Problem polega na użyciu procesora w 100% obojętnie czy komp chodzi 15 min czy 12h .50% jest to włączeniu gry przeglądarkowej ( java) . Przy 2-ch metinach jest już 100% .I muli komp.
Widać ślady Sality.
-
Wyłącz Przywracanie Systemu (Start --> PPM na Mój komputer --> Właściwości --> Przywracanie Systemu i zaznacz Wyłącz Przywracanie Systemu na wszystkich dyskach ) i nie włączaj go do końca leczenia
-
Pobierz SalityKiller
i skanuj kilka razy do skutku (aż wskaże 0 zainfekowanych). 3. Pobierz Sality RegKeys
http://speedy.sh/SYkSj/SafeBootWinXP.reg
i uruchom z dwukliku (kliknij Tak)
- Po skanowaniu SalityKillerem przeskanuj system narzędziem Dr.Web CureIt! i dołącz nowe logi z OTL.
Ile plików było zarażonych i ile wyleczył?
_ Jeśli to były szczątki, to zaczynamy usuwanie śmieci _
-
Wlej do okna Własne opcje skanowania/skrypt wklej następujący tekst
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva392.sys – (XDva392)
DRV - File not found [Kernel | On_Demand | Stopped] – D:\32-Bit\Injector.sys – (Injector)
DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT)
:Commands
[emptytemp]
Kliknij Wykonaj skrypt. Dołącz log z usuwania. P.S. Czy to są znane Tobie pliki?
C:\WINDOWS\System32\283b49c6.exe
C:\WINDOWS\System32\11f6fe70.dll
Jeśli nie to je później usunę. Dostarcz też log z narzędzia GMER http://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/.
-
Odinstaluj Browsers Protector.
-
Użyj narzędzia AdwCleaner http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner (Kliknij w dysk, aby pobrać) z opcji Delete.
-
_ Po tych czynnościach dostarcz nowe logi z OTL i GMER _
http://wklej.org/id/745494/ - OTL po wykonanym skrypcie.
Pliki usunięte .
http://wklej.to/LSZfC - 1skan z GMER
Usunięto Browser.
Log z AdwCleaner http://wklej.org/id/745502/
Końcowy skan - Extras http://wklej.org/id/745524/
OTL -http://wklej.org/id/745525/
GMER - http://wklej.to/3pQ8s
-
Wklej do okna Własne opcje skanowania/skrypt ten tekst:
:OTL
IE - HKU\S-1-5-21-1409082233-1303643608-682003330-1004…\SearchScopes{75D0953E-CD3A-47D3-A3D5-B4EC66802A92}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076
:Services
XDva396
:Commands
[emptytemp]
Kliknij w Wykonaj skrypt. Dołącz log z usuwania. 2. Usuń Contextual Tool Extrafind. 3. Nie masz pliku HOSTS i nie jest to prawidłowe. Wejdź w Notatnik i wpisz ten tekst
127.0.0.1 localhost
Później w Plik --> Zapisz jako… i zapisujesz plik bez rozszerzenia (Zapisz jako typ: Wszystkie pliki) z nazwą hosts. Umieść go w folderze C:\WINDOWS\system32\drivers\etc
- Zresetuj ustawienia zapory. Wejdź w Start --> Uruchom… i wpisz cmd. Później wpisz taki tekst
.
- Dołącz nowy log z OTL (bez Extras).
-
Nadal aktualna deinstalacja _ Contextual Tool Extrafind _.
-
Czemu nie stworzyłeś pliku HOSTS?
Hosts file not found
-
Możesz odinstalować _ Akamai NetSession Interface _.
-
Odinstaluj _ VShare Complete _.
-
Dołącz log z Security Check http://screen317.spywareinfoforum.org/SecurityCheck.exe]
-
Czy występują jeszcze objawy wysokiego użycia procesora? Poza tym nie rzucaj logami, tylko opisz, co i jak.
Oto log http://wklej.org/id/753404/
Tego Contexual nie ma w dodaj/usuń
Plik hosts jest stworzony .Nie mam pojęcia dlaczego nie wykrywa .
W jakiej lokalizacji zapisałeś plik HOSTS? Jeśli nie widzisz tej pozycji w Dodaj/Usuń, to ją uwidocznimy:
-
Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej ten tekst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\283b49c6 /RS
Klikasz w Skanuj. Dołącz nowe logi z OTL.
Tam gdzie podałeś system 32 -> drivers0-> etc . Jest tam tylko z ikonką notatnika.
Dlaczego w driver0 zapisałeś? On ma być zapisany w folderze drivers i BEZ ROZSZERZENIA. Nie może mieć ikonki Notatnika. To wszystko znaczy, że źle ten plik zapisałeś.
EDIT
Masz tu plik ode mnie
http://speedy.sh/DtsDy/HOSTS
. Umieść go w _ C:\WINDOWS\System32\drivers\etc _. Uruchom OTL i w okno Własne opcje skanowania/skrypt wklej ten tekst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\283b49c6 /s
Kliknij w Skanuj.