Logi po próbie usunięcia Sality

asterath · 6 Maj 2010 16:45

Witam.

Proszę o sprawdzenie logów po próbie usunięcia Sality.

OTL

http://www.wklejto.pl/66185

SREng

http://www.wklejto.pl/66184

Loga GMER pomimo dwukrotnej próby nie byłam w stanie wstawić. Za każdym razem po ukończeniu skanowania komputer się zawiesza. Odinstalowałam daemona i nic.

Zgodnie z instrukcją wyłączyłam przywracanie systemu na wszystkich dyskach. Użyłam Dr Web, Kaspersky Virus Removal Tool i szczepionki od AVG.

Wcześniej jeszcze przeskanowałam komputer Malwarebytes’.

Mam wrażenie, ze wirus nadal gdzieś jest.

Większość programów nie działa, trzeba ponownie je instalować. Pewnie zainfekowane pliki .exe zostały usunięte.

Z Aviry cały czas wyskakuje powiadomienie, ze dostęp do pliku C:\autorun.inf został zablokowany. Dzieje się tak z każdym dyskiem po kolei.

Proszę o pomoc.

Agaton · 6 Maj 2010 16:50

asterath ,

Proszę poprawić pisownię w tytule tematu i w opisie problemu. W celu edycji swojego posta proszę skorzystać z przycisku Edytuj przy poście otwierającym temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

Leon1 · 6 Maj 2010 17:41

uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15003&l=dis FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” [2010-05-01 15:57:09 | 000,002,425 | ---- | M] () – C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\amqghycy.default\searchplugins\askcom.xml [2010-05-01 15:57:09 | 000,002,425 | ---- | M] () – C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\amqghycy.default\searchplugins\askcom.xml [2010-05-01 17:39:49 | 000,002,059 | ---- | M] () – C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\amqghycy.default\searchplugins\daemon-search.xml O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM…\Run: [High Definition Audio Property Page Shortcut] File not found O4 - HKLM…\Run: [nwiz] File not found O4 - HKCU…\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) O4 - HKCU…\Run: [nod32] C:\DOCUME~1\Marcin\USTAWI~1\Temp\nodqq.exe File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe File not found O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra ‘Tools’ menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinsta … s-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O32 - Unable to obtain root file information for disk C:\ O32 - Unable to obtain root file information for disk D:\ O32 - Unable to obtain root file information for disk E:\ O32 - Unable to obtain root file information for disk F:\ O32 - Unable to obtain root file information for disk G:\ O32 - Unable to obtain root file information for disk K:\ O33 - MountPoints2{09d63722-40bb-11df-937a-101111111111}\Shell\AutoRun\command - “” = h0.exe O33 - MountPoints2{09d63722-40bb-11df-937a-101111111111}\Shell\open\Command - “” = h0.exe O33 - MountPoints2{0a573f9f-29f2-11df-b1af-00030d000001}\Shell\AutoRun\command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{0a573f9f-29f2-11df-b1af-00030d000001}\Shell\open\Command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{90d1e640-2cf6-11df-b1b9-00030d000001}\Shell\AutoRun\command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{90d1e640-2cf6-11df-b1b9-00030d000001}\Shell\open\Command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{b747ec64-2e05-11df-b1bc-00030d000001}\Shell\AutoRun\command - “” = L:\mi9al8rs.exe – File not found O33 - MountPoints2{b747ec64-2e05-11df-b1bc-00030d000001}\Shell\open\Command - “” = L:\mi9al8rs.exe – File not found O33 - MountPoints2{fdfd7082-2ea9-11df-b1be-00030d000001}\Shell\AutoRun\command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2{fdfd7082-2ea9-11df-b1be-00030d000001}\Shell\open\Command - “” = K:\2u923g01.exe – File not found O33 - MountPoints2\K\Shell\AutoRun\command - “” = K:\ji83j.exe – File not found O33 - MountPoints2\K\Shell\open\Command - “” = K:\ji83j.exe – File not found MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk - C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe - File not found MsConfig - StartUpFolder: C:^Documents and Settings^Marcin^Menu Start^Programy^Autostart^OpenOffice.org 2.3.lnk - C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe - File not found [2010-05-03 14:41:18 | 000,000,053 | RHS- | M] () – C:\autorun.inf :Files D:\autorun.inf E:\autorun.inf F:\autorun.inf G:\autorun.inf K:\autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Wylecz pendriva lub kartę pamięci

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

potem nowy log OTL robiony opcją Run Scan

asterath · 8 Maj 2010 12:00

Zrobilam to, co jest wyzej napisane.

Po restarcie pojawilo sie okno: http://www.wklejto.pl/66372

Po uzyciu Flash Disinfector wyskoczyl komunikat z Aviry o zablokowaniu dostepu do autorun.inf.

Tym razem rozpoczeło się od D, a nie jak wczesniej od C. Potem kolejne okienka dotyczace wszystkich dyskow.

Log OTL:

http://www.wklejto.pl/66379

Leon1 · 8 Maj 2010 13:27

wyłącz SpybotSD TeaTimer

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

Kliknij w Run Fix. Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan

wyłącz chwilowo Avirę użyj jeszcze raz Flash Disinfector w Avirze foldery autorun.inf. daj do wyjątków czy coś w tym stylu

asterath · 8 Maj 2010 14:24

Okno po restarcie komputera: http://wklejto.pl/66397 (potrzebne jest w ogóle wklejanie tego??)

OTL: http://www.wklejto.pl/66401

Leon1 · 9 Maj 2010 11:07

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

W OTL kilknij CleanUp

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

asterath · 9 Maj 2010 12:46

Wykonałam powyższe zalecenia.

DR Web pokazuje mi caaałąąą masę plików Win32.sector.28480. (wszytkie w folderze: Avira/AntiVir Desktop/INFECTED

Czyli znów jest sality?

Został tylko format?

Leon1 · 9 Maj 2010 14:01

to jest folder kwarantanny Aviry

po prostu usuń je za pomocą “Usuń obiekt” funkcji kwarantanny.

asterath · 9 Maj 2010 17:03

Ok, udało się, serdecznie dziękuję za pomoc

jeszcze jedna kwestia - usunęłam wszystko z kwarantanny, teraz Dr Web pokazuje win32.hllw.autoruner.corrupted na dysku I w pliku autorun.inf. Dysk ten to stacja dysków cd-rw.

Jak to wyleczyć?

Leon1 · 9 Maj 2010 17:25

czy przeskanowałeś wszystkie partycje Flash Disinfectorem?

asterath · 11 Maj 2010 04:35

Hmm nie. FD nie pyta mnie o wybor dysku…

Moze jakims innym programem to zrobic?

Leon1 · 11 Maj 2010 13:41

a jaki masz problem

Obsługa banalna. Wystarczy uruchomić narzędzie. Pojawi się pierwszy komunikat proszący o podpięcie pendrive (o ile to ma zostać poddane dezynfekcji): Po zatwierdzeniu rozpocznie się proces usuwania sygnowany zabiciem powłoki explorer.exe. Po ukończeniu pojawi się komunikat Finished a powłoka explorer.exe zostanie przywrócona: Żadne logi nie są tworzone. UWAGA: Narzędzie na każdym dysku tworzy ukryty folder autorun.inf z plikiem: Folder ten ma znaczenie ochronne - “przeszkadza” szkodliwym plikom autorun.inf zapisać się bezpośrednio w root dysku (domyślnie w Windows plik mający taką samą nazwę jak katalog próbuje się automatycznie zapisywać w katalogu o tej samej nazwie a nie obok). Te foldery są niekasowalne ze względu na wadę nazwy pliku siedzącego w folderach autorun.inf.

asterath · 11 Maj 2010 15:55

Tamten problem już jest zażegnany

Przy pełnym skanowaniu Dr Webem Avira nadal pokazuje informacje o zablokowanym dostępie, mimo iż dodałam te pliki autorun.inf do wyjątków.