Kubaaaa13
(Jacek300878)
22 Grudzień 2010 19:22
#1
Witam
Czy moglibyście mi coś poradzić?
Nie dał nic dr T(coś tam), ani inne metody z googli.
Log:
OTL
Extras
Dziękuję bardzo z góry!!
Leon1
(Leon$)
22 Grudzień 2010 19:31
#2
dwa razy dałeś log Extra pokaż OTL.txt
Kubaaaa13
(Jacek300878)
22 Grudzień 2010 19:39
#3
Już edytowałem i poprawiłem
Dziękuję, za zwrócenie mi uwagi
Leon1
(Leon$)
22 Grudzień 2010 20:06
#4
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL PRC - [2010-12-22 19:08:43 | 000,036,352 | ---- | M] () – C:\Documents and Settings\Jacek\Ustawienia lokalne\Temp\w23a3f6.exe PRC - [2010-12-22 18:33:45 | 000,012,970 | ---- | M] () – C:\Documents and Settings\Jacek\Ustawienia lokalne\Temp\wintmdhw.exe O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O32 - AutoRun File - [2010-12-22 18:27:55 | 000,000,276 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-12-22 18:27:55 | 000,000,361 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{28e59b98-0ddb-11e0-bd98-806d6172696f}\Shell\AutoPlAY\comMAND - “” = C:\diohq.pif – [2010-12-22 18:27:55 | 000,103,140 | RHS- | M] () O33 - MountPoints2{28e59b98-0ddb-11e0-bd98-806d6172696f}\Shell\AutoRun\command - “” = C:\diohq.pif – [2010-12-22 18:27:55 | 000,103,140 | RHS- | M] () O33 - MountPoints2{28e59b98-0ddb-11e0-bd98-806d6172696f}\Shell\exPLoRe\COmMaND - “” = C:\diohq.pif – [2010-12-22 18:27:55 | 000,103,140 | RHS- | M] () O33 - MountPoints2{28e59b98-0ddb-11e0-bd98-806d6172696f}\Shell\oPen\commaND - “” = C:\diohq.pif – [2010-12-22 18:27:55 | 000,103,140 | RHS- | M] () O33 - MountPoints2{28e59b99-0ddb-11e0-bd98-806d6172696f}\Shell\autoplAy\command - “” = D:\geupfm.pif – [2010-12-22 18:27:55 | 000,103,140 | RHS- | M] () O33 - MountPoints2{28e59b99-0ddb-11e0-bd98-806d6172696f}\Shell\AutoRun\command - “” = D:\geupfm.pif – [2010-12-22 18:27:55 | 000,103,140 | RHS- | M] () O33 - MountPoints2{28e59b99-0ddb-11e0-bd98-806d6172696f}\Shell\eXplorE\CommaNd - “” = D:\geupfm.pif – [2010-12-22 18:27:55 | 000,103,140 | RHS- | M] () O33 - MountPoints2{28e59b99-0ddb-11e0-bd98-806d6172696f}\Shell\opeN\comManD - “” = D:\geupfm.pif – [2010-12-22 18:27:55 | 000,103,140 | RHS- | M] () O33 - MountPoints2{3e001e0c-0dee-11e0-96f3-0019db6ee78a}\Shell\AUtoPlAY\cOmMAND - “” = I:\tiwokm.exe – File not found O33 - MountPoints2{3e001e0c-0dee-11e0-96f3-0019db6ee78a}\Shell\AutoRun\command - “” = I:\tiwokm.exe – File not found O33 - MountPoints2{3e001e0c-0dee-11e0-96f3-0019db6ee78a}\Shell\exPLorE\COMMaNd - “” = I:\tiwokm.exe – File not found O33 - MountPoints2{3e001e0c-0dee-11e0-96f3-0019db6ee78a}\Shell\oPeN\coMmand - “” = I:\tiwokm.exe – File not found [2010-12-22 17:21:36 | 000,000,000 | -HSD | C] – C:\RECYCLER [2010-12-22 18:27:55 | 000,103,140 | RHS- | M] () – C:\diohq.pif [2010-12-22 18:27:55 | 000,000,276 | RHS- | M] () – C:\autorun.inf :Files autorun.inf /alldrives diohq.pif /alldrives tiwokm.exe /alldrives geupfm.pif /alldrives C:\Documents and Settings\Jacek\Ustawienia lokalne\Temp\w23a3f6.exe C:\Documents and Settings\Jacek\Ustawienia lokalne\Temp\wintmdhw.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “I:\tiwokm.exe”=- “C:\DOCUME~1\Jacek\USTAWI~1\Temp\wintmdhw.exe”=- “C:\DOCUME~1\Jacek\USTAWI~1\Temp\winahpuh.exe”=- “C:\DOCUME~1\Jacek\USTAWI~1\Temp\w23a3f6.exe”=- “C:\DOCUME~1\Jacek\USTAWI~1\Temp\winodfhi.exe”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] “AntiVirusOverride”=dword:00000000 “AntiVirusDisableNotify”=dword:00000000 “FirewallDisableNotify”=dword:00000000 “FirewallOverride”=dword:00000000 “UpdatesDisableNotify”=dword:00000000 “UacDisableNotify”=dword:00000000 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\svc] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] “EnableLUA”=dword:00000001 “DisableTaskMgr”=- “DisableRegistryTools”=- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] “DisableTaskMgr”=- “DisableRegistryTools”=- :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
zastosuj Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
zainstaluj jakiegoś antywira http://www.dobreprogramy.pl/Programy-an … ws,26.html
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Kubaaaa13
(Jacek300878)
23 Grudzień 2010 10:18
#5
Nie wiem, czy mam też wkleić wszystko z notatnika, co powstało po użyciu Wykonaj Skrypt i po restarcie.
http://wklej.org/id/443259/
Użyłem Flash Disinfector, właśnie pobrałem Avire.
Oto log:
http://wklej.org/id/443277/
jessica
(jessica)
23 Grudzień 2010 12:19
#6
Przepraszam, że się wtrącam, ale widzę, że zarówno w poprzednim logu, jak i w obecnym, widać wyraźnie jedną z wersji SALITY/SECTOR, wirusa zarażający wszystkie pliki *.exe.
Wg mnie, ważniejsze jest usuwanie tego wirusa, niż “inne”.
@Leon$ będzie dalej prowadził ten temat , ja tylko dodam “od siebie”:
Użyj Sality Killer -->http://support.kaspersky.com/pl/faq/?qid=208279886
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.speedyshare.com/files/25732100/SalityKiller.com
rmsality >link nieczynny
Link zapasowy (już ze zmienioną nazwą), >
> http://www.zshare.net/download/8218947302411d1f/
3) Użyj Sality Remover > http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html
4) Link zapasowy Dr.Webcureit (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >
> http://www.zshare.net/download/842410582ea6bc0b/
Co dokładnie robić, to poda Ci @Leon$
jessi
Kubaaaa13
(Jacek300878)
23 Grudzień 2010 14:46
#7
W poczekaniu na pomoc od Leon$ chciałbym podziękować Jessice, za znalezienie “tego czegoś”.
Muszę przyznać, że jakiś dziwnym trafem odkąd wystąpił ten błąd(a raczej wirus) z uniemożliwieniem otwarcia wpisu rejestrów czy menedżera zadań towarzyszyło mi np “zepsucie się” kilku gier-nie mogłem ich włączyć, a i z uninstallacją były problemy. Nawet dzisiaj, gdy próbowałem zainstalować Avira Antivir to dopiero za około 5 razem udało mi się, bo cały czas w połowie zamykał się instalator.
A teraz, gdy użyłem poleconych przez Panią(Ciebie) programów nagle Antivir znalazł jakieś 200-300 wirusów, w tym z 5-6 SALITY.
@EDIT :
Przepraszam, jeżeli coś źle zrobiłem, ale kliknąłem z ciekawości(a może głupoty) na Sprzątanie w OTL i wszystko nastąpiło zgodnie z planem, restart itd.
Natomiast gdy włączył się już system i wszystko się załadowało, nagle wszystkie programy zaczęły działać bez problemu, wszystko jak gdyby nigdy nic
Nawet wpis rejestru i menedżer zadań działa.
Ale wolę dmuchać na zimne i proszę o dalsze instrukcje, bo być może tylko uśpiłem wirusa, a ja chcę go zniszczyć i to bez skrupułów
Leon1
(Leon$)
24 Grudzień 2010 14:11
#8
dla pewności przeskanuj jeszcze raz OTL i pokaż log - myślę że będzie już czysto
Wesołych Świąt
Kubaaaa13
(Jacek300878)
24 Grudzień 2010 18:33
#9
http://wklej.org/id/443974/
Dziękuję za życzenia i również życzę Wesołych Świąt i Szczęśliwego Nowego Roku
Niby nadal jest tam ten plik zauważony przez jessice, ale przecież usunęło mi mnóstwo wirusów w tym Sality, a teraz wszystko działa w porządku. Więc co mam zrobić?
Leon1
(Leon$)
27 Grudzień 2010 15:43
#10
start >> uruchom >> cmd
sc stop amsint32 >> Enter
sc delete amsint32 >> Enter
W OTL kilknij CleanUp (Sprzątanie)
Pobierz System Repair Engineer
http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html
przeskanuj daj log