Problem ze złośliwym wirusem

Jacek7891 · 12 Lipiec 2013 16:01

Witam, od 2-3 dni zmagam się z problemami, mianowicie… Nie mogę uruchomić komputera w trybie awaryjnym, mam problem z odpaleniem Start->Uruchom-> regedit ‘Dostęp został zablokowany przez administratora sieci’ czy jakoś tak, kolejnym problemem jest to, że nie mogę instalować niektórych aplikacji, mało tego, jak np w przypadku aktualizacji JAVY w ogóle nie chce się pobrać, dochodzi prawie do końca pobierania, zatrzymuje się i po pewnym czasie wyskakuje błąd… Do wczoraj miałem też problem z automatycznym wyłączaniem systemu, z tego co czytałem powodował go jakiś robak Sasser, Blaster czy jakiś inny cholernik, nie znam się, zaraz po uruchomieniu komputera wyskakiwała mi informacja że system zostanie zamknięty (Odliczanie 60s). Dziś nie mam już tego problemu, przeskanowałem komputer wieloma antywirusami Dr Web, AVG… i programami typu TuneUp czy dll-files fixer… Może niezbyt dokładnie to wszystko opisałem, ale pierwszy raz mam styczność aż z TAKIM problemem i po raz pierwszy zwracam się o pomoc na forum…

http://wklej.org/id/1086047/ <------------ raport OTL,

Z góry dziękuję za ewentualną pomoc, mam nadzieję że mi jakoś ktoś pomoże i obędzie się bez formatu, ponieważ nie mam napędu i myślę że byłby problem z wgraniem nowego systemu

Atis · 12 Lipiec 2013 16:07

Nikt nie ma dostępu do raportu z OTL zapisanego na pulpicie.

Wyślij log na http://wklej.org/ i podaj link.

Jacek7891 · 13 Lipiec 2013 17:43

Już dałem na wklej.org Up^ podałem link… Pierwszy raz mam styczność z takim paskudztwem Nie mogę nawet pobrać Avastu… Wszystko staje w miejscu… Bardzo proszę, niech ktoś mi jakoś z tym ustrojstwem pomoże ;(

Atis · 13 Lipiec 2013 17:50

Wirus Sality który infekuje wszystkie pliki wykonywalne.

Wyłącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Skanuj wszystkie partycje i lecz zainfekowane pliki.

SalityKiller lub KLIK
Dr.Web CureIt lub KLIK

Dr.Web CureIt przeskanuj wszystkie dyski: KLIK

Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.

Jacek7891 · 13 Lipiec 2013 18:50

Wykonałem te czynności które mi doradziłeś http://wklej.org/id/1086259/ Raport z OTL po skanie SalityKillerem i Dr. Webem

Atis · 13 Lipiec 2013 18:54

Wirus nadal jest aktywny.

Powtarzaj skanowanie do czasu aż skanery nie wykryją żadnego zainfekowanego pliku.

Dysk przeskanuj Kaspersky Virus Removal Tool 2011 lub KLIK

W zakładce Scan scope zaznacz wszystkie dyski:

Jacek7891 · 13 Lipiec 2013 21:26

Po użyciu SalityKillera nie mogę otwierać plików rar. (Widocznie winrar był zainfekowany czy coś, i został usunięty) także wszystko co ściągam jest nie do odpalenia, mam też problem z pobraniem nowego winrara, jak pobieram wersję portable i ją opalam, to ‘otwiera’ mi niby plik, w którym są pliki z mojego komputera jakby spakowane, dziwnie to wygląda, po kliknięciu w winrara portable, wyświetla mi pliki z pulpitu… Nic nie rozumiem, nie mogę teraz odpalić ani SalityKillera ani Dr. Web, to samo jest ze ściągniętym Kaspersky Virus Removal Tool 2011…

– Dodane 13.07.2013 (So) 23:44 –

Okej, ogarnąłem to, mam winrara Odpalę to co mi zapodałeś

Atis · 13 Lipiec 2013 21:48

Zamiast programu WinRar możesz użyć darmowy 7-Zip:

http://7-zip.org.pl/

Jacek7891 · 14 Lipiec 2013 07:07

Odpaliłem wczoraj Kaspersky Virus Removal Tool 2011 wykrył od cholery plików zarażonych wirusem Sality, niestety doszedł do 97% skanowania i sam się wyłączył… Dziś odpaliłem go ponownie, nadal jest mnóstwo plików (zainfekowanych 54% 532 pliki zainfekowane) zauważyłem że niektóre pliki wyświetlane przez Kaspersky Virus Removal Tool 2011 mają opis ‘Password Protected’… No nic, dokończę skanowanie i zobaczę co dalej.

– Dodane 14.07.2013 (N) 11:34 –

No więc tak, pierwszy skan programem Kaspersky Virus Removal Tool 2011 wykrył ponad 500 zainfekowanych plików i je usunął/wyleczył kolejny skan tym samym programem nie wykrył już nic, następnie odpaliłem SalityKillera który też nic nie wykrył, ostatecznie odpaliłem Dr. Web który wykrył 9 zagrożeń które wyleczył… To jest raport OTL po wszystkich skanach. http://wklej.org/id/1086511/

– Dodane 14.07.2013 (N) 11:49 –

Wygląda na to że wszystko jest okej, odzyskałem dostęp do ‘regedit’ i aktualizacji Javy. Bardzo dziękuję za pomoc Pozdrawiam.

Atis · 14 Lipiec 2013 11:16

Pobierz i rozpakuj archiwum:

http://support.kaspersky.com/downloads/ … egkeys.zip

Uruchom plik SafeBootWin XP

Uruchom AdwCleaner i kliknij Usuń.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\Rts5161ccid.sys – (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\Rts516xIR.sys – (Rts516xIR) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbmdm.sys – (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\JACEK7~1\USTAWI~1\Temp\cpuz130\cpuz_x32.sys – (cpuz130) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\JACEK7~1\USTAWI~1\Temp\catchme.sys – (catchme) IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.yhs.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=FC960C607631BF79&affID=119357&tt=040713_ifrmful&tsp=4939 IE - HKCU…\SearchScopes{C76C6412-13FE-4FD8-AC56-DB3774517A51}: “URL” = http://search.avg.com/route/?d=4e0c2050 … =chrome&q={searchTerms}&lng={language}&iy=&ychte=us O3 - HKLM…\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O16 - DPF: {41ACD49D-791A-1974-0981-AA9872721044} http://cached.gamedesire.com/g_bin/pl/b … 0_0_39.cab (Reg Error: Key error.) O16 - DPF: {A854AD6D-41FB-6DB5-8044-0BD38092A007} http://cached.gamedesire.com/g_bin/pl/s … 0_0_19.cab (Reg Error: Key error.) [2013-07-12 14:22:19 | 000,017,344 | ---- | C] (Dll-Files.com) – C:\WINDOWS\System32\roboot.exe [2013-07-12 06:01:26 | 000,000,000 | —D | C] – C:\ComboFix [2013-07-10 08:11:14 | 000,000,000 | —D | C] – C:\WINDOWS\System32\Extensions [2013-07-10 08:11:13 | 000,000,000 | —D | C] – C:\WINDOWS\System32\searchplugins [2013-07-10 08:11:03 | 000,000,000 | —D | C] – C:\Program Files\Delta [2013-07-10 08:11:02 | 000,000,000 | —D | C] – C:\Documents and Settings\Jacek7891\Dane aplikacji\Delta [2013-07-10 08:11:02 | 000,000,000 | —D | C] – C:\Documents and Settings\Jacek7891\Dane aplikacji\BabSolution [2013-07-10 08:10:39 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2013-07-10 07:39:35 | 000,000,000 | —D | C] – C:\Documents and Settings\Jacek7891\Dane aplikacji\BACS.exe [2013-07-14 11:23:32 | 000,000,286 | ---- | M] () – C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-527237240-1682526488-682003330-1003.job [2013-07-13 18:06:02 | 000,000,280 | ---- | M] () – C:\WINDOWS\tasks\EPUpdater.job [2010-07-05 08:47:58 | 000,002,596 | ---- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak [2010-07-05 08:47:58 | 000,001,734 | ---- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak [2010-07-05 08:47:58 | 000,000,742 | ---- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Jacek7891 · 14 Lipiec 2013 11:39

http://wklej.org/id/1086597/http://wklej.org/id/1086605/ Dwa raporty (Usuwania i nowy log skanowania OTL)

Atis · 14 Lipiec 2013 12:05

Wklej i kliknij Wykonaj skrypt:

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Jacek7891 · 14 Lipiec 2013 12:24

Okej, wykonałem te czynności

anon89827741 · 14 Lipiec 2013 12:40

Jacek7891 , proszę zapoznaj się z tą stroną oraz tym tematem, a następnie, używając przycisku image.php?album_id=20&image_id=4038