michu822
(K M Mich)
30 Styczeń 2012 17:41
#1
Witam.Dostałem kompa od znajomych w celu sprawdzenia dziwnego zachowania,co jakiś czas po starcie systemu pulpit wypełniony jest kopiami różnych plików(białe ikony).System nie miał antywirusa,próbując go zainstalować coś od razu zamyka instalatora.Próbowałem przeskanować online,niestety coś blokuje połączenie z takimi stronami,udało się tylko na mks.com.pl(wykrył 358 plików których zachowanie jest podejrzane).Dlatego proszę o analizę loga OTL.
OTL log
http://wklejtekst.pl/3ne
Extras
http://wklejtekst.pl/3nf
Tych raportów nie da się czytać następnym razem proszę wkleić je na http://www.wklej.org lub www.wklej.to
To jest element infekcji Sality
Pobierz Salitykiller http://sendfile.pl/118314/SalityKiller.exe Uruchom, skanujesz tyle razy aż narzędzie nie będzie nic wykrywać.
Następnie ponownie pobierz (to konieczne bo to co masz na dysku jest pewno zainfekowane) Dr.WEB CureIt! Wykonaj pełny skan Leczysz wszystko co znajdzie. Czego nie będzie można wyleczyć usuwasz. Skanujesz tyle razy aż skaner nic nie wykryje.
Następnie pokaż nowe raporty z OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html
Agaton
(Agatonster)
30 Styczeń 2012 18:07
#3
michu822 ,
Proszę zapoznać się z tematem i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.
Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.
michu822
(K M Mich)
30 Styczeń 2012 21:23
#4
Skanuje SalityKillerem po raz ósmy,początkowo było 1028 plików zarażonych w tej chwili są tylko trzy.Trzeci raz pod rząd pokazuje te same pliki,chyba nie może ich wyleczyć.Pliki C:\Windows\system32\mmc.exe,C:\Windows\regedit.exe i C:\Program Files\Movie Maker\moviemk.exe.Co robić,skanować dalej czy można już użyć Dr.WEBA?
michu822
(K M Mich)
31 Styczeń 2012 19:06
#6
Przeskanowane SalityKillerem i Dr,WEBEM.Oprócz Sality znalazł jeszcze dwa trojany,jednym z nich jest Trojan.Hottrend.46,co to za program (nie mogę nic na ten temat znaleźć w googlach).
Poniżej logi z OTL po skanach:
OTL log http://wklej.to/5N1mV
Extras http://wklej.to/Brm6j
Start - Panel Sterowania - Dodaj usuń programy - znajdź i odinstaluj
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=dea12116- … 1fd056e129 IE - HKU\S-1-5-21-1935655697-963894560-1801674531-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=dea12116- … 1fd056e129 FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…keyword.URL: “http://startsear.ch/?aff=1&src=sp&cf=dea12116-4796-11e1-b202-001fd056e129&q= ” [2012-01-25 21:55:34 | 000,000,000 | —D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\ovcu2bx5.default\extensions{4ac04d99-3f4b-4ec5-bd2d-216d59822f8a} [2012-01-17 20:33:08 | 000,000,000 | —D | M] (SFT_Polska Community Toolbar) – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\ovcu2bx5.default\extensions{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2012-01-25 21:55:28 | 000,000,792 | ---- | M] () – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\ovcu2bx5.default\searchplugins\startsear.xml O4 - HKLM…\Run: [GEST] m‘|\ü File not found :Files C:\FOUND.0* :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\WINDOWS\Explorer.EXE” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wineuoo.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winvsytrn.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winwryjed.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winuckhxw.exe” =- “C:\WINDOWS\system32\userinit.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wincqkund.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winhxhti.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winxrbonj.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqnnpri.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winavfsrv.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\windqqmgx.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winrugmru.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winuihdmy.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winkbjip.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winoamifd.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wintmdwi.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winvphwu.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winuymb.exe” =- “C:\WINDOWS\system32\restore\rstrui.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winmasv.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winltcbw.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winwumt.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winuoar.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqimvqq.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winjnkx.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winhyspx.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wingiemb.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqiphuu.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winxpiq.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqotsgn.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winjasro.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winwogdno.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winidnxj.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winnggr.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winlipjgd.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wintfrxj.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winhpgv.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winohnkk.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winrkvntj.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wincogp.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winkhwoh.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winsjgcso.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winbpkg.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winwsxs.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winctxi.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqjjvo.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winijym.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winswdw.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winosyiik.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winrlca.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winpfmts.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wintejc.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wingylgva.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winobko.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winvubpro.exe” =- :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
michu822
(K M Mich)
1 Luty 2012 20:19
#8
To jakaś stara wersja. Miałeś kiedyś Alkohola? Poskutkowało to zablokowaniem sterownika atapi.sys
DRV - [2004-08-03 22:59:44 | 000,095,360 | ---- | M] () [Kernel | Boot | Running] – C:\WINDOWS\system32\DRIVERS\atapi.sys – (atapi) DRV - [2004-04-30 09:37:02 | 000,160,640 | ---- | M] ( ) [Kernel | Boot | Running] – C:\WINDOWS\system32\DRIVERS\a347bus.sys – (a347bus) DRV - [2004-04-30 09:33:00 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] – C:\WINDOWS\System32\Drivers\a347scsi.sys – (a347scsi)
Skoro nie odinstalowałeś wtyczki vShare Ok Twoja decyzja
Uruchom OTL klikasz Sprzątanie
Użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515 ](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program
michu822
(K M Mich)
2 Luty 2012 21:43
#10
OK.Dzięki za pomoc.VShare odinstalowałem teraz,wcześniej nie mogłem (nie działała opcja usuń w panelu sterowania).
Udało się po zainstalowaniu avasta i uaktualnieniu przeglądarki.