Logi z OTL i Extras. Nie moge zainstalować żadnego antywirus

gajess · 19 Kwiecień 2013 11:57

Witam. Nie mogę pobrać ani nawet zainstalować żadnego antywirusa. Chciałem zainstalować Avast’a, ale gdy chcę go uruchomić, to niby się ładuje, a gdy się załaduje to nic się nie dzieje.

Oto logi:

OTL - http://www.wklej.org/id/1016559/

EXTRAS - http://www.wklej.org/id/1016560/

Z góry dziękuję za pomoc.

Atis · 19 Kwiecień 2013 12:04

Wirus Sality który infekuje wszystkie pliki wykonywalne.

Wyłącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Skanuj wszystkie partycje i lecz zainfekowane pliki.

SalityKiller lub KLIK
Dr.Web CureIt lub KLIK

Dr.Web CureIt przeskanuj wszystkie dyski: KLIK

Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.

gajess · 19 Kwiecień 2013 12:54

Jest mały problem… Ściągnąłem Sality i chyba nie działa. Mignęło czarne okienko i to wszystko. Ściągałem Dr.Web, ale zatrzymało się przy ostatniej sekundzie jak każdy antywirus, który chciałem ściągnąć. Co mam robić?

Atis · 19 Kwiecień 2013 13:06

Spróbuj pobrać stąd:

http://sendfile.pl/305771/doktor.zip

gajess · 19 Kwiecień 2013 14:58

Udało się pobrać. Przeskanowałem i naprawiłem zagrożenia (248 zagrożeń). Teraz jest tak, że jak otwieram dysk “C” to wyskakuje okno Caption “Hello world”. Mam nowe Logi.

OTL - http://www.wklej.org/id/1016693/

Extras - http://www.wklej.org/id/1016695/

Atis · 19 Kwiecień 2013 15:18

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - File not found [Auto | Stopped] – C:\WINDOWS\system32\isass.exe – (CSNetManagerXp) DRV - File not found [Kernel | On_Demand | Stopped] – D:\INSTALL\GMSIPCI.SYS – (GMSIPCI) DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\imhomp.sys – (amsint32) IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={B12A47F1-7956-4036-ACD7-89AA0A24E5CA} IE - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=112543 … 90cce13514 IE - HKU\S-1-5-21-436374069-484763869-725345543-1004…\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - SOFTWARE\Classes\CLSID{EEE6C35D-6118-11DC-9C72-001320C79847}\InprocServer32 File not found IE - HKU\S-1-5-21-436374069-484763869-725345543-1004…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=112543&tt=120912_pcp_3912_2&babsrc=SP_ss&mntrId=d09fc75e0000000000000090cce13514 IE - HKU\S-1-5-21-436374069-484763869-725345543-1004…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = https://isearch.avg.com/search?cid={72B7F26D-98E6-4E7D-A2F7-A325DDBCF1B9}&mid=9b5f3f70044047d0a69dd1d98a05dce7-bbb3d8d61ef6b68186f44149e3aba39e4a3bf32e〈=pl&ds=AVG&pr=fr&d=2012-10-12 11:50:31&v=13.2.0.1&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-436374069-484763869-725345543-1004…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={B12A47F1-7956-4036-ACD7-89AA0A24E5CA} FF - prefs.js…browser.search.defaultenginename: “SweetIM Search” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…sweetim.toolbar.previous.browser.search.defaultenginename: “AVG Secure Search” [2012-09-27 13:08:41 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\Gajewski1\Dane aplikacji\Mozilla\Firefox\Profiles\oz2k9tfr.default\extensions\ffxtlbr@babylon.com [2013-01-07 01:58:22 | 000,190,000 | ---- | M] () (No name found) – C:\Documents and Settings\Gajewski1\Dane aplikacji\Mozilla\Firefox\Profiles\oz2k9tfr.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012-09-26 17:01:08 | 000,002,223 | ---- | M] () – C:\Documents and Settings\Gajewski1\Dane aplikacji\Mozilla\Firefox\Profiles\oz2k9tfr.default\searchplugins\BabylonMngr.xml [2012-10-22 20:23:55 | 000,003,998 | ---- | M] () – C:\Documents and Settings\Gajewski1\Dane aplikacji\Mozilla\Firefox\Profiles\oz2k9tfr.default\searchplugins\sweetim.xml [2012-10-12 11:49:22 | 000,003,769 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml [2012-09-26 16:59:09 | 000,002,360 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM…\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM…\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKU\S-1-5-21-436374069-484763869-725345543-1004…\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O4 - HKLM…\Run: [MSI Live] C:\Program Files\MSI\MSI Live\SetWallpaper.exe File not found O4 - HKLM…\Run: [ROC_ROC_NT] “C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe” / /PROMPT /CMPID=ROC_NT File not found O4 - HKLM…\Run: [ROC_roc_ssl_v12] “C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe” / /PROMPT /CMPID=roc_ssl_v12 File not found O7 - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O9 - Extra ‘Tools’ menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O32 - AutoRun File - [2013-04-02 12:11:46 | 000,000,332 | RHS- | M] () - C:\autorun.inf – [NTFS] [2013-04-19 15:27:47 | 000,000,000 | —D | C] – C:\Documents and Settings\Gajewski1\Doctor Web [2013-04-02 12:11:48 | 000,033,224 | ---- | M] () – C:\dtitpg.exe [2013-04-03 14:44:16 | 000,000,135 | RHS- | M] () – C:\Documents and Settings\Gajewski1\autorun.inf [2013-04-02 12:10:59 | 000,196,608 | RHS- | C] () – C:\Documents and Settings\Gajewski1\cuecuf.scr @Alternate Data Stream - 24 bytes -> C:\WINDOWS:D36316C423477711 :Files C:\Documents and Settings\Gajewski1*.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] “”="@SYS:DoesNotExist" :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

gajess · 19 Kwiecień 2013 15:40

Raport - http://www.wklej.org/id/1016718/

OTL - http://www.wklej.org/id/1016727/

Extras - http://www.wklej.org/id/1016728/

Atis · 19 Kwiecień 2013 15:43

Wirus Sality nadal jest aktywny.

Dysk przeskanuj Kaspersky Virus Removal Tool 2011

Później pokaż nowy log OTL.

gajess · 19 Kwiecień 2013 15:51

Nie działa mi ten link. Nawet z dobreprogramy nie mogę ściągnąć.

Atis · 19 Kwiecień 2013 16:11

Spróbuj stąd:

http://sendfile.pl/305939/K_11.0.0.1245 … _18_17.zip

Jeżeli nie będzie można pobrać to ponownie przeskanuj Dr.Web CureIt.

gajess · 19 Kwiecień 2013 18:25

Przeskanowałem Kaspersky’m.

OLT - http://www.wklej.org/id/1016885/

Extras - http://www.wklej.org/id/1016887/

Atis · 19 Kwiecień 2013 18:41

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\imhomp.sys – (amsint32) FF - prefs.js…keyword.URL: “http://search.sweetim.com/search.asp?barid={B12A47F1-7956-4036-ACD7-89AA0A24E5CA}&src=2&crg=3.1010000.10011&q=” O7 - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-436374069-484763869-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2013-04-19 18:37:12 | 000,081,920 | ---- | C] () – C:\WINDOWS\System32\rr468672.dll [2013-04-19 18:37:12 | 000,044,748 | -H-- | C] () – C:\WINDOWS\System32\rr468672.dl_ [2013-04-19 17:35:42 | 000,044,748 | -H-- | C] () – C:\WINDOWS\System32\bp468672.dl_ [2012-10-12 18:50:04 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\AVG2013 [2012-10-12 19:06:25 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\MFAData [2013-04-19 17:24:16 | 000,103,140 | ---- | C] () – C:\dtitpg.exe :Files netsh advfirewall reset /c :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej do OTL i kliknij Skanuj:

Pokaż ten log.

gajess · 19 Kwiecień 2013 20:23

Raport - http://www.wklej.org/id/1017042/

OTL - http://www.wklej.org/id/1017047/

Extras - http://www.wklej.org/id/1017048/

Atis · 19 Kwiecień 2013 20:48

Teraz masz inną odmianę wirusa Sality.

Pobierz Panda USB:

http://sendfile.pl/306082/USBVaccine.zip

Uruchom i kliknij Vaccinate. Powinien być widoczny komunikat Computer vaccinated.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - [2013-04-19 20:39:00 | 000,005,077 | ---- | M] () [Kernel | Auto | Stopped] – C:\WINDOWS\system32\drivers\nrmmmj.sys – (MCIDRV_2600_6_0) O4 - Startup: C:\Documents and Settings\Gajewski1\Menu Start\Programy\Autostart_uninst_06510527.lnk = File not found [2013-04-19 20:39:30 | 000,044,748 | -H-- | M] () – C:\WINDOWS\System32\gi468672.dl_ [2013-04-19 20:39:28 | 000,103,140 | RHS- | M] () – C:\sinf.pif [2013-04-19 20:39:28 | 000,000,294 | RHS- | M] () – C:\autorun.inf [2013-04-19 20:39:00 | 000,005,077 | ---- | M] () – C:\WINDOWS\System32\drivers\nrmmmj.sys [2013-04-19 20:38:38 | 000,081,920 | ---- | M] () – C:\WINDOWS\System32\gi468672.dll [2013-04-19 18:41:59 | 000,000,846 | ---- | M] () – C:\Documents and Settings\Gajewski1\Menu Start\Programy\Autostart_uninst_06510527.lnk [2013-04-19 20:38:38 | 000,081,920 | ---- | C] () – C:\WINDOWS\System32\gi468672.dll :Files netsh firewall reset /c :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Musisz skanować cały dysk do skutku, czyli aż skanery nie wykryją żadnych zainfekowanych plików.

Nie wystarczy wykonać szybkie skanowanie.

Jeżeli nie chcesz skanować to pozostaje formatowanie dysku.

gajess · 19 Kwiecień 2013 21:23

Raport - http://www.wklej.org/id/1017099/

Skanuje cały, nie używam szybkiego skanowania.

Atis · 19 Kwiecień 2013 21:53

Skanuj dysk i później pokaż nowy log.

gajess · 20 Kwiecień 2013 09:39

Cała noc skanowałem. Mam nadzieje, że teraz jest już lepiej :D.

OTL - http://www.wklej.org/id/1017271/

Extras - http://www.wklej.org/id/1017272/

Atis · 20 Kwiecień 2013 10:00

Wklej i kliknij Wykonaj skrypt:

Pobierz i rozpakuj archiwum:

http://support.kaspersky.com/downloads/ … egkeys.zip

Uruchom plik SafeBootWin XP

Usuń sterownik AVP Tool driver za pomocą kavremover:

http://support2.kaspersky.com/us/1464

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Zainstaluj Service Pack 3 i Internet Explorer 8

gajess · 20 Kwiecień 2013 11:36

Wszystko zrobiłem tak jak kazałeś, co teraz? Czy to już koniec? I chciałem zainstalować Avast’a i czy się opłaca.

Atis · 20 Kwiecień 2013 12:27

W ostatnim logu nie widać aktywnego wirusa Sality, więc to już wszystko.

Teraz możesz zainstalować Avasta.