d4mi4n
(d4mi4n)
16 Lipiec 2012 14:04
#1
Witam, od pewnego czasu mam problem z themidą gra dziś zaczęła działać i znów przestała, proszę o pomoc nie wiem co mam robić Mam win XP.
Logi ots o ile są potrzebne.
http://wklej.org/id/791611/
Atis
(Atis)
16 Lipiec 2012 14:25
#2
Wirus Sality który infekuje wszystkie pliki wykonywalne.
Podłączyłeś zainfekowany pendrive lub inne urządzenie pod USB.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\tjjmn.sys – (asc3360pr) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\tjjmn.sys – (amsint32) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=ins IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/?utm_source=b&utm_medium=ins IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/?utm_source=b&utm_medium=ins IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/?utm_source=b&utm_medium=ins [2012-07-05 22:58:35 | 000,000,000 | —D | M] (VirtualDJ Toolbar) – C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\dtslsv8t.default\extensions\toolbar@ask.com O4 - HKLM…\Run: [vgh479z] C:\Documents and Settings\Damian\Dane aplikacji\ece7uw9b.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Files autorun.inf /alldrives duvg.exe /alldrives iptil.pif /alldrives hojroi.pif /alldrives yfmfyk.pif /alldrives soieuu.exe /alldrives C:\Documents and Settings\Damian\P-7-78-8964-9648-3874 C:\Documents and Settings\Damian\Dane aplikacji*.exe C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji*.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Wyłącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub Klik
Dr.WEB CureIt wykonaj Pełne skanowanie.
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
Zabezpiecz się przed infekcją z USB Panda USB Vaccine
d4mi4n
(d4mi4n)
16 Lipiec 2012 14:41
#3
Link z wyłączeniem przywracania systemu nie działa , jeszcze nie skanowałem log po wykonaniu skryptu:
http://wklej.org/id/791633/
Atis
(Atis)
16 Lipiec 2012 14:59
#4
Kliknij prawym na Mój komputer -> Właściwości -> Przywracanie systemu
Zaznacz Wyłącz Przywracanie systemu na wszystkich dyskach i kliknij OK.
Logi nie rozwiążą problemu, bo ten wirus infekuje pliki wykonywalne exe, dll itp.
Skanuj do skutku czyli gdy skaner nie wykryje żadnych zainfekowanych plików.
d4mi4n
(d4mi4n)
16 Lipiec 2012 15:01
#5
Przywracanie systemu wyłączyłem ale nie działa kolejny link z pandą USB czy zamiast tego może być USB safeguard 2.0 free? Sality killer skanuje to troche potrwa.
Atis
(Atis)
16 Lipiec 2012 15:09
#6
Pewnie wirus blokuje stronę Microsoftu i producentów programów antywirusowych
Zacznij skanować, bo to jest najważniejsze.
Panda USB Vaccine:
http://www60.zippyshare.com/v/78288939/file.html
d4mi4n
(d4mi4n)
16 Lipiec 2012 15:34
#7
Salitykiller zakończył skanowanie nic się nie pokazała po prostu zniknął, zaczynam skanować Dr.web.
@edit dr web wykonał tylko szybkie skanowanie ponieważ mój klucz licencyjny wygasł, nie rozumiem.
Atis
(Atis)
16 Lipiec 2012 15:49
#8
Masz użyć darmowego skanera Dr.Web CureIt
d4mi4n
(d4mi4n)
16 Lipiec 2012 16:49
#9
Rozumiem ale tutaj chyba chodzi o klucz XP, nie jestem pewien ale mogę tylko skanować przy pierwszym uruchomieniu później mi się wyłącza, może użyć innego skanera?
Atis
(Atis)
16 Lipiec 2012 17:32
#10
Kaspersky Virus Removal Tool
http://www.dobreprogramy.pl/Kaspersky-V … 12768.html
W zakładce Scan scope zaznacz wszystkie dyski:
Jak zmienić obszar automatycznego skanowania w Kaspersky Virus Removal Tool 2011?
Aby zmienić obszar automatycznego skanowania, wykonaj poniższe działania: 1. Uruchom Kaspersky Virus Removal Tool 2011. 2. Przejdź na zakładkę Settings (Ustawienia) oznaczonych obrazkiem z kołem zębatym. 3. Wybierz sekcję Scan scope (Obszar skanowania). 4. Utwórz odpowiedni obszar skanowania zaznaczając obiekty, które mają być przeskanowane
d4mi4n
(d4mi4n)
16 Lipiec 2012 17:54
#11
Postaram się przeskanować dodatkowo nie działa edytor rejestru i menedżer zadań.
@edit ■■■■■■■ mam za wolny internet na pobieranie tak obszernych skanerów, nie ma czegoś mniejszego? Wszystkie antywirusy z niezbędników albo nie chcą się zainstalować albo strasznie się tną, nie wiem jak temu zaradzić nie mam pojęcia.
Atis
(Atis)
16 Lipiec 2012 19:28
#12
Nie ma mniejszych skanerów.
Chyba nie zainstalowałeś Dr.Web CureIt niezbędnika?
d4mi4n
(d4mi4n)
17 Lipiec 2012 12:40
#13
Tak , zainstalowałem a coś źle ?
Atis
(Atis)
17 Lipiec 2012 12:43
#14
Pewnie dlatego wyświetla komunikat o wygaśnięciu licencji.
Musisz pobrać najnowszą wersję CureIt.
Ten skaner najskuteczniej leczy zainfekowane pliki przez Sality.
d4mi4n
(d4mi4n)
19 Lipiec 2012 12:52
#15
Nie mogę pobrać dr web cureit z podanego linku chyba wygasł.
Atis
(Atis)
19 Lipiec 2012 13:11
#16
d4mi4n
(d4mi4n)
19 Lipiec 2012 18:08
#17
Skanowanie trwa już 3 godziny no cóż trzeba czekać ciągle coś się robi. Po przeskanowaniu zrobić nowy log w ots ?
– Dodane 19.07.2012 (Cz) 23:29 –
To skanowanie trwa za długo już ponad 6 godzin to chyba nie dobrze…
– Dodane 20.07.2012 (Pt) 19:17 –
Skanowanie zakończone chyba wszystko wyleczone ale menedżer zadań i edytor rejestru nie działa. Gra tymczasowo działa, problemu z themidą nie ma.
Logi OTS na innej stronie ponieważ miałem problem z wklej.org http://wklejtekst.pl/52w
Atis
(Atis)
20 Lipiec 2012 17:44
#18
Na tej stronie nie da się tego czytać .
Następny umieść na http://wklejto.pl/
Sterownik od wirusa nadal aktywny, więc chyba nie udało się usunąć Sality.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - [2012-07-16 16:42:02 | 000,000,107 | -H-- | M] () [Auto | Stopped] – C:\Documents and Settings\Damian\Dane aplikacji\eyi1zy9n.bat – (ece7uw9b) DRV - File not found [Kernel | Disabled | Stopped] – a – (vsdatant) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\onmlqn.sys – (asc3360pr) DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\onmlqn.sys – (amsint32) [2012-05-03 15:39:46 | 000,002,415 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2012-07-08 23:45:12 | 000,000,000 | —D | C] – C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\AskToolbar [2012-07-20 19:01:01 | 000,000,236 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2012-07-19 21:45:10 | 000,000,107 | -H-- | C] () – C:\Documents and Settings\Damian\Dane aplikacji\pwhr.bat [2012-07-16 16:42:02 | 000,000,107 | -H-- | C] () – C:\Documents and Settings\Damian\Dane aplikacji\eyi1zy9n.bat [2012-07-16 16:39:55 | 000,071,168 | ---- | C] () – C:\Documents and Settings\Damian\Dane aplikacji\audiomgr.exe [2012-06-29 14:20:35 | 000,019,456 | ---- | C] () – C:\Documents and Settings\Damian\Dane aplikacji\hook.dll [2012-07-20 19:01:01 | 000,000,236 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Files autorun.inf /alldrives :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
d4mi4n
(d4mi4n)
20 Lipiec 2012 18:04
#19
wklej.org już działa raport z usuwania: http://wklej.org/id/794619/
nowy log (znowu problem z wklej.org ) http://wklejto.pl/129391
Może zainstalować avasta na tym komputerze czy jeszcze za wcześnie? Widać poprawę menedżer zadań i edytor rejestru działa. Problem z themidą też chyba rozwiązany. :lol:
Atis
(Atis)
20 Lipiec 2012 18:16
#20
Teraz nie widać żadnej infekcji.
Możesz zainstalować Avasta.
Pamiętaj żeby zabezpieczyć wszystkie urządzenia podłączane pod USB za pomocą Panda USB Vaccine - Vaccinate USB.
Odinstaluj VirtualDJ Toolbar.
Napraw tryb awaryjny uszkodzony przez wirusa Sality.
Pobierz i rozpakuj archiwum:
http://support.kaspersky.com/downloads/ … egkeys.zip
Uruchom plik SafeBootWin XP
Wklej i kliknij Wykonaj skrypt:
:OTL O2 - BHO: (VirtualDJ Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (VirtualDJ Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKCU…\Toolbar\WebBrowser: (VirtualDJ Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) [2012-07-16 19:18:53 | 000,000,000 | —D | C] – C:\Documents and Settings\Damian\Dane aplikacji\AVG10 [2012-07-16 18:53:27 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\AVG10 [2012-07-16 18:51:37 | 000,000,000 | —D | C] – C:\Program Files\AVG [2012-07-16 17:39:13 | 000,000,000 | —D | C] – C:\Documents and Settings\Damian\DoctorWeb [2012-07-11 13:44:52 | 000,000,000 | -HSD | C] – C:\found.000 [2012-07-05 22:58:05 | 000,000,000 | —D | C] – C:\Program Files\Ask.com
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date