Dallolymya Opublikowano 31 Maja 2012 Zgłoś Udostępnij Opublikowano 31 Maja 2012 Witam. Problem z tematu to tylko wierzchołek góry lodowej. Od tygodnia jestem zmuszony pracować na starym pc'cie, nie pamiętam nawet kiedy ostatnio go formatowałem. Problemy zaczęły się gdy chciałem pograć w Diablo II, okazało się że przez wirusy nie mogę wchodzić na battle.net. Pierwszy krok jaki zrobiłem to ściągniecie Malwarebytes Anti-Malware, szybkie skanowanie wykryło 4 wyniki, które od razu usnąłem. Problemu z Diablo więcej już nie miałem. Dziś przez noc zostawiłem malware~ na pełne skanowanie, wykryło nowe 9 zagrożeń, usunąłem wszystkie. To nie koniec problemów, bo ciągle nie mogę ustawić pokazywania ukrytych plików i folderów, tak więc proszę o pomoc w pozbyciu się tego syfu. Używam Windowsa MX 8.1(zmodyfikowany XP) logi: * OTL ze skryptem netsvcs C:\*.* D:\*.* E:\*.* F:\*.* G:\*.* H:\*.* %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*. %SYSTEMDRIVE%\*. /mp /s /md5start atapi.sys iaStor.sys jraid.sys nvata.sys ndis.sys beep.sys ntfs.sys explorer.exe svchost.exe userinit.exe winlogon.exe /md5stop %systemroot%\system32\ws2_32.dll /md5 %systemroot%\system32\kernel32.dll /md5 %systemroot%\system32\user32.dll /md5 %systemroot%\Tasks\*.job /lockedfiles CREATERESTOREPOINT restorepoints - OTL http://www.wklej.org/id/763741/ - Extras http://www.wklej.org/id/763742/ *GMER http://wklej.org/id/763766/ Jeszcze raz proszę o pomoc w pozbyciu się szkodników. Odnośnik do komentarza
Landuss Opublikowano 31 Maja 2012 Zgłoś Udostępnij Opublikowano 31 Maja 2012 Bez sensu było to wklejanie do OTL dodatkowych warunków podczas skanowania. Tak się nie powinno robić i nie rób tego więcej. Sytuacja zaś jest na systemie nie wesoła. W logach obiekty sugerujące wirusa Sality, który zaraża pliki .exe na dysku: DRV - [2012-05-31 06:40:50 | 000,005,477 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\epepoh.sys -- (NdisFileServices32) ---- Kernel code sections - GMER 1.0.15 ---- ? yqivpp.sys Nie można odnaleźć określonego pliku. ! ? oojap.sys Nie można odnaleźć określonego pliku. ! 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives y6cqb2is.exe /alldrives C:\WINDOWS\System32\wmdrtc32.dll C:\WINDOWS\System32\wmdrtc32.dl_ C:\WINDOWS\System32\drivers\epepoh.sys :OTL O4 - HKU\.DEFAULT..\Run: [] File not found O4 - HKU\S-1-5-18..\Run: [] File not found O4 - HKU\S-1-5-21-448539723-1659004503-682003330-500..\Run: [cdoosoft] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\herss.exe () :Services upperdev RTL8187B HTCAND32 NdisFileServices32 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz Gmer. Daj też znać czy SalityKiller coś wykazał. Logi wklejaj opcją załączniki na forum. Odnośnik do komentarza
Dallolymya Opublikowano 31 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 31 Maja 2012 Wykonałem wszystkie kroki, oto nowe logi. Skan SalityKillerem robiłem 2 razy, najpierw dał 24 wyniki, potem 0. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 1 Czerwca 2012 Zgłoś Udostępnij Opublikowano 1 Czerwca 2012 (edytowane) Nie wszystko zostało usunięta jak trzeba. Powtórz skrypt do OTl o takiej zawartości: :Processes killallprocesses :Files C:\WINDOWS\System32\wmdrtc32.dll C:\WINDOWS\System32\wmdrtc32.dl_ C:\WINDOWS\System32\drivers\epepoh.sys :Services NdisFileServices32 :Commands [reboot] Klik w Wykonaj skrypt. Powinien powstać log z usuwania, który zachowaj. Do oceny dajesz nowy log z OTL (bez ekstras) i log z usuwania. Edytowane 1 Lipca 2012 przez picasso 1.07.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi