Kokos1835 Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Na samym początku napiszę, że jestem kompletnym laikiem. Więc po uruchomieniu systemu wyskakuje komunikat: Gdy wyłączam komputer też pojawia się jakiś komunikat z błedem, lecz przed samym wyłączeniem i nie jestem w stanie dostrzec co to. Słychać tylko dzwięk errora. Ostatnio pokazuje się błąd przy uTorrent (screen nie mój ale komunikat ten sam) : De Nie mogę odinstalować niektórych programów z poziomu Dodaj/Usuń programy, więc także Deamon'a : Co raz częściej pojawiają się problemy z innymi programami, których teraz niestety nie potrafię wywołać "na zawołanie", jak np. Opera, Skype, IDM po czym programy się zamykają. Results of screen317's Security Check version 0.99.32 Windows 7 Service Pack 1 x86 Internet Explorer 9 `````````````````````````````` Antivirus/Firewall Check: ESET Online Scanner v3 Trend Micro Titanium Internet Security WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: CCleaner Java™ 6 Update 31 Adobe Flash Player 11.2.202.235 Adobe Reader X (10.1.3) Mozilla Firefox (4.0.1) Mozilla Thunderbird (8.0.) ```````````````````````````````` Process Check: objlist.exe by Laurent Trend Micro Titanium TiMiniService.exe Trend Micro Titanium TiResumeSrv.exe ``````````End of Log```````````` OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Niestety, definitywnie infekcja Sality. Zachowanie aplikacji wskazuje na postępującą infekcję w wykonywalnych i niszczenie, w autoryzacjach zapory dużo wpisów z oznaczeniem "ipsec" (to są obiekty Sality lub już przez nie zarażone i m.in. jest tam klient Bittorrent), są polisy blokujące menedżer i rejestr, ukryte pliki autorun.inf na wszystkich dyskach i sparowane z nimi pliki: O32 - AutoRun File - [2012-05-08 13:52:12 | 000,000,411 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2012-05-08 13:52:12 | 000,000,272 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] [2012-05-08 14:26:30 | 000,021,220 | RHS- | M] () -- C:\vluywn.exe[2012-05-08 14:24:15 | 000,025,316 | RHS- | M] () -- C:\seotrr.exe[2012-05-08 14:24:08 | 000,025,316 | ---- | M] () -- C:\sdqvg.exe Prócz infekcji Sality, jest i adware, m.in. StartSearch wprowadzone przez vShare / LiveVDO oraz QuickStores-Toolbar jako konsekwencja instalacji Unlocker. To jednak rzeczy bardzo podrzędne w obliczu głównej strasznej infekcji. 1. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych). 2. Pobierz Sality_RegKeys. Rozpakuj i ze środka uruchom plik dopasowany do Windows 7, potwierdzając import do rejestru. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives C:\Windows\System32\%APPDATA% netsh advfirewall reset /C :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :OTL O4 - HKLM..\Run: [] File not found O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie restartowany i otrzymasz log z wynikami usuwania. 4. Przejdź do Panelu sterowania i odinstaluj adware YouTube Downloader Toolbar v4.9, Babylon toolbar on IE, QuickStores-Toolbar 1.1.0 oraz nieszczęsne wtyczki vShare.tv plugin 1.3 + LiveVDO plugin 1.3. Popraw przez AdwCleaner z opcji Delete. 5. Wygeneruj nowe logi z OTL, nie zapomnij ustawić opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania" w celu wygenerowania po raz drugi pliku Extras, zaś w sekcji Własne opcje skanowania / skrypt wklej: C:\*.* D:\*.* Klik w Skanuj (a nie Wykonaj skrypt!). Dorzuć logi z wynikami usuwania OTL z puntu 3 oraz AdwCleaner z punktu 4. . Odnośnik do komentarza
Kokos1835 Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 Odnośnik do komentarza
picasso Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Przejdź do dalszych czynności. Dodaję jeszcze: odinstaluj wszystkie programy, które zwracają błędy (są uszkodzone), zainstaluj je ponownie ze świeżo pobranych instalatorów. Odnośnik do komentarza
Kokos1835 Opublikowano 8 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2012 Wszystkie Toolbary CHYBA poszły oprócz: OTL usuwania.txt OTL skan.txt Extras.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2012 Zgłoś Udostępnij Opublikowano 8 Maja 2012 Wg raportu nadal są jeszcze ukryte pliki Sality położone w root dysków C i D, ponadto nie jest potwierdzone na 100%, że pliki Windows + programów są czyste i nie noszą genów Sality. YouTube Downloader Toolbar został częściowo usunięty operacjami AdwCleaner. Pozostał po nim martwy wpis na liście zainstalowanych i tym się zajmę, podobnie jak kilkoma innymi odpadkami po adware, gdyż nie wszystko zostało wykonane. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\sdqvg.exe C:\seotrr.exe C:\vluywn.exe D:\dfece.pif D:\ippt.pif D:\nqdeeb.pif :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Start Page Restore"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F43FC4BC-AB8D-4409-B777-41C8F01D18C5}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7FA4FF19-CFDB-4CB5-9140-7A152E781F4D}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{D2D45B4F-B3B0-40E8-94DE-68A4BD3FD5B4}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F43FC4BC-AB8D-4409-B777-41C8F01D18C5}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FD66AF34-C18A-4cea-8421-2F3B39E9B07E}] Klik w Wykonaj skrypt. Po tym przez SHIFT+DEL skasuj z dysku katalog C:\_OTL. 2. Wykonaj pełne skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary / dyski do sprawdzania. Operacja potrwa. Po jej ukończeniu przedstaw raport z wykrytymi zagrożeniami (inny typ wyników mnie nie interesuje). . Odnośnik do komentarza
Kokos1835 Opublikowano 9 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2012 Zapisałem raport z całego skanowania (nie wiem czy dobrrze) i trochę obszerny ten plik, więc dam go tak: http://www64.zippyshare.com/v/42684038/file.html Odnośnik do komentarza
picasso Opublikowano 9 Maja 2012 Zgłoś Udostępnij Opublikowano 9 Maja 2012 (edytowane) Log jest spory, gdyż załączyłeś wszystkie zdarzenia i wyniki typu "OK". Ja zaś mówiłam: Po jej ukończeniu przedstaw raport z wykrytymi zagrożeniami (inny typ wyników mnie nie interesuje). Podsumuj na czym stoimy po wszystkich przeprowadzonych tu operacjach: czy przeinstalowałeś z nowych instalatorów wszystkie programy zwracające błędy, czy inne programy dziedziczą i zwracają błędy, czy aktualnie gdzieś jeszcze ujawniają się defekty, czy system pracuje stabilnie? . Edytowane 13 Czerwca 2012 przez picasso 13.06.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi