Witam.
Proszę o sprawdzenie logów po próbie usunięcia Sality.
OTL
http://www.wklejto.pl/66185
SREng
http://www.wklejto.pl/66184
Loga GMER pomimo dwukrotnej próby nie byłam w stanie wstawić. Za każdym razem po ukończeniu skanowania komputer się zawiesza. Odinstalowałam daemona i nic.
Zgodnie z instrukcją wyłączyłam przywracanie systemu na wszystkich dyskach. Użyłam Dr Web, Kaspersky Virus Removal Tool i szczepionki od AVG.
Wcześniej jeszcze przeskanowałam komputer Malwarebytes’.
Mam wrażenie, ze wirus nadal gdzieś jest.
Większość programów nie działa, trzeba ponownie je instalować. Pewnie zainfekowane pliki .exe zostały usunięte.
Z Aviry cały czas wyskakuje powiadomienie, ze dostęp do pliku C:\autorun.inf został zablokowany. Dzieje się tak z każdym dyskiem po kolei.
Proszę o pomoc.
Agaton
(Agatonster)
6 Maj 2010 16:50
#2
asterath ,
2.15. Na Forum piszemy w języku polskim. Użytkownik ma obowiązek zadbania o poprawność gramatyczną i ortograficzną (polska pisownia, znaki interpunkcyjne) swoich postów, tematów czy innych treści, które publikuje.
Proszę poprawić pisownię w tytule tematu i w opisie problemu. W celu edycji swojego posta proszę skorzystać z przycisku Edytuj przy poście otwierającym temat.
Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.
Leon1
(Leon$)
6 Maj 2010 17:41
#3
uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15003&l=dis FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” [2010-05-01 15:57:09 | 000,002,425 | ---- | M] () – C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\amqghycy.default\searchplugins\askcom.xml [2010-05-01 15:57:09 | 000,002,425 | ---- | M] () – C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\amqghycy.default\searchplugins\askcom.xml [2010-05-01 17:39:49 | 000,002,059 | ---- | M] () – C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\amqghycy.default\searchplugins\daemon-search.xml O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM…\Run: [High Definition Audio Property Page Shortcut] File not found O4 - HKLM…\Run: [nwiz] File not found O4 - HKCU…\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) O4 - HKCU…\Run: [nod32] C:\DOCUME~1\Marcin\USTAWI~1\Temp\nodqq.exe File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe File not found O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra ‘Tools’ menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinsta … s-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O32 - Unable to obtain root file information for disk C:\ O32 - Unable to obtain root file information for disk D:\ O32 - Unable to obtain root file information for disk E:\ O32 - Unable to obtain root file information for disk F:\ O32 - Unable to obtain root file information for disk G:\ O32 - Unable to obtain root file information for disk K:\ O33 - MountPoints2{09d63722-40bb-11df-937a-101111111111}\Shell\AutoRun\command - “” = h0.exe O33 - MountPoints2{09d63722-40bb-11df-937a-101111111111}\Shell\open\Command - “” = h0.exe O33 - MountPoints2{0a573f9f-29f2-11df-b1af-00030d000001}\Shell\AutoRun\command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{0a573f9f-29f2-11df-b1af-00030d000001}\Shell\open\Command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{90d1e640-2cf6-11df-b1b9-00030d000001}\Shell\AutoRun\command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{90d1e640-2cf6-11df-b1b9-00030d000001}\Shell\open\Command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{b747ec64-2e05-11df-b1bc-00030d000001}\Shell\AutoRun\command - “” = L:\mi9al8rs.exe – File not found O33 - MountPoints2{b747ec64-2e05-11df-b1bc-00030d000001}\Shell\open\Command - “” = L:\mi9al8rs.exe – File not found O33 - MountPoints2{fdfd7082-2ea9-11df-b1be-00030d000001}\Shell\AutoRun\command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{fdfd7082-2ea9-11df-b1be-00030d000001}\Shell\open\Command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2\K\Shell\AutoRun\command - “” = K:\ji83j.exe – File not found O33 - MountPoints2\K\Shell\open\Command - “” = K:\ji83j.exe – File not found MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk - C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe - File not found MsConfig - StartUpFolder: C:^Documents and Settings^Marcin^Menu Start^Programy^Autostart^OpenOffice.org 2.3.lnk - C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe - File not found [2010-05-03 14:41:18 | 000,000,053 | RHS- | M] () – C:\autorun.inf :Files D:\autorun.inf E:\autorun.inf F:\autorun.inf G:\autorun.inf K:\autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera.
Wylecz pendriva lub kartę pamięci
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
potem nowy log OTL robiony opcją Run Scan
Zrobilam to, co jest wyzej napisane.
Po restarcie pojawilo sie okno: http://www.wklejto.pl/66372
Po uzyciu Flash Disinfector wyskoczyl komunikat z Aviry o zablokowaniu dostepu do autorun.inf.
Tym razem rozpoczeło się od D, a nie jak wczesniej od C. Potem kolejne okienka dotyczace wszystkich dyskow.
Log OTL:
http://www.wklejto.pl/66379
Leon1
(Leon$)
8 Maj 2010 13:27
#5
wyłącz SpybotSD TeaTimer
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
Kliknij w Run Fix. Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan
wyłącz chwilowo Avirę użyj jeszcze raz Flash Disinfector w Avirze foldery autorun.inf. daj do wyjątków czy coś w tym stylu
Okno po restarcie komputera: http://wklejto.pl/66397 (potrzebne jest w ogóle wklejanie tego??)
OTL: http://www.wklejto.pl/66401
Leon1
(Leon$)
9 Maj 2010 11:07
#7
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
W OTL kilknij CleanUp
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj
Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
Wykonałam powyższe zalecenia.
DR Web pokazuje mi caaałąąą masę plików Win32.sector.28480. (wszytkie w folderze: Avira/AntiVir Desktop/INFECTED
Czyli znów jest sality?
Został tylko format?
Leon1
(Leon$)
9 Maj 2010 14:01
#9
to jest folder kwarantanny Aviry
po prostu usuń je za pomocą “Usuń obiekt” funkcji kwarantanny.
Ok, udało się, serdecznie dziękuję za pomoc
jeszcze jedna kwestia - usunęłam wszystko z kwarantanny, teraz Dr Web pokazuje win32.hllw.autoruner.corrupted na dysku I w pliku autorun.inf. Dysk ten to stacja dysków cd-rw.
Jak to wyleczyć?
Leon1
(Leon$)
9 Maj 2010 17:25
#11
czy przeskanowałeś wszystkie partycje Flash Disinfectorem ?
asterath
(Nafiyqa)
11 Maj 2010 04:35
#12
Hmm nie. FD nie pyta mnie o wybor dysku…
Moze jakims innym programem to zrobic?
asterath
(Nafiyqa)
11 Maj 2010 15:55
#14
Tamten problem już jest zażegnany
Przy pełnym skanowaniu Dr Webem Avira nadal pokazuje informacje o zablokowanym dostępie, mimo iż dodałam te pliki autorun.inf do wyjątków.