busz90
(Polska1221)
14 Grudzień 2009 12:16
#1
Otóż, podłączylem pendriva i coś złapalem, mam kerio personal firewall który ciągle blokuje mi jakis atak. Do tego menadzer zadań jest wyłączony.
Log http://www.wklej.org/id/235117/
jessica
(jessica)
14 Grudzień 2009 12:35
#2
Przy tej infekcji log z Hijacka jest w ogóle nieprzydatny.
Daj log z OTL
W OTL przed skanowaniem, ustaw jeszcze dodatkowe opcje poprzez wklejenie do pola “Custom Scans/Fixes”:
Następnie przestaw “Processes” i “Modules” na “All”, inne ustawienia zrób zgodnie z opisem narzędzia, i potem kliknij “Run Scan”,
jessi
busz90
(Polska1221)
14 Grudzień 2009 13:00
#3
jessica
(jessica)
14 Grudzień 2009 13:06
#4
Jeszcze pytanie: czy było kiedyś usuwanie wirusa SALITY/SECTOR, czy też może to jest dalej?
jessi
busz90
(Polska1221)
14 Grudzień 2009 13:10
#5
Nie usuwałem nigdy takiego wirusa, całkiem możliwe że on jest.
Z tym
co mam zrobić?
jessica
(jessica)
14 Grudzień 2009 13:19
#6
No to jest duuży problem.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL PRC - [2006-10-25 08:32:36 | 00,110,592 | RHS- | M] (Microsoft Corporation) – C:\WINDOWS\system32\EXPLORER.EXE PRC - [2009-12-14 13:03:48 | 00,008,704 | ---- | M] () – C:\Documents and Settings\Łukasz\Ustawienia lokalne\Temp\winubfu.exe O3 - HKLM…\Toolbar: (no name) - - No CLSID value found. O3 - HKLM…\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found O4 - HKLM…\Run: [Cmaudio] File not found O4 - HKCU…\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O4 - HKCU…\Run: [wsctf.exe] File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O33 - MountPoints2{c65683a0-e8a5-11de-948a-000e50dbd23a}\Shell\AutoRun\command - “” = G:\EXPLORER.EXE – File not found O33 - MountPoints2{c65683a0-e8a5-11de-948a-000e50dbd23a}\Shell\explore\Command - “” = G:\EXPLORER.EXE – File not found O33 - MountPoints2{c65683a0-e8a5-11de-948a-000e50dbd23a}\Shell\open\Command - “” = G:\EXPLORER.EXE – File not found [2009-12-14 12:43:31 | 00,110,592 | RHS- | C] (Microsoft Corporation) – C:\WINDOWS\System32\EXPLORER.EXE :Files C:\RECYCLER :Services abp470n5 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=“explorer.exe” [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Użyj >Dr. Web CureIt!
Link zapasowy, gdyby oficjalna strona została zablokowana: http://www.speedyshare.com/files/19501477/launch.exe
Przy ściąganiu zmień nazwę z “launch.exe” na “launch.com ”.
Napisz, co wykrył.
Jeśli wykryje tego SECTOR, to niech najpierw leczy zarażone .exe, a jeśli się nie uda, to niech je usuwa.
jessi
busz90
(Polska1221)
14 Grudzień 2009 14:08
#7
Zainfekowany wirusem Trojan.Spambot.3654 i win32.Sector.17. Przy szybkim skanowaniu, znalazł 9 zainfekowanych plików, z czego 7 wyleczył jeden usunięty oraz jeden przeniesiony.Nadal są próby ataku i nie działa menadzer.
jessica
(jessica)
14 Grudzień 2009 14:13
#8
No to teraz daj na długie skanowanie.
Potem:
Użyj jeszcze jakiegoś skanera online:
http://www.bitdefender.com/scanner/online/free.html (Internet Explorer)
http://housecall.trendmicro.com/ (Internet Explorer lub Firefox)
http://housecall.trendmicro.com/housecall7/ (Internet Explorer lub Firefox)
http://support.f-secure.com/enu/home/ols.shtml (Firefox 3.0 oraz Internet Explorer 6-7.)
http://www.arcabit.pl/content/view/124/145/lang,polish/ (Internet Explorer. By uruchomić narzędzie w iE, należy w przeglądarce dodać adres arcaonline do Zaufanych Witryn)
http://www.mks.com.pl/skaner/ (Internet Explorer)
http://www.eset.com/onlinescan/ (Internet Explorer, Firefox / Opera / Safari)
http://onecare.live.com/site/en-US/default.htm
http://www.emsisoft.com/en/software/ax/
Jak już nic nie będzie wykrywane, to dasz nowy log z OTL - zobaczymy, co z tym Menagerem - ale pewnie po usunięcia wirusa zniknie też blokada Menagera w Rejestrze.
jessi
busz90
(Polska1221)
14 Grudzień 2009 23:20
#9
Zrobiłem scana doktorem już dwa razy, ciągle wynajduje kolejne infekcje, w sumie, to do tej pory nic się nie zmieniło.
http://www.emsisoft.com/en/software/ax/ - nic nie znalazł.
http://www.eset.com/onlinescan/ - tez nic.
Reszta nie działa, nie ładuje się strona w ogole a kerio ciągle blokuje ataki.
http://www.wklej.org/id/235748/ OTL
jessica
(jessica)
14 Grudzień 2009 23:32
#10
Tak, widać, że wirus rozwija się dalej.
Czarno to widzę.
Użyj >Kaspersky Virus Removal Tool
Napisz o rezulatatach jego skanu.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL PRC - [2009-12-14 19:42:51 | 00,008,704 | ---- | M] () – C:\Documents and Settings\Łukasz\Ustawienia lokalne\Temp\winnlfaia.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Services abp470n5 :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
busz90
(Polska1221)
15 Grudzień 2009 15:46
#11
Dziwna sprawa, Kaspersky Virus Removal Tool nie działa z żadnego linku, tak samo jak z scanerami online, nie ładuje się strona.
http://www.wklej.org/id/236393/ OTL- run fix.
http://www.wklej.org/id/236405/ OTL - run scan
Decos20
(Katalonczyk97)
15 Grudzień 2009 16:22
#12
czyszczenie z wewnątrz jest na ogół mało skuteczna lepiej by spróbować z Bootowealnymi płytkami AV. http://www.searchengines.pl/Bootowalne- … 12329.html ale płytke musisz wykonać na niezainfekowanym kompie ewentualnie poproś kolege by ci zrobił taką płytke.