Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z wejściem na FaceBook'a

piotrek03

Przez piotrek03
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nic nie reagujesz, to podbijam dla zwrócenia Twojej uwagi, bo jest tu krytyczna sytuacja. Nic dziwnego, że Facebook zablokował Cię (na komunikacie powinna być mniejsza adnotacja o wirusie, prawda?) i to jest akurat najmniejszy problem. W systemie grasuje wirus Sality, który niszczy wszystkie pliki wykonywalne na wszystkich dyskach. Jest prawdopodobne, że będziesz robił format całego dysku (i nie wolno z niego przekopiować żadnych plików wykonywalnych). Zawczasu przygotuj się psychicznie. Sality to nie jedyna infekcja, tu rezyduje również robak Brontok....

 

Ponadto, wykonywałeś już jakiś skrypt do OTL, są jawne ślady takiej procedury. Kto / co / gdzie robił? A widać, że zupełnie nieskutecznie. I prawdopodobnie to ktoś na chama usuwał paski narzędziowe adware, bo z jednej strony są duże szkody i szczątki, a jednocześnie na liście zainstalowanych nadal widać pozycje pasków ....

 

 

Zadaję leczenie wstępne, a od jego wyników będzie zależeć czy warto ratować ten system (przypominam: niedostępność Facebook to podrzędny problem i nad tym to się teraz nawet nie zastanawiaj):

 

1. Przeczyszczenie pola (to nie zatrzymuje rozprzestrzeniania wirusa w plikach). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
amsint32
Updater Service for StartNow Toolbar
 
:Files
@C:\WINDOWS\Temp:temp
C:\WINDOWS\eksplorasi.exe
C:\WINDOWS\ShellNew\bronstab.exe
C:\WINDOWS\System32\userdiff.sav
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.*
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok
C:\Program Files\StartNow Toolbar
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=-
"StartNowToolbarHelper"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-
"DisableTaskMgr"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-
"DisableTaskMgr"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-
"DisableTaskMgr"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\wmpctv32.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IncrediMail_MediaBar_2 Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SFT_eng7 Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\StartNow Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{08d6b0b4-c132-470d-a8e2-aa2e9c3851c9}"=-
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
"{5911488E-9D1E-40ec-8CBB-06B231CC153F}"=-
"{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=-
"{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}"=-
"{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}"=-
 
:Commands
[resethosts]
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Po restarcie powinien się otworzyć raport z wynikami usuwania. Raport ten zaprezentujesz w punkcie 4.

 

2. Zabicie aktywności Sality + leczenie plików z wirusa: przeskanuj system przez SalityKiller, a skan do skutku, dopóki nie zostanie uzyskany czysty wynik (zero wykrytych).

 

3. Naprawa skasowanego przez Sality Trybu awaryjnego: pobierz paczkę Sality_RegKeys, z niej uruchom plik pasujący do XP.

 

4. Nowe materiały do oceny: wygeneruj log OTL z opcji Skanuj (nie zapomnij ustawić "Rejestr - skan dodatkowy" na "Użyj filtrowania", by pozyskać po raz drugi Extras) + zaległy GMER. Dołącz i log z wynikami usuwania z punktu 1 oraz wyraźnie się wypowiedz co robił SalityKiller i ile przetwarzał.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
ale ja chce tylko wejść na facebook'a później zobaczymy co z tym systemem ok to powiedz co mam robić

 

Ale czy Ty rozumiesz, że nie wejdziesz, bo Facebook wyczuł wirusy i Cię zablokował z tego powodu? W pierwszej kolejności musisz oczyścić system, by Facebook miał podstawy, by odblokować konto. I chyba sobie nie zdajesz sprawy z tego jak istotne to jest i jak kiepska jest aktualnie sytuacja. Skończy się na tym, że nie uruchomisz systemu i utracisz ważne dane. Instrukcje wstępnego czyszczenia systemu podałam wyżej. To ma zostać wzdrożone w trybie natychmiastowym, nie można czekać, bo wirus się coraz bardziej rozprzestrzenia.

 

Przy okazji, widziałam, że wyszukujesz na forum / czytasz inne tematy z zablokowanym Facebookiem. W tamtych tematach jest inny typ infekcji i inny rodzaj blokady Facebook. Tamte tematy Ci nie pomogą.

 

 

.

Odnośnik do komentarza
Anonim6

Anonim6

Opublikowano
Opublikowano

Nie wytrzymalem, mozesz mnie ukarac picasso. :(

Wez chlopie drabine i wlaz na "idiotobook", masz go przy rynku glownym po prawej stronie od kosciola za debem z wiewiorka ktora ma uszkodzony wzrok

(zeza rozbierznego). Jak juz wleziesz to skacz na gzyms z czerwonej cegly, Tam juz bedziesz widoczny dla wszystkich innych ......tu przemilcze, zeby mnie calkiem nie usuneli z forum, bo jednak to bardzo pomocne miejsce, gdzie mozna sie wiele nauczyc,ale tylko ......dla niektorych.

Odnośnik do komentarza
piotrek03

piotrek03

Opublikowano
  • Autor
Opublikowano

wykonałem skrypt

skanuje przez system salitykiller długo

ale nie mogę uruchomić tego pliku z sality regkeys wyskakuje ze edycja rejestru została wyłączoną przez administrator sieci

zrobiłem tez skan ale gdy robiłem ten GMER to wyskakiwał jakiś błąd

to jest link do tego co wyskoczyło po wykonaciu skryptu

www.wklej.org/id/635816/

Extras.Txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
skanuje przez system salitykiller długo

ale nie mogę uruchomić tego pliku z sality regkeys wyskakuje ze edycja rejestru została wyłączoną przez administrator sieci

 

Ten błąd się pojawia, ponieważ wirus Sality nadal jest aktywny i przywraca blokadę, na co wskazuje niestety nowy log z OTL pokazujący sterownik wirusa, procesy uruchamiane z katalogu Temp i owe blokady:

 

DRV - File not found [Kernel | On_Demand | Running] --  -- (amsint32)
 
MOD - [2011-11-27 17:14:06 | 000,032,256 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\winlwsi.exe
MOD - [2011-11-27 17:09:44 | 000,012,970 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\xomv.exe
 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

 

Dopóki działa wirus, nie da się zaimportować do rejestru pliku naprawczego, a infekcja jest w toku (coraz to inne pliki programów i Windows są zarażane). SalityKiller z tego co rozumiem nadal skanuje. Mówiłam wyraźnie:

 

2. Zabicie aktywności Sality + leczenie plików z wirusa: przeskanuj system przez SalityKiller, a skan do skutku, dopóki nie zostanie uzyskany czysty wynik (zero wykrytych).

 

Ty musisz powtarzać tę czynność, dopóki nie powie wyraźnie narzędzie, że nie wykrywa infekcji, a jeśli okaże się, że to nie daje rezultatów, nadchodzi format wielkimi krokami. Proszę porządnie skanuj system. Dopiero po ukończeniu skanowania, po zrobieniu wszystkiego co można zrobić, masz przedstawić nowe logi z OTL i GMER....

 

 

zrobiłem tez skan ale gdy robiłem ten GMER to wyskakiwał jakiś błąd

 

Nie przygotowaleś systemu do prawidłowej pracy GMER, tzn. w systemie działa ofensywny sterownik emulatora napędów wirtualnych:

 

DRV - [2011-08-26 08:14:49 | 000,443,448 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Przed uruchomieniem GMER muszą być wykonane te instrukcje: KLIK.

 

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...