gajess
(Denachi)
19 Kwiecień 2013 11:57
#1
Witam. Nie mogę pobrać ani nawet zainstalować żadnego antywirusa. Chciałem zainstalować Avast’a, ale gdy chcę go uruchomić, to niby się ładuje, a gdy się załaduje to nic się nie dzieje.
Oto logi:
OTL - http://www.wklej.org/id/1016559/
EXTRAS - http://www.wklej.org/id/1016560/
Z góry dziękuję za pomoc.
Atis
(Atis)
19 Kwiecień 2013 12:04
#2
Wirus Sality który infekuje wszystkie pliki wykonywalne.
Wyłącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub KLIK
Dr.Web CureIt lub KLIK
Dr.Web CureIt przeskanuj wszystkie dyski: KLIK
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
gajess
(Denachi)
19 Kwiecień 2013 12:54
#3
Jest mały problem… Ściągnąłem Sality i chyba nie działa. Mignęło czarne okienko i to wszystko. Ściągałem Dr.Web, ale zatrzymało się przy ostatniej sekundzie jak każdy antywirus, który chciałem ściągnąć. Co mam robić?
Atis
(Atis)
19 Kwiecień 2013 13:06
#4
gajess
(Denachi)
19 Kwiecień 2013 14:58
#5
Udało się pobrać. Przeskanowałem i naprawiłem zagrożenia (248 zagrożeń). Teraz jest tak, że jak otwieram dysk “C” to wyskakuje okno Caption “Hello world”. Mam nowe Logi.
OTL - http://www.wklej.org/id/1016693/
Extras - http://www.wklej.org/id/1016695/
Atis
(Atis)
19 Kwiecień 2013 15:18
#6
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] – C:\WINDOWS\system32\isass.exe – (CSNetManagerXp) DRV - File not found [Kernel | On_Demand | Stopped] – D:\INSTALL\GMSIPCI.SYS – (GMSIPCI) DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\imhomp.sys – (amsint32) IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={B12A47F1-7956-4036-ACD7-89AA0A24E5CA} IE - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=112543 … 90cce13514 IE - HKU\S-1-5-21-436374069-484763869-725345543-1004…\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - SOFTWARE\Classes\CLSID{EEE6C35D-6118-11DC-9C72-001320C79847}\InprocServer32 File not found IE - HKU\S-1-5-21-436374069-484763869-725345543-1004…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=112543&tt=120912_pcp_3912_2&babsrc=SP_ss&mntrId=d09fc75e0000000000000090cce13514 IE - HKU\S-1-5-21-436374069-484763869-725345543-1004…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = https://isearch.avg.com/search?cid={72B7F26D-98E6-4E7D-A2F7-A325DDBCF1B9}&mid=9b5f3f70044047d0a69dd1d98a05dce7-bbb3d8d61ef6b68186f44149e3aba39e4a3bf32e〈=pl&ds=AVG&pr=fr&d=2012-10-12 11:50:31&v=13.2.0.1&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-436374069-484763869-725345543-1004…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={B12A47F1-7956-4036-ACD7-89AA0A24E5CA} FF - prefs.js…browser.search.defaultenginename: “SweetIM Search” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…sweetim.toolbar.previous.browser.search.defaultenginename: “AVG Secure Search” [2012-09-27 13:08:41 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\Gajewski1\Dane aplikacji\Mozilla\Firefox\Profiles\oz2k9tfr.default\extensions\ffxtlbr@babylon.com [2013-01-07 01:58:22 | 000,190,000 | ---- | M] () (No name found) – C:\Documents and Settings\Gajewski1\Dane aplikacji\Mozilla\Firefox\Profiles\oz2k9tfr.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012-09-26 17:01:08 | 000,002,223 | ---- | M] () – C:\Documents and Settings\Gajewski1\Dane aplikacji\Mozilla\Firefox\Profiles\oz2k9tfr.default\searchplugins\BabylonMngr.xml [2012-10-22 20:23:55 | 000,003,998 | ---- | M] () – C:\Documents and Settings\Gajewski1\Dane aplikacji\Mozilla\Firefox\Profiles\oz2k9tfr.default\searchplugins\sweetim.xml [2012-10-12 11:49:22 | 000,003,769 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml [2012-09-26 16:59:09 | 000,002,360 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM…\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM…\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKU\S-1-5-21-436374069-484763869-725345543-1004…\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O4 - HKLM…\Run: [MSI Live] C:\Program Files\MSI\MSI Live\SetWallpaper.exe File not found O4 - HKLM…\Run: [ROC_ROC_NT] “C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe” / /PROMPT /CMPID=ROC_NT File not found O4 - HKLM…\Run: [ROC_roc_ssl_v12] “C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe” / /PROMPT /CMPID=roc_ssl_v12 File not found O7 - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O9 - Extra ‘Tools’ menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O32 - AutoRun File - [2013-04-02 12:11:46 | 000,000,332 | RHS- | M] () - C:\autorun.inf – [NTFS] [2013-04-19 15:27:47 | 000,000,000 | —D | C] – C:\Documents and Settings\Gajewski1\Doctor Web [2013-04-02 12:11:48 | 000,033,224 | ---- | M] () – C:\dtitpg.exe [2013-04-03 14:44:16 | 000,000,135 | RHS- | M] () – C:\Documents and Settings\Gajewski1\autorun.inf [2013-04-02 12:10:59 | 000,196,608 | RHS- | C] () – C:\Documents and Settings\Gajewski1\cuecuf.scr @Alternate Data Stream - 24 bytes -> C:\WINDOWS:D36316C423477711 :Files C:\Documents and Settings\Gajewski1*.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] “”="@SYS :DoesNotExist" :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
gajess
(Denachi)
19 Kwiecień 2013 15:40
#7
Atis
(Atis)
19 Kwiecień 2013 15:43
#8
Wirus Sality nadal jest aktywny.
Dysk przeskanuj Kaspersky Virus Removal Tool 2011
Później pokaż nowy log OTL.
gajess
(Denachi)
19 Kwiecień 2013 15:51
#9
Nie działa mi ten link. Nawet z dobreprogramy nie mogę ściągnąć.
Atis
(Atis)
19 Kwiecień 2013 16:11
#10
Spróbuj stąd:
http://sendfile.pl/305939/K_11.0.0.1245 … _18_17.zip
Jeżeli nie będzie można pobrać to ponownie przeskanuj Dr.Web CureIt.
gajess
(Denachi)
19 Kwiecień 2013 18:25
#11
Atis
(Atis)
19 Kwiecień 2013 18:41
#12
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\imhomp.sys – (amsint32) FF - prefs.js…keyword.URL: “http://search.sweetim.com/search.asp?barid={B12A47F1-7956-4036-ACD7-89AA0A24E5CA}&src=2&crg=3.1010000.10011&q= ” O7 - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2013-04-19 18:37:12 | 000,081,920 | ---- | C] () – C:\WINDOWS\System32\rr468672.dll [2013-04-19 18:37:12 | 000,044,748 | -H-- | C] () – C:\WINDOWS\System32\rr468672.dl_ [2013-04-19 17:35:42 | 000,044,748 | -H-- | C] () – C:\WINDOWS\System32\bp468672.dl_ [2012-10-12 18:50:04 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\AVG2013 [2012-10-12 19:06:25 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\MFAData [2013-04-19 17:24:16 | 000,103,140 | ---- | C] () – C:\dtitpg.exe :Files netsh advfirewall reset /c :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
gajess
(Denachi)
19 Kwiecień 2013 20:23
#13
Atis
(Atis)
19 Kwiecień 2013 20:48
#14
Teraz masz inną odmianę wirusa Sality.
Pobierz Panda USB:
http://sendfile.pl/306082/USBVaccine.zip
Uruchom i kliknij Vaccinate. Powinien być widoczny komunikat Computer vaccinated.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - [2013-04-19 20:39:00 | 000,005,077 | ---- | M] () [Kernel | Auto | Stopped] – C:\WINDOWS\system32\drivers\nrmmmj.sys – (MCIDRV_2600_6_0) O4 - Startup: C:\Documents and Settings\Gajewski1\Menu Start\Programy\Autostart_uninst_06510527.lnk = File not found [2013-04-19 20:39:30 | 000,044,748 | -H-- | M] () – C:\WINDOWS\System32\gi468672.dl_ [2013-04-19 20:39:28 | 000,103,140 | RHS- | M] () – C:\sinf.pif [2013-04-19 20:39:28 | 000,000,294 | RHS- | M] () – C:\autorun.inf [2013-04-19 20:39:00 | 000,005,077 | ---- | M] () – C:\WINDOWS\System32\drivers\nrmmmj.sys [2013-04-19 20:38:38 | 000,081,920 | ---- | M] () – C:\WINDOWS\System32\gi468672.dll [2013-04-19 18:41:59 | 000,000,846 | ---- | M] () – C:\Documents and Settings\Gajewski1\Menu Start\Programy\Autostart_uninst_06510527.lnk [2013-04-19 20:38:38 | 000,081,920 | ---- | C] () – C:\WINDOWS\System32\gi468672.dll :Files netsh firewall reset /c :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Musisz skanować cały dysk do skutku, czyli aż skanery nie wykryją żadnych zainfekowanych plików.
Nie wystarczy wykonać szybkie skanowanie.
Jeżeli nie chcesz skanować to pozostaje formatowanie dysku.
gajess
(Denachi)
19 Kwiecień 2013 21:23
#15
Raport - http://www.wklej.org/id/1017099/
Skanuje cały, nie używam szybkiego skanowania.
Atis
(Atis)
19 Kwiecień 2013 21:53
#16
Skanuj dysk i później pokaż nowy log.
gajess
(Denachi)
20 Kwiecień 2013 09:39
#17
Cała noc skanowałem. Mam nadzieje, że teraz jest już lepiej :D.
OTL - http://www.wklej.org/id/1017271/
Extras - http://www.wklej.org/id/1017272/
Atis
(Atis)
20 Kwiecień 2013 10:00
#18
Wklej i kliknij Wykonaj skrypt:
Pobierz i rozpakuj archiwum:
http://support.kaspersky.com/downloads/ … egkeys.zip
Uruchom plik SafeBootWin XP
Usuń sterownik AVP Tool driver za pomocą kavremover:
http://support2.kaspersky.com/us/1464
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Zainstaluj Service Pack 3 i Internet Explorer 8
gajess
(Denachi)
20 Kwiecień 2013 11:36
#19
Wszystko zrobiłem tak jak kazałeś, co teraz? Czy to już koniec? I chciałem zainstalować Avast’a i czy się opłaca.
Atis
(Atis)
20 Kwiecień 2013 12:27
#20
W ostatnim logu nie widać aktywnego wirusa Sality, więc to już wszystko.
Teraz możesz zainstalować Avasta.