bmkz
5 Luty 2013 23:04
#1
Witajcie.
Napotkał mnie dziś strasznie dziwny problem. Ostatnio nic nie pobierałem, nic dziwnego nie robiłem ze swoim komputerem, a on nagle dziś oszalał.
A mianowicie: cały czas antywirus (AntiVir) pokazywał, że komputer ma zainfekowane pliki, kilkam napraw, lecz za chwilę dzieje się to samo. Teraz po kilku resetach antywirus nawet się nie włącza. Nie mogę wejść w menadżer zadań - informacja, że zablokowane przez administratora, tak samo z rejestrem. Komputer sam się restartuje, antywirus sam gasi i nie można go uruchomić. Gdy wchodzę w mój komputer, kilkam na partycje dysku to otwiera się ona w nowym oknie. Czasami pojawia się informacja, że nie można wejść na partycje błąd win32 (udaje się przez górny pasek zadań). Tryb awaryjny nie udaje się odpalić, po chwili wywala restart systemu. Punkty przywracania systemu wyzerowane, nie ma żadnych dostępnych. Co to może być? Załączam przeskanowany plik z programu OTL.
Bardzo proszę o pomoc.
OTL:
http://wklej.org/id/948597/
EXTRAS:
http://wklej.org/id/948600/
Atis
5 Luty 2013 23:19
#2
Wirus Sality który infekuje wszystkie pliki wykonywalne.
Podłączyłeś zainfekowane urządzenie pod USB.
Zabezpiecz się przed infekcją z USB: Panda USB Vaccine
Uruchom program i kliknij Vaccinate.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – C:\Program Files\Skype\Updater\Updater.exe – (SkypeUpdate) SRV - File not found [On_Demand | Stopped] – C:\Program Files\PC Connectivity Solution\ServiceLayer.exe – (ServiceLayer) SRV - File not found [Auto | Stopped] – C:\Program Files\Hama\Common\RaRegistry.exe – (RalinkRegistryWriter) SRV - File not found [Auto | Stopped] – C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe – (MyWebSearchService) SRV - File not found [On_Demand | Stopped] – C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc – (gupdatem) SRV - File not found [Auto | Stopped] – C:\Program Files\Google\Update\GoogleUpdate.exe /svc – (gupdate) SRV - File not found [Auto | Stopped] – C:\WINDOWS\system32\xwcobe.dll – (aunqj) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\usbser_lowerflt.sys – (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\Drivers\sunkfilt.sys – (SunkFilt) DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\rskkn.sys – (amsint32) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\adiusbaw.sys – (adiusbaw) O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM…\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup File not found O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Real\RealPlayer\update\realsched.exe” -osboot File not found O4 - HKCU…\Run: [ALLUpdate] “E:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 [2013-02-05 20:49:54 | 000,085,504 | RHS- | M] () – C:\WINDOWS\System32\gasretyw0.dll [2013-02-05 16:47:20 | 000,198,656 | RHS- | C] () – C:\WINDOWS\System32\kamsoft.exe :Files C:\Documents and Settings\BMKZ\Dane aplikacji*.exe kkur.exe /alldrives autorun.inf /alldrives abk.bat /alldrives lphfa.exe /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub Klik
Dr.Web CureIt i przeskanuj wszystkie dyski: Klik
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
bmkz
5 Luty 2013 23:31
#3
Oto log po restarcie:
http://wklej.org/id/948801/
Rozumiem, że skanowanie i leczenie pomoże? Menadżer nadal nie działa. Antywirus wyszukuje znowu jakieś pliki i zaraz się sam znowu gasi…
Podany pierwszy link nie chce się otworzyć
Atis
5 Luty 2013 23:38
#4
Przeczytaj najważniejsze zdanie:
Wirus Sality który infekuje wszystkie pliki wykonywalne.
Infekuje wszystkie pliki exe, dll, scr itp.
Skanuj i lecz zainfekowane pliki.
Panda USB Vaccine
bmkz
7 Luty 2013 16:27
#5
Komputer przeskanowany SalityKiller i nic już nie wykrywa. Dr WEB skanuje teraz dyski i znalazł kilka zainfekowanych plików, z którymi walczę. Komputer podczas startu po jakiejś chwili od zalogowania sam się resetuje, czym to może być spowodowane? Udało mi się naprawić tryb awaryjny i przez niego teraz loguję się do systemu i skanuję dyski.
– Dodane 07.02.2013 (Cz) 18:32 –
Komputer przeskanowany programem Dr WEB.
Zrobiłem także nowy raport z OTL: http://wklej.org/id/950167/
Coś jest jeszcze nie tak? Co poradzicie na restart komputera?
Atis
7 Luty 2013 17:49
#6
Miałeś się zabezpieczyć przed infekcją z USB.
Uruchom Panda USB i kliknij i Vaccinate computer.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\njoln.sys – (amsint32) DRV - File not found [Kernel | Auto | Stopped] – System32\Drivers\adildr.sys – (ADILOADER) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/acala3gp/{BDC467C0-63C1-4162-A962-7AC36E146412} IE - HKCU…\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - SOFTWARE\Classes\CLSID{00A6FAF6-072E-44cf-8957-5838F569A31D}\InprocServer32 File not found IE - HKCU…\SearchScopes{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: “URL” = http://www.bigseekpro.com/search/browser/acala3gp/{BDC467C0-63C1-4162-A962-7AC36E146412}?q={searchTerms} IE - HKCU…\SearchScopes{B7B664DF-3AF9-4C8E-8148-F42BB7831D27}: “URL” = http://www.ask.com/web?o=15710&l=dis&q={searchTerms} [2009-05-27 20:02:50 | 001,020,667 | ---- | M] () (No name found) – C:\Documents and Settings\BMKZ\Dane aplikacji\Mozilla\Firefox\Profiles\ue3w0cnb.default\extensions{07b2a769-ed19-4483-87ce-c643914c81bb}\chrome\tmp.xpi [2009-05-27 20:02:50 | 001,020,667 | ---- | M] () (No name found) – C:\Documents and Settings\BMKZ\Dane aplikacji\Mozilla\Firefox\Profiles\ue3w0cnb.default kop\extensions{07b2a769-ed19-4483-87ce-c643914c81bb}\chrome\tmp.xpi O3 - HKLM…\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL File not found O3 - HKCU…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL File not found O4 - HKLM…\Run: [CardDetectorHUAWEI1752_1552] C:\Program Files\CardDetector\HUAWEI1752_1552\CardDetector.exe File not found O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe File not found O4 - HKLM…\Run: [nwiz] nwiz.exe /install File not found O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray File not found O4 - HKCU…\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe () [2013-02-07 17:21:21 | 000,000,000 | —D | C] – C:\Documents and Settings\BMKZ\Doctor Web [2013-02-07 16:39:18 | 000,085,504 | RHS- | M] () – C:\WINDOWS\System32\gasretyw0.dll [2013-02-07 16:38:56 | 000,000,276 | ---- | M] () – C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-776561741-1220945662-725345543-1003.job :Files C:\FOUND.* autorun.inf /alldrives abk.bat /alldrives :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
bmkz
7 Luty 2013 18:03
#7
Atis
7 Luty 2013 18:20
#8
Wklej i kliknij Wykonaj skrypt:
:OTL [2011-01-02 10:34:00 | 000,002,374 | ---- | M] () – C:\Documents and Settings\BMKZ\Dane aplikacji\Mozilla\Firefox\Profiles\ue3w0cnb.default\searchplugins\search.xml O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll File not found O8 - Extra context menu item: &Search - Reg Error: Value error. File not found [2013-02-06 17:39:12 | 000,025,316 | RHS- | M] () – E:\tdht.pif [2013-02-06 17:43:00 | 000,033,508 | RHS- | M] () – E:\iscl.pif [2013-02-06 17:46:12 | 000,033,508 | RHS- | M] () – F:\cksvrf.pif [2013-02-06 17:46:53 | 000,025,316 | RHS- | M] () – F:\koftf.pif [2013-02-06 17:56:42 | 000,025,316 | RHS- | M] () – G:\nlfba.pif [2013-02-06 17:56:42 | 000,033,508 | RHS- | M] () – G:\ilqqc.pif [2013-02-06 18:03:20 | 000,025,316 | RHS- | M] () – H:\gqpe.exe
Nie ma aktywnej infekcji, więc napisz czy nadal występują problemy.
bmkz
7 Luty 2013 18:22
#9
Komputer wrócił do spokojnej pracy, antywirus działa, Panda także zainstalowana
Atis
7 Luty 2013 18:25
#10
Zabezpiecz urządzenia podłączone pod USB i kliknij Vaccinate USB.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj ESET Online Scanner
bmkz
8 Luty 2013 08:25
#11
Przywracanie włączone, aktualizacje wykonane, dysk przeskanowany. Dziękuję Atis za pomoc
Rozumiem, że koniec pracy z nim? Czy w OTL mam zrobić sprzątanie?