Staropolski
(Eddysound4life)
26 Październik 2011 18:27
#1
Witam.Myślę ,że mam spory kłopot.Ostatnio na xp miałem problem z otwarciem dysku d i c.Zrobiłem format ,zainstalowałem win 7 ultimate… po paru dniach użytkowania Malwarebytes anti-malware wykrywał mi trojany w folderze temp. Pewnego dnia chcę uruchomić menadżer zadań ,a tu to samo co przed formatem x_x .Malwarebytes wykrywa zainfekowany plik na dysku d o nazwie dxcws.pif .Jest to skrót do jakiegoś MD DOS i waży 100kb.Malwarebytes pokazuje ,że jest to Malware.packer.gen .Daję go do kwarantanny/usuwam plik ,a ciągle to samo… Bardzo proszę o szybką odpowiedź , bo martwię się o sprzęt
Logi OTL :
http://www.wklej.org/id/614868/
jessica
(jessica)
26 Październik 2011 18:46
#2
mam wrażenie, że masz wirusa SALITY/SECTOR.
Użyj Sality Killer -->http://support.kaspersky.com/pl/faq/?qid=208279886
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.speedyshare.com/files/30712441/SalityKiller.com
Napisz, czy rzeczywiście jest SALITY?
EDIT:
Jeśli jednak nie będzie SALITY, to zrobisz to:
Użyj >USBFix
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.
Uruchom OTL i w dolne białe pole wklej to:
:OTL
[2011-10-26 20:08:52 | 000,103,140 | ---- | M] () – C:\dxcws.pif
O7 - HKU\S-1-5-21-2098594941-1107516149-4200202432-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-21-2098594941-1107516149-4200202432-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
MOD - [2011-10-26 19:57:04 | 000,031,402 | ---- | M] () – C:\Users\Arek\AppData\Local\Temp\avslj.exe
MOD - [2011-10-26 19:20:07 | 000,012,970 | ---- | M] () – C:\Users\Arek\AppData\Local\Temp\mirv.exe
:Commands
[emptyflash]
[emptytemp]
Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Leon1
(Leon$)
26 Październik 2011 19:00
#3
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL PRC - [2011-10-26 19:57:04 | 000,031,402 | ---- | M] () – C:\Users\Arek\AppData\Local\Temp\avslj.exe PRC - [2011-10-26 19:20:07 | 000,012,970 | ---- | M] () – C:\Users\Arek\AppData\Local\Temp\mirv.exe MOD - [2011-10-26 19:57:04 | 000,031,402 | ---- | M] () – C:\Users\Arek\AppData\Local\Temp\avslj.exe MOD - [2011-10-26 19:20:07 | 000,012,970 | ---- | M] () – C:\Users\Arek\AppData\Local\Temp\mirv.exe O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-2098594941-1107516149-4200202432-1001…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O7 - HKU\S-1-5-21-2098594941-1107516149-4200202432-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-2098594941-1107516149-4200202432-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O32 - AutoRun File - [2011-10-26 16:18:57 | 000,000,231 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-10-23 06:05:58 | 000,000,264 | RHS- | M] () - D:\autorun.inf – [NTFS] [2011-10-26 20:08:52 | 000,103,140 | ---- | M] () – C:\dxcws.pif [2011-10-26 16:18:57 | 000,000,231 | RHS- | M] () – C:\autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
uruchom UsbFix z opcji Deletion
http://www.instalki.pl/programy/downloa … sbFix.html
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Staropolski
(Eddysound4life)
26 Październik 2011 19:31
#4
Wyniki z Sality Killer
Infected files : 101
infected processes: 0
infected threads: 851
Cured files: 101
Executed registry scripts: 1
Mam więc wykonywać te skrypty co napisaliście ?
jessica
(jessica)
26 Październik 2011 19:37
#5
Te Scripty mogą poczekać.
teraz ważniejszy jest SALITY, skoro jednak rzeczywiście jest.
Wszystkie skany wykonuj z podpiętym pendrive, bo to z niego jest wirus!
Użyj Sality Remover/rmsality >http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html
Link zapasowy >http://www.zshare.net/download/8719025638c1dcfd/
Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.zshare.net/download/949339605cc97999/
wszystkie skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
Użyj USBFix (linki już dostałeś poprzednio)
wykonaj Script OTL
sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
wtedy dasz nowe logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć “Użyj filtrowania” w polu "Rejestr-skan dodatkowy).
jessi
Staropolski
(Eddysound4life)
26 Październik 2011 20:01
#6
Jessi ,ale jest problem z tym usb… wirus go tak zaatakował ,że go w ogóle komputer po infekcji nie wyszukuje.
jessica
(jessica)
26 Październik 2011 20:12
#7
nie wiem, czy dobrze zrozumiałam: pendrive nie jest wykrywany?
Jeśli tak, to zapomnij o używaniu pendrive, a staraj się tylko uratować komputer.
.
Staropolski
(Eddysound4life)
26 Październik 2011 20:18
#8
Dokładnie.Pendrive mi jest zbędny. Więc ratujcie w sprawie sprzętu.Po tym leczeniu przez Sality Killer ten zarażony plik zmniejszył wagę do 33kb. Więc co dalej robić jeżeli usb nie mogę podłączyć ?
EDIT:
ten rmsality też nic nie wykrył
jessica
(jessica)
26 Październik 2011 20:23
#9
No teraz wypełniaj następne zalecone punkty, po kolei. Oczywiście bez pendrive, skoro nie da się używać.
jessi