Sality, zainfekowany komputer

tedboyck · 16 Kwiecień 2012 23:08

RAPORTY OTL:

http://www.wklej.org/id/733620/

http://www.wklej.org/id/733621/

Z góry dziekuję

roobal · 17 Kwiecień 2012 06:43

tedboyck , zgodnie z regulaminem, który zaakceptowałeś podczas rejestracji, proszę dokonać zmiany tytułu na taki, który wstępnie opisze problem, w przeciwnym razie temat wyląduje w koszu.

spandaupol · 17 Kwiecień 2012 07:56

Pobierasz Salitykiller - to konieczne. Pobierz Salitykiller http://sendfile.pl/118314/SalityKiller.exe Uruchom, skanujesz tyle razy aż narzędzie nie będzie nic wykrywać.

Następnie pobierz Dr.WEB CureIt! Wykonaj pełny skan Leczysz wszystko co znajdzie. Czego nie będzie można wyleczyć usuwasz. Skanujesz tyle razy aż skaner nic nie wykryje.

Następnie pokaż nowe raporty z OTL

tedboyck · 17 Kwiecień 2012 09:24

Salitykiller nie działa zaraz po uruchomieniu się wyłącza

spandaupol · 17 Kwiecień 2012 10:24

Wykonaj pełny san KVRT http://www.dobreprogramy.pl/Kaspersky-V … 12768.html oczywiście leczysz wszystko co znajdzie itd.

tedboyck · 17 Kwiecień 2012 23:50

Przeskanowałem KVRT oraz Dr.WEB CureIt! nic juz nie wykrywa

Raporty:

http://www.wklej.org/id/734314/

http://www.wklej.org/id/734315/

spandaupol · 18 Kwiecień 2012 09:10

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\pojhfr.sys – (amsint32) DRV - [2012-04-17 19:31:07 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] – C:\WINDOWS\system32\drivers\80992449.sys – (80992449) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/ins/ins_1333958150_124884 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/ins/ins_1333958150_124884 IE - HKLM…\SearchScopes{888B7956-90B3-465E-AF36-FC1B6CD5C5AB}: “URL” = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={14E75FA9-AB0E-4334-B6DD-452EAC9AFA52} IE - HKU\S-1-5-21-1343024091-1644491937-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/ins/ins_1333958150_124884 IE - HKU\S-1-5-21-1343024091-1644491937-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_Prot IE - HKU\S-1-5-21-1343024091-1644491937-725345543-1003…\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files\SFT_Polska\prxtbSFT1.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1343024091-1644491937-725345543-1003…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=RX&apn_dtid=YYYYYYYYPL&apn_uid=B210B8D8-AF36-45F5-9489-F904D0896C12&apn_sauid=3E3EF0E2-5524-4BEE-9F15-CDDF349DC684& IE - HKU\S-1-5-21-1343024091-1644491937-725345543-1003…\SearchScopes{888B7956-90B3-465E-AF36-FC1B6CD5C5AB}: “URL” = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={14E75FA9-AB0E-4334-B6DD-452EAC9AFA52} IE - HKU\S-1-5-21-1343024091-1644491937-725345543-1003…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2670199 IE - HKU\S-1-5-21-1343024091-1644491937-725345543-1003…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=52 … 5b09f9b&q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.defaultthis.engineName: “Free Lunch Design TB Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2670199&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://search.babylon.com/?AF=110811&tt=270312_bext_fix&babsrc=adbartrp&mntrId=4817f0ee0000000000001c6f65b09f9b&q=” [2012-03-18 02:09:15 | 000,000,000 | —D | M] (Free Lunch Design TB Community Toolbar) – C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\b76hifi0.default\extensions{a5ae8924-4036-420f-b7f6-a47e4b8f692e} [2011-12-04 22:27:58 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\b76hifi0.default\extensions\ffxtlbr@babylon.com [2011-10-27 14:54:31 | 000,002,566 | ---- | M] () – C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\b76hifi0.default\searchplugins\askcom.xml [2011-10-05 11:39:16 | 000,000,943 | ---- | M] () – C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\b76hifi0.default\searchplugins\conduit.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () – C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\b76hifi0.default\searchplugins\startsear.xml [2011-09-28 16:29:13 | 000,003,915 | ---- | M] () – C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\b76hifi0.default\searchplugins\SweetIM Search.xml [2011-09-28 16:29:09 | 000,003,915 | ---- | M] () – C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\b76hifi0.default\searchplugins\sweetim.xml O4 - HKU\S-1-5-21-1343024091-1644491937-725345543-1003…\Run: [wsctf.exe] wsctf.exe File not found O4 - Startup: C:\Documents and Settings\Kamil\Menu Start\Programy\Autostart_uninst_80992449.lnk = C:\Documents and Settings\Kamil\Ustawienia lokalne\Temp_uninst_80992449.bat () :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

usuń wszystko co w ścieżce ma

*"C:\DOCUME~1\Kamil\USTAWI~1\Temp*

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

tedboyck · 19 Kwiecień 2012 16:56

po kliknięciu wykonaj skrypt zawiesza sie OTl czekalem 20 min i nic… coś w takim razie jest nie tak czy może trzeba dlużej czekać?

spandaupol · 20 Kwiecień 2012 07:16

Proszę wykonaj skrypt w trybie awaryjnym windows. Jeśli nie będziesz mógł wejść w tryb awaryjny pobierz Sality_RegKeys.zip wypakuj plik SafeBootWinXP.reg dodaj do rejestru i zrestartuj komputer. Po tym spróbuj wejść w tryb awaryjny windows.

tedboyck · 20 Kwiecień 2012 15:51

Raport z usuwania : http://wklej.org/id/736141/

Raport ze skanu : http://wklej.org/id/736147/

spandaupol · 23 Kwiecień 2012 11:13

Usuń ręcznie folder C:\Program Files\ v9Soft

Uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną

Jeśli antywirusy nic już nie wykrywają użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost … #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program

tedboyck · 23 Kwiecień 2012 18:46

dzięki wielkie za pomoc ile płacę?