kerad12
27 Lipiec 2013 17:22
#1
Witam potrzebuję pomocy muszę oczyścić trochę swój pc z wirusów niedawno zaczęły mi wyskakiwać błędy 0xc000007b oraz nie działa mi strona microsoftu, mam nadzieję że ktoś w miarę szybko pomoże mi to ogarnąć napiszcie co mam robić zaraz przeczytam regulamin i zrobię logi i wrzucę bo nie pamiętam jak już to się robiło
Extras: http://wklej.org/id/1095623/
OTL: http://wklej.org/id/1095625/
Atis
27 Lipiec 2013 17:37
#2
Wirus Sality który infekuje wszystkie pliki wykonywalne.
Wyłącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub KLIK
Dr.Web CureIt lub KLIK Przeskanuj wszystkie dyski: KLIK
Kaspersky Virus Removal Tool 2011 lub KLIK
W zakładce Scan scope zaznacz wszystkie dyski:
Aby zmienić obszar automatycznego skanowania, wykonaj poniższe działania: 1. Uruchom Kaspersky Virus Removal Tool 2011. 2. Przejdź na zakładkę Settings (Ustawienia) oznaczonych obrazkiem z kołem zębatym. 3. Wybierz sekcję Scan scope (Obszar skanowania). 4. Utwórz odpowiedni obszar skanowania zaznaczając obiekty, które mają być przeskanowane. http://support.kaspersky.com/pl/6187#q1
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
kerad12
27 Lipiec 2013 20:52
#3
Minęło 90 minut a w kasperskym przeskanowało się dopiero 3% wie ktos czemu ?: /
Logi:
Extras: http://wklej.org/id/1095767/
OTL: http://wklej.org/id/1095770/
Atis
27 Lipiec 2013 21:12
#4
Wirus jest nadal aktywny, więc nadal skanuj.
Poza tym masz jakiś zainfekowany pendrive lub inne urządzenie podłączane pod USB.
Zabezpiecz się przed infekcją z USB: Panda USB Vaccine lub KLIK
Uruchom program i kliknij Vaccinate.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – C:\WINDOWS\system32\qrmegt.dll.old – (ysgufbdap) DRV - File not found [Kernel | Auto | Stopped] – C:\WINDOWS\system32\drivers\mpkhhu.sys – (MCIDRV_2600_6_0) O4 - HKLM…\Run: [Onet.pl AutoUpdate] “C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe” /tsr File not found O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Common Files\Java\Java Update\jusched.exe” File not found O4 - HKU\S-1-5-21-1614895754-1592454029-682003330-1003…\Run: [mgr] C:\Documents and Settings\Darek\Dane aplikacji\mgr.exe () O4 - HKU\S-1-5-21-1614895754-1592454029-682003330-1004…\Run: [wsctf.exe] wsctf.exe File not found O4 - HKU\S-1-5-21-1614895754-1592454029-682003330-1005…\Run: [wsctf.exe] wsctf.exe File not found O4 - HKU\S-1-5-21-1614895754-1592454029-682003330-1006…\Run: [wsctf.exe] wsctf.exe File not found O4 - HKU.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () ri549325.dll[2013-06-08 20:01:37 | 000,001,216 | ---- | C] () – C:\Program Files\Common Files\userInit.dll [2013-06-08 19:56:36 | 000,081,920 | ---- | C] () – C:\WINDOWS\System32\ri549325.dll :Reg [HKEY_USERS\S-1-5-21-1614895754-1592454029-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run] “EXPLORER.EXE”=- [HKEY_USERS\S-1-5-21-1614895754-1592454029-682003330-1005\Software\Microsoft\Windows\CurrentVersion\Run] “EXPLORER.EXE”=- [HKEY_USERS\S-1-5-21-1614895754-1592454029-682003330-1006\Software\Microsoft\Windows\CurrentVersion\Run] “EXPLORER.EXE”=- :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
Dlatego też proszę, korzystając z przycisku
W przeciwnym razie, temat trafi do kosza.
kerad12
28 Lipiec 2013 09:02
#6
Salitykiller nie pokazuje już żadnych zainfekowanych plików
Doktor również
Atis
28 Lipiec 2013 12:34
#7
Przecież napisałem żebyś pokazał nowy log z OTL.
kerad12
28 Lipiec 2013 12:57
#8
O kurde przecież wrzucałem, musiało się nie dodać wrzucam jeszcze raz:
Extras: http://wklej.org/id/1096086/
OTL: http://wklej.org/id/1096088/
Atis
28 Lipiec 2013 13:07
#9
Czy zabezpieczyłeś się przed infekcją z pendrive?
Pobierz i rozpakuj archiwum:
http://support.kaspersky.com/downloads/ … egkeys.zip
Uruchom plik SafeBootWin XP
Uruchom AdwCleaner i kliknij Usuń.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKU\S-1-5-21-1614895754-1592454029-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eseeky.com/ws/?source=0e457f76&t … 5b39f373a7 IE - HKU\S-1-5-21-1614895754-1592454029-682003330-1003…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8094485B39F373A7&affID=119357&tsp=4956 IE - HKU\S-1-5-21-1614895754-1592454029-682003330-1003…\SearchScopes{7F1C834F-8F89-40A1-9F6D-AB5C4BF0FEE9}: “URL” = http://eseeky.com/ws/?source=0e457f76&t … 9f373a7&q={searchTerms} FF - prefs.js…browser.search.selectedEngine: “Search The Web (eseeky)” [2013-07-27 12:07:22 | 000,006,507 | ---- | M] () – C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8c58ioka.default\searchplugins\babylon.xml [2013-07-27 13:59:53 | 000,001,234 | ---- | M] () – C:\Documents and Settings\Darek\Dane aplikacji\Mozilla\Firefox\Profiles\8c58ioka.default\searchplugins\eseeky.xml O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found [2013-07-27 20:00:42 | 000,000,000 | —D | C] – C:\Documents and Settings\Darek\Doctor Web [2013-07-27 12:07:15 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2013-07-27 12:11:24 | 000,000,000 | —D | M] – C:\Documents and Settings\Darek\Dane aplikacji\BabSolution [2013-07-27 12:07:15 | 000,000,000 | —D | M] – C:\Documents and Settings\Darek\Dane aplikacji\Babylon :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “1925:TCP”=- :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
kerad12
28 Lipiec 2013 13:30
#10
Atis
28 Lipiec 2013 18:09
#11
Usuń sterownik AVP Tool Driver:
http://support.kaspersky.com/pl/3057
Wklej i kliknij Wykonaj skrypt:
:OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Artur\Dane aplikacji\Gadu-Gadu 10_userdata\ggbho.2.dll File not found O4 - Startup: C:\Documents and Settings\Darek\Menu Start\Programy\Autostart_uninst_51745668.lnk = File not found [2013-07-28 11:04:48 | 000,000,830 | ---- | M] () – C:\Documents and Settings\Darek\Menu Start\Programy\Autostart_uninst_51745668.lnk
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
kerad12
29 Lipiec 2013 09:52
#12
nie działa mi strona kaspersky i microsoftu :/? tez jakis virus to pewnie blokuje
kerad12
29 Lipiec 2013 10:38
#14
Atis
29 Lipiec 2013 10:48
#15
Nie widać aktywnej infekcji. Chyba, że nadal zainfekowane są pliki systemowe.
Wklej i kliknij Wykonaj skrypt:
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu: C:\TDSSKiller.wersja_data_czas_log.txt
Pobierz i uruchom Farbar Recovery Scan Tool 32-Bit Version
Kliknij Scan i pokaż logi.
kerad12
29 Lipiec 2013 10:55
#16
Atis
29 Lipiec 2013 11:39
#17
Nie widać aktywnej infekcji. Sprawdź czy Dr.Web CureIt coś wykrywa.
Wklej do systemowego notatnika i zapisz pod nazwą fixlist :
Uruchom FRST i kliknij Fix.
Pobierz i uruchom Gmer (Download EXE)
Na czas skanowania wyłącz wszystkie programy.
Nie zmieniaj żadnych ustawień tylko kliknij Szukaj.
Po zakończeniu skanowania kliknij Zapisz i pokaż raport.
