Blokada skanera antywir,pojawiające się kopie plikówna

michu822 · 30 Styczeń 2012 17:41

Witam.Dostałem kompa od znajomych w celu sprawdzenia dziwnego zachowania,co jakiś czas po starcie systemu pulpit wypełniony jest kopiami różnych plików(białe ikony).System nie miał antywirusa,próbując go zainstalować coś od razu zamyka instalatora.Próbowałem przeskanować online,niestety coś blokuje połączenie z takimi stronami,udało się tylko na mks.com.pl(wykrył 358 plików których zachowanie jest podejrzane).Dlatego proszę o analizę loga OTL.

OTL log

http://wklejtekst.pl/3ne

Extras

http://wklejtekst.pl/3nf

spandaupol · 30 Styczeń 2012 17:44

Tych raportów nie da się czytać następnym razem proszę wkleić je na http://www.wklej.org lub www.wklej.to

To jest element infekcji Sality

Pobierz Salitykiller http://sendfile.pl/118314/SalityKiller.exe Uruchom, skanujesz tyle razy aż narzędzie nie będzie nic wykrywać.

Następnie ponownie pobierz (to konieczne bo to co masz na dysku jest pewno zainfekowane) Dr.WEB CureIt! Wykonaj pełny skan Leczysz wszystko co znajdzie. Czego nie będzie można wyleczyć usuwasz. Skanujesz tyle razy aż skaner nic nie wykryje.

Następnie pokaż nowe raporty z OTL instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html

Agaton · 30 Styczeń 2012 18:07

michu822 ,

Proszę zapoznać się z tematem i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

michu822 · 30 Styczeń 2012 21:23

Skanuje SalityKillerem po raz ósmy,początkowo było 1028 plików zarażonych w tej chwili są tylko trzy.Trzeci raz pod rząd pokazuje te same pliki,chyba nie może ich wyleczyć.Pliki C:\Windows\system32\mmc.exe,C:\Windows\regedit.exe i C:\Program Files\Movie Maker\moviemk.exe.Co robić,skanować dalej czy można już użyć Dr.WEBA?

spandaupol · 31 Styczeń 2012 08:19

Oczywiście użyj DrWeba.

michu822 · 31 Styczeń 2012 19:06

Przeskanowane SalityKillerem i Dr,WEBEM.Oprócz Sality znalazł jeszcze dwa trojany,jednym z nich jest Trojan.Hottrend.46,co to za program (nie mogę nic na ten temat znaleźć w googlach).

Poniżej logi z OTL po skanach:

OTL log http://wklej.to/5N1mV

Extras http://wklej.to/Brm6j

spandaupol · 1 Luty 2012 08:15

Start - Panel Sterowania - Dodaj usuń programy - znajdź i odinstaluj

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=dea12116- … 1fd056e129 IE - HKU\S-1-5-21-1935655697-963894560-1801674531-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=dea12116- … 1fd056e129 FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…keyword.URL: “http://startsear.ch/?aff=1&src=sp&cf=dea12116-4796-11e1-b202-001fd056e129&q=” [2012-01-25 21:55:34 | 000,000,000 | —D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\ovcu2bx5.default\extensions{4ac04d99-3f4b-4ec5-bd2d-216d59822f8a} [2012-01-17 20:33:08 | 000,000,000 | —D | M] (SFT_Polska Community Toolbar) – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\ovcu2bx5.default\extensions{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2012-01-25 21:55:28 | 000,000,792 | ---- | M] () – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\ovcu2bx5.default\searchplugins\startsear.xml O4 - HKLM…\Run: [GEST] m‘|\ü File not found :Files C:\FOUND.0* :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\WINDOWS\Explorer.EXE” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wineuoo.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winvsytrn.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winwryjed.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winuckhxw.exe” =- “C:\WINDOWS\system32\userinit.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wincqkund.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winhxhti.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winxrbonj.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqnnpri.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winavfsrv.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\windqqmgx.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winrugmru.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winuihdmy.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winkbjip.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winoamifd.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wintmdwi.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winvphwu.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winuymb.exe” =- “C:\WINDOWS\system32\restore\rstrui.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winmasv.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winltcbw.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winwumt.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winuoar.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqimvqq.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winjnkx.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winhyspx.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wingiemb.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqiphuu.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winxpiq.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqotsgn.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winjasro.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winwogdno.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winidnxj.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winnggr.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winlipjgd.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wintfrxj.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winhpgv.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winohnkk.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winrkvntj.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wincogp.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winkhwoh.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winsjgcso.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winbpkg.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winwsxs.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winctxi.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winqjjvo.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winijym.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winswdw.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winosyiik.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winrlca.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winpfmts.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wintejc.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\wingylgva.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winobko.exe” =- “C:\DOCUME~1\User\USTAWI~1\Temp\winvubpro.exe” =- :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.