Multi123
(Wego7)
13 Listopad 2009 11:48
#1
Witam mam problem z jakims wirusem mam nadzieje ze to nie Sality bo format w ogole nie wchodzi w gre gddyz jest to komputer firmowy na ktorym znajduja sie wazne programy z danymi.
http://wklej.org/id/204095/ - HijackThis
z combofixa nie mam bo nie chce sie nawet odpalic…
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
<------ to odpowiada za wyłączenie rejestru, sfixuj
C:\DOCUME~1\UZYTKO~1\USTAWI~1\Temp\winhkbsv.exe
<-- znasz to ?
O4 - Startup: smgr32.exe
i to ?
Multi123
(Wego7)
13 Listopad 2009 12:49
#3
nie wiem co to ale raczej nic potrzebnego
jessica
(jessica)
13 Listopad 2009 13:11
#4
To nie jest dobry znak!
Nawet jeśli nie ma SALITY, to ten “smgr32.exe” jest najczęściej skojarzony z zainfekowaniem jakiegoś pliku Systemowego.
Co wykrywa Antivirus?
A ComboFix trzeba było od razu przy ściąganiu zapisać pod jakąś inną nazwą, (np. “dddfff.com ”) -
Na początek daj logi z >OTL
oraz z >SRENG (Po uruchomieniu klik “SmartScan”, zaznacz “Verify…”, klik “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).
Multi123
(Wego7)
16 Listopad 2009 11:11
#5
jessica
(jessica)
16 Listopad 2009 12:09
#6
No niestety - jest SALITY/SECTOR!
Wklej do Notatnika :
File::
c:\windows\system32\drivers\ptjpiq.sys
c:\documents and settings\uzytkownik\Menu Start\Programy\Autostart\smgr32.exe
C:\Documents and Settings\uzytkownik\Ustawienia lokalne\temp\winhkbsv.exe
Folder::
C:\Documents and Settings\uzytkownik\Ustawienia lokalne\temp
Driver::
abp470n5
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=dword:00000000
"DisableRegistryTools"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amva"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cbvcs"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3760D689-C63B-4422-9A1D-31CA856CD5C1}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB5F1910-F110-11D2-BB9E-00C04F795683}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Użyj Dr. Web CureIt!
Uwaga: Też od razu przy ściąganiu zapisz go pod jakąś nazwą z rozszerzeniem .com (podobnie jak u ComboFixa) !
Napisz, co wykrył.
jessi
Multi123
(Wego7)
16 Listopad 2009 13:09
#7
OK, po tej akcji z ComboFixem ruszył menedzer i rejestr.
Robie scan tym Dr. Web CureIt jak skonczy to dam znac.
EDIT:
omg nie ma 30% skanowania a juz 1000 zainfekowanych. leczyc to?
jessica
(jessica)
16 Listopad 2009 13:43
#8
Oczywiście, że leczyć - dlatego właśnie zaleciłam “Dr.WebCureIT”, bo on potrafi leczyć zarażone pliki, a nie tylko usuwać.
jessi
Leon1
(Leon$)
16 Listopad 2009 13:48
#9
deFco247
(deFco247)
16 Listopad 2009 14:16
#11
Tyle że właśnie ten wirus niszczy programy i ich wyleczenie będzie graniczyło z cudem.
Pozostaje sposób drugi z linku powyżej.
Chociaż i tak większość programów po czymś takim nie będzie działać.
Leon1
(Leon$)
16 Listopad 2009 14:16
#12
I jedziesz bez antywirusa to żart czy totalna beztroska
:?:
Multi123
(Wego7)
16 Listopad 2009 14:29
#13
tylko ze ten sposob wymaga usuniecia plikow ktorych nie moge usunac.
Hmmmm pare miesiecy temu zostal zmieniony komputer i mam stary dysk na ktorym sa dane z 8 lat działania firmy i co najwazniejsze nie ma na nim Sality.
Pociągne moze jeszcze bez formata do konca roku a potem niektore dane moze uda sie przerzucic na stary dysk.Potem format nowego i znow przerzuce.
co o tym sądzicie?
deFco247
(deFco247)
16 Listopad 2009 14:36
#14
Nie ma szans.
Ten wirus się przenosi na wszystkie dyski i system padnie w przeciągu paru dni.
Multi123
(Wego7)
16 Listopad 2009 14:42
#15
to co radzisz? juz zrzucac dane na plytke?
deFco247
(deFco247)
16 Listopad 2009 14:51
#16
Proszę zapomnieć o sterownikach i instalkach które są na dysku bo one są zainfekowane i należy je także usunąć. Zainfekowane będą także archiwa zawierające pliki exe Świerze wersje sterowników i instalek pobieramy z internetu. Zdjęcia, muzykę czy dokumenty tekstowe możemy skopiować sobie na CD/DVD. Proszę jednak zachować szczególną ostrożność aby przy tym kopiowaniu nie przegrać sobie czegoś “więcej”. Dlatego zanim zgramy wszystko ponownie na dysk twardy proszę przeskanować płytkę skanerem antywirusowym.
Jak nie chcesz formatu to zastosuj się do powyższego cytatu i użyj metody drugiej z poradnika.