PGSMaDa
13 Lipiec 2013 13:10
#1
Siema, na początku chciałbym zaznaczyć że komputer z jakiego piszę ten o to post nie jest mój tylko kolegi, z uwagi na to że wyjechał na wczasy postanowiłem się zająć jego sprzętem. Myślę że mi pomożecie w walce z brontokiem. Oto logi z OTL:
OTL: http://wklej.org/id/1086015/
Extras: http://wklej.org/id/1086017/
Nie wiedziałem czy mam zastosować jakiś wzór, jeśli jest taka potrzeba to wybaczcie :oops:
PGSMaDa
Proszę, korzystając z przycisku Edytuj, zmienić tytuł tematu na taki który będzie konkretnie mówił o problemie.
Atis
13 Lipiec 2013 13:28
#3
Brontok, Conficker, a najgorszy jest wirus Sality, bo infekuje wszystkie pliki wykonywalne.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - [2008-04-15 14:00:00 | 000,170,193 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\acoxetqg.dll – (ozedstf) SRV - [2013-07-04 09:16:47 | 000,386,112 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] – C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe – (WsysSvc) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\rmpljn.sys – (amsint32) O4 - HKLM…\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe () O4 - HKU\S-1-5-21-1644491937-2147058177-1417001333-1003…\Run: [Tok-Cirrhatus] C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\smss.exe () O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif () O4 - Startup: C:\Documents and Settings\Ja\Menu Start\Programy\Autostart\Empty.pif () O4 - Startup: C:\Documents and Settings\Konto domowe\Menu Start\Programy\Autostart\Empty.pif () O7 - HKU\S-1-5-21-1644491937-2147058177-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1644491937-2147058177-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (“C:\WINDOWS\eksplorasi.exe”) - C:\WINDOWS\eksplorasi.exe () O32 - AutoRun File - [2013-07-03 12:48:11 | 000,000,185 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2013-07-01 17:01:53 | 000,000,269 | RHS- | M] () - D:\autorun.inf – [NTFS] NetSvcs: ozedstf - C:\WINDOWS\system32\acoxetqg.dll () [2013-07-03 12:48:11 | 000,103,140 | RHS- | C] () – C:\gpok.exe [2012-05-17 17:21:37 | 000,042,713 | -H-- | C] () – C:\WINDOWS\eksplorasi.exe :Files C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji*.exe C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji*Bron* :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “7371:TCP”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] “”="@SYS :DoesNotExist" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Wyłącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub KLIK
Dr.Web CureIt lub KLIK
Dr.Web CureIt przeskanuj wszystkie dyski: KLIK
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
PGSMaDa
13 Lipiec 2013 13:48
#4
rgabrysiak ,
Temat poprawiony.
Atis ,
Przy wykonywaniu skryptu wyskakuje blue screen i reset komputera.
Atis
13 Lipiec 2013 13:58
#5
To normalne w przypadku wirusa Brontok i dlatego usuwanie należy wykonać w trybie awaryjnym.
Problem w tym, że Sality całkowicie kasuje klucze rejestru od trybu awaryjnego i nie można uruchomić systemu w tym trybie.
Spróbuj uruchomić Dr.Web CureIt w Trybie Rozszerzonej Ochrony (TRO).
PGSMaDa
13 Lipiec 2013 14:14
#6
Atis ,
Spróbuję włączyć tryb awaryjny samodzielnie ponieważ Dr.Web Curelt będzie mi się ściągać ponad 6 godzin z ciągłymi przerwami ponieważ jestem na wsi i “kradnę” internet jakiemuś kolesiowi. Jeśli nie wyskoczy mi blue screen to dodam nowe logi.
//EDIT
Gdy włączam tryb awaryjny znowu BSOD.
Atis
13 Lipiec 2013 14:45
#7
Przecież napisałem, że nie uruchomisz w awaryjnym, bo został uszkodzony przez wirusa Sality.
PGSMaDa
14 Lipiec 2013 08:53
#8
Mam tego dosyć, wróciłem do miasta spróbuję pobrać tego doktorka (Lepszy net ;D) Odezwę się za max 10 godzin
//Edit, no ok włączyłem pobieranie, za 2 minuty się ściągnie czekam na rezultaty.
//Edit2, eh archiwum jest uszkodzone błąd pliku “doctor.com
Atis
15 Lipiec 2013 13:42
#9
Pobrałem, rozpakowałem i uruchomiłem program, więc archiwum jest prawidłowe.
Pobierz i uruchom The Avenger
Do okna programu wklej:
Kliknij w Execute i zatwierdź restart.
Później skanuj za pomocą SalityKiller i Dr.Web CureIt.
PGSMaDa
16 Lipiec 2013 08:34
#10
Atis Uruchomilem Avengera, wkleilem ten skrypt, zatwierdzilem restart i dalej nie moge rozpakowac doctora, ciągle jest: “Błąd CRC w doctor.com Plik jest uszkodzony ”
Nie wiem czy się przyda, ale daje log z Avengera: http://wklej.org/id/1088006/
Atis
16 Lipiec 2013 10:19
#11
Pobierz ponownie skoro archiwum zostało źle pobrane.
PGSMaDa
16 Lipiec 2013 13:23
#12
No więc pobrałem, rozpakowałem tego doktorka i wykryło mi 3.8 tysięcy zagrożeń - wszystkie zneutralizowałem, co dalej? Podać nowy log z OTL?
Atis
16 Lipiec 2013 13:44
#13
Powtarzaj skanowanie SalityKiller i CureIt aż nie wykryją żadnego zainfekowanego pliku.
Dodatkowo przeskanuj za pomocą Kaspersky Virus Removal Tool 2011
W zakładce Scan scope zaznacz wszystkie dyski:
Aby zmienić obszar automatycznego skanowania, wykonaj poniższe działania: 1. Uruchom Kaspersky Virus Removal Tool 2011. 2. Przejdź na zakładkę Settings (Ustawienia) oznaczonych obrazkiem z kołem zębatym. 3. Wybierz sekcję Scan scope (Obszar skanowania). 4. Utwórz odpowiedni obszar skanowania zaznaczając obiekty, które mają być przeskanowane. http://support.kaspersky.com/pl/6187#q1
Później pokaż nowy log z OTL.
PGSMaDa
17 Lipiec 2013 08:52
#14
Zeskanowałem i zneutralizowałem wszystkie zagrożenia, niektóre są w kwarantannie.
Sality Killer - Co prawda wyświetla się to okienko “dosowe” lecz po ułamku sekundy znika,
Nie mogę pobrać Kaspersky Virus Removal Tool 2011 bo te wirusy dalej mi blokują strony z antywirusami choć wszystko usunąłem,
Nowy log OTL:
http://wklej.org/id/1088736/
Atis
17 Lipiec 2013 09:33
#15
Wirus Sality nadal jest aktywny.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe – (WsysSvc) SRV - File not found [Auto | Stopped] – C:\WINDOWS\system32\acoxetqg.dll – (ozedstf) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) O4 - HKLM…\Run: [bron-Spizaetus] “C:\WINDOWS\ShellNew\sempalong.exe” File not found O4 - HKU\S-1-5-21-1644491937-2147058177-1417001333-1003…\Run: [Tok-Cirrhatus] “C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\smss.exe” File not found O7 - HKU\S-1-5-21-1644491937-2147058177-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1644491937-2147058177-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-21-1644491937-2147058177-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1644491937-2147058177-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (“C:\WINDOWS\eksplorasi.exe”) - File not found O32 - AutoRun File - [2013-07-16 10:28:43 | 000,000,211 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2013-07-16 10:28:43 | 000,000,364 | RHS- | M] () - D:\autorun.inf – [NTFS] NetSvcs: ozedstf - C:\WINDOWS\system32\acoxetqg.dll () [2013-07-17 09:47:49 | 000,000,266 | ---- | M] () – C:\WINDOWS\tasks\RegClean Pro_UPDATES.job [2013-07-17 06:04:29 | 000,000,272 | ---- | M] () – C:\WINDOWS\tasks\Game_Booster_AutoUpdate.job [2013-07-16 15:01:33 | 000,000,258 | ---- | M] () – C:\WINDOWS\tasks\RegClean Pro_DEFAULT.job [2013-07-16 14:01:01 | 000,103,140 | ---- | M] () – C:\nrlsek.pif [2013-07-13 14:44:26 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\eSafe :Files C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji*Bron* :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “7371:TCP”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] “”="@SYS :DoesNotExist" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Kaspersky Virus Removal Tool pobierz stąd: KLIK
PGSMaDa
17 Lipiec 2013 10:10
#16
Hahaaa! Dziękuję Ci, wreszcie mam możliwość podglądu ukrytych folderów, oto log ze startu systemu: http://wklej.org/id/1088792/
to już koniec roboty? Bo bardzo mi pomogłeś =D>
Atis
17 Lipiec 2013 12:49
#17
Czytaj uważnie odpowiedzi.
Wirus Sality jest aktywny i żaden skrypt tego nie usunie, bo ten wirus infekuje pliki wykonywalne.
Masz do wyboru skanowanie i leczenie plików lub formatowanie całego dysku.
Poza tym odinstaluj Software Plate i McAfee Security Scan.
Uruchom AdwCleaner i kliknij Usuń.
PGSMaDa
18 Lipiec 2013 10:52
#18
Okej będę skanować ile się da, usunąłem te pliki, foldery, klucze AdwCleaner’em
LOG z niego: http://wklej.org/id/1089438/
