Lucianda
22 Lipiec 2012 09:25
#1
Hej!
Bardzo proszę o pomoc w usunięciu tego wirusa. Koleżance blokuje cały komputer po połączeniu z internetem. Po wyłączeniu połączenia sieciowego komputer pracuje normalnie.
OTL
otl.txt: http://www.wklej.org/id/795465/
extras: http://www.wklej.org/id/795466/
MBR
http://www.wklej.org/id/795468/
Bardzo dziękuję!
Atis
22 Lipiec 2012 09:30
#2
W panelu sterowania odinstaluj McAfee Security Scan
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - [2011-06-20 22:00:51 | 000,186,844 | ---- | M] () [Auto | Stopped] – C:\WINDOWS\RLT6988\services.exe – (RLN06524) O3 - HKU\S-1-5-21-117609710-1801674531-1638663609-1003…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-117609710-1801674531-1638663609-1003…\Toolbar\ShellBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-117609710-1801674531-1638663609-1003…\Run: [cdoosoft] C:\DOCUME~1\Asia\USTAWI~1\Temp\herss.exe File not found :Files autorun.inf /alldrives C:\WINDOWS\tasks\At*.job C:\Documents and Settings\Asia\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\WINDOWS\Drv13 C:\WINDOWS\RLT6988 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
Lucianda
22 Lipiec 2012 10:04
#3
Atis
22 Lipiec 2012 10:31
#4
Wygląda na to, że system jest zainfekowany przez wirusa Sality który infekuje wszystkie pliki wykonywalne.
Wklej i kliknij Wykonaj skrypt:
:OTL SRV - [2011-06-20 22:00:51 | 000,186,844 | ---- | M] () [Auto | Stopped] – C:\WINDOWS\RLT6988\services.exe – (RLN06524) :Files C:\WINDOWS\tasks\At*.job C:\Documents and Settings\Asia\Menu Start\Programy\Autostart\ctfmon.lnk C:\WINDOWS\Drv13 C:\WINDOWS\RLT6988 H:_OTL .exe H:\backup .exe H:\notebook .exe H:\Gdańsk foty .exe H:\muzyka .exe H:\socjologia finansow .exe :Commands [emptytemp]
Wyłącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub Klik
Dr.WEB CureIt lub Klik wykonaj Pełne skanowanie
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.