grasky
(grasky)
20 Marzec 2011 16:41
#1
WItam. Od pewnego czasu nagminnie wyskakuje mi bład “Exception processing message c00000a3 parameters 75b3bf7c 4 75b3bf7c 75b3bf7c”, przy podłączeniu pendrive’a, karty pamięci, włączeniu skanera antywirusowego. Nie wiem, w jaki sposób mam sobie poradzić z tym problemem. Proszę o pomoc!.
Taki błąd może świadczyć o infekcji ale jak mamy to sprawdzić skoro nie ma logów Potrzebne przynajmniej logi OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html
grasky
(grasky)
20 Marzec 2011 17:29
#3
Proszę bardzo.
http://wklej.to/wzJgO
http://wklej.to/FQ1nC
Nie wiedziałem, który raport wkleić, więc są dwa.
Zawsze za pierwszym razem wklejamy dwa logi
Tak jak myślałem infekcja Sality
Pobierz i użyj Salitykiller http://support.kaspersky.com/pl/faq?cha … =208279886 dodatkowo http://hostuje.net/file.php?id=74ef2667 … 67d8eba556 link zastępczy gdyby ten pierwszy był blokowany przez infekcje
Po tym użyj DrWeba http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html Wykonaj pełne skanowanie Jeśli coś znajdzie lecz to czego nie będzie można wyleczyć usuwasz Skanuj tyle razy aż skaner nic nie znajdzie
Po tym podaj nowy log OTL
Napisz co znalazł DrWeb czy skanowałeś ponownie i nic nie wykrywał?
Co to jest? Znasz to
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL O4 - Startup: I:\Documents and Settings\Maniek\Menu Start\Programy\Autostart\OneWay.lnk = File not found O32 - AutoRun File - [2010-01-05 22:27:09 | 000,000,035 | ---- | M] () - I:\autorun.inf.vir – [NTFS] :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “I:\DOCUME~1\Maniek\USTAWI~1\Temp\dtoo.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\wc41b2.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\windbppa.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\w7daae.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\hbshgf.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\urxqo.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winigni.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\hglbt.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\ppwjo.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winxngq.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winjedg.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\wininyyh.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winsuvwm.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\itkhd.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winpqqitj.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winhvoh.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winfumsx.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\ssfx.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\qffpal.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winnfjhj.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winfkqw.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winubqkc.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winxrkp.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winxixkhw.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winvdtux.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\ffcl.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winlgvkhj.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winphtv.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\windicva.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winfuef.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\hgfen.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\peex.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winkyrffy.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\w889ba.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\wingbpnb.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winswfxt.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\edxrnr.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winbpbn.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winsqeypk.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winjtatoi.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winjhaqk.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winvlxifp.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\kjgt.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winnwge.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winvsyi.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\iqcy.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\qsif.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winveea.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\dtwh.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winhmxhkt.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winemptft.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winlbyyol.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winiycn.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winxnhomt.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\jghn.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\uqgyc.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winlpaqn.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\jssi.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winavfwmd.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winltfb.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\lutwj.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winwrpg.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winiydu.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\wingwxnve.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winafef.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winhhhx.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winayvpkn.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\w6ebf9.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\wkjju.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winptuh.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\kkbxka.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\wintxop.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winrsbxwf.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\bghyy.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winjrgmv.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winhchlr.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winbuqtow.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winegmvhe.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\rqtd.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winaawr.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\mutysc.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winkass.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\windytu.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\revkon.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\oknn.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winwcwpe.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\shew.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\w6e467.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winslonqj.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\nbmcn.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\npokxo.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\wingeprfi.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winygtoq.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\shyeye.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winsjbcw.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winhiojid.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\winxnukrw.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\mdeq.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\jkxmuw.exe” =- “I:\DOCUME~1\Maniek\USTAWI~1\Temp\w810c2.exe” =- :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Nie odpowiedziałeś na żadne z moich pytań. Pytałem czy skanowałeś antywirusem bo widać że infekcja nie została usunięta co potwierdzają nowe logi OTL
Pobierz KVRT http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Zaznacz opcje Mój komputer itp Wykonaj pełny skan Wylecz wszystko co się da, resztę usuwasz. Skanujesz tyle razy aż skaner nic nie znajdzie Skan będzie trwał bardzo długo i trzeba będzie go powtórzyć, ale to nie jest prosta infekcja do usunięcia
Po tym podaj nowe logi OTL
grasky
(grasky)
22 Marzec 2011 20:53
#9
Przepraszam. Moje niedopatrzenie.
spandaupol:
Tak skanowałem ponownie, jakies 3-4 razy i dalej skaner odnajdywał te same pliki, leczył je i tak na okrągło.
A tego nie znam.
– Dodane 22.03.2011 (Wt) 22:10 –
nie pobiorę KVRT, ponieważ infekcja najwidoczniej blokuje pobieranie.
grasky
(grasky)
23 Marzec 2011 21:37
#11
Wykonałem dwa skanowania. Przy drugim Kaspersky nic nie znalazł.
Wynik pierwszego skanowania:
http://wklej.to/69znK
Log OTL:
http://wklej.to/SNixB
Extras:
http://wklej.to/4Wr59
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Prawdę mówiąc nadal nie jestem przekonany czy infekcja została usunięta dlatego zaprezentujesz log Gmera jak prawidłowo przygotować system i wykonać skan Gmerem znajdziesz tutaj http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/
Na niezainfekowanym komputerze nagraj na płytkę Kasperski Rescue Disk [http://www.fixitpc.pl/topic/102-plyty-s … st__p__632](http://www.fixitpc.pl/topic/102-plyty-startowe-ze-skanerami/page view findpost p 632) Włóż płytkę do napędu na zainfekowanym komputerze Po restarcie powinien uruchomić się skaner Wykonaj pełny skan Napisz co znalazł antywirus Jeśli nic nie znalazł to
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
grasky
(grasky)
25 Marzec 2011 16:26
#15
Tak teraz jest OK
Uruchom OTL klikasz Sprzątanie
Odinstaluj przez Aplet Dodaj Usuń Programy
Odinstaluj Kasperski Virus Removal Tool ale najpierw trzeba odznaczyć jedną opcje
Włącz przywracanie systemu na wszystkich dyskach
Sprawdź czy działa tryb awaryjny windows W razie problemów odpowiednią paczkę Sality_RegKeys.zip pobierzesz stąd http://support.kaspersky.com/pl/faq?cha … =208279886 Z niej wyciągniesz plik .reg dla windows XP i dodasz do rejestru
Zaktualizuj Javę najnowszą wersję znajdziesz tutaj http://www.java.com/pl/download/
Zobacz jak zabezpieczyć się przed infekcjami z pendrive i innych mediów przenośnych http://www.fixitpc.pl/topic/56-zabezpie … zenosnych/
grasky
(grasky)
25 Marzec 2011 19:32
#17
Wszystko zrobiłem zgodnie z radami. Wielki dzięki za pomoc. W razie kolejnych problemów zgłoszę się. ; )