Zgłoś Udostępnij Opublikowano 10 Września 2011 Ja tylko dodam: 1. Pozostał problem z błędem Microsoft Visual C++ Runtime Library .Mianowicie wyskakuje mi coś takiego: Microsoft Visual C++ Runtime Library Runtime Error! Program:D:\Program Files\Common Files\Java\Java Update\jusched.exe R6002 -floating point support not loaded Program uszkodzony wirusem Sality i musi być przeinstalowany. Każdy program, który zwróci taki błąd Visual / nie będzie chciał startować = należy postąpić identycznie. 2. 4. Uruchamiasz ponownie OTL, tym razem na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wklej: DIR /A C:\ /C DIR /A D:\ /C Kliknij w Skanuj i wklej nowe logi z OTL. Nowy log z OTL proszę zrobić na takim warunku, jak zadane na samym początku. . Odnośnik do komentarza
besser25 Opublikowano 12 Września 2011 Autor Zgłoś Udostępnij Opublikowano 12 Września 2011 Wklejam logi: OTL1212.txt skrypt otl.txt Odnośnik do komentarza
Landuss Opublikowano 14 Września 2011 Zgłoś Udostępnij Opublikowano 14 Września 2011 Wykonaj kolejny skrypt do OTL o takiej zawartości: :Files C:\oibbj.exe C:\pbufpk.exe Do wglądu nowy log z OTL tak jak poprzednio na dodatkowym warunku. Odnośnik do komentarza
besser25 Opublikowano 14 Września 2011 Autor Zgłoś Udostępnij Opublikowano 14 Września 2011 Wklejam logi: otl14.txt OTL1.14.txt Odnośnik do komentarza
Landuss Opublikowano 14 Września 2011 Zgłoś Udostępnij Opublikowano 14 Września 2011 Do dodatkowego warunku nie mialeś wklejać zawartości skryptu tylko to co poprzednio: DIR /A C:\ /C DIR /A D:\ /C ...ale już nie musisz bo wszystko wygląda na pozamiatane. Jeszcze drobne sprawy do wykonania na koniec. 1. Użyj opcję Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje Java, Firefox i Internet Explorer (masz dziurawy IE6 i nie ważne czy korzystasz czy nie ma być w najnowszej wersji): KLIK. 3. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 4. Opróżnij folder Przywracania systemu: KLIK, To by było na tyle i wystarczy tylko obserwować czy Sality się nie odradza. . Odnośnik do komentarza
besser25 Opublikowano 16 Września 2011 Autor Zgłoś Udostępnij Opublikowano 16 Września 2011 Ok,dzięki za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi