Proszę o sprawdzenie logów po walce z sality
http://wklej.eu/index.php?id=186f63ca43 Log Combofix po akcji ratunkowej
http://wklej.eu/index.php?id=b51c117ba7 Log OTL po akcji ratunkowej
http://wklej.eu/index.php?id=a9587e3f0c Log OTL Extra po akcji ratunkowej
Ps zależy mi na czasie
jessica
(jessica)
5 Maj 2010 19:37
#2
Logi są niby czyste, ale czy na pewno SALITY został całkowicie usunięty? Tego się nie da ocenić na podstawie logów, ale fakt, że dopiero ComboFix usunął usługę tego wirusa każe powątpiewać w całkowite usunięcie.
Wyłączenie Rejestru oraz Menegera Zadań też świadczy, że Sality chyba dalej jest.
Czym skanowałeś i usuwałeś?
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL FF - HKLM\software\mozilla\Firefox\Extensions\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\2.bin File not found [2010-04-25 12:02:29 | 000,010,017 | ---- | M] () – C:\Documents and Settings\Krystian i Konrad\Dane aplikacji\Mozilla\Firefox\Profiles\0rwb75mj.default\searchplugins\mywebsearch.xml O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O33 - MountPoints2{9a7c748c-2965-11df-959f-001a4d831496}\Shell\AUtoplay\CoMManD - “” = M:\iaunuq.cmd – File not found O33 - MountPoints2{9a7c748c-2965-11df-959f-001a4d831496}\Shell\AutoRun\command - “” = M:\iaunuq.cmd – File not found O33 - MountPoints2{9a7c748c-2965-11df-959f-001a4d831496}\Shell\expLore\CommANd - “” = M:\iaunuq.cmd – File not found O33 - MountPoints2{9a7c748c-2965-11df-959f-001a4d831496}\Shell\opEN\cOMmand - “” = M:\iaunuq.cmd – File not found :Files C:\Program Files\MyWebSearch :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix .
jessi