Hayabuz
(Mateusz Olecko)
#1
Witam.
Mam na 100% Wirusy dziwne pliki ( anty vir niby usunal a dalej te pliki sa )
Komputer na maxa wolno chodzi
OTL Logi: http://www.wklejto.pl/121817http://www.wklejto.pl/121819
Malwarebytes po skanowaniu log: http://www.wklejto.pl/121820
Combofix log: http://wklejto.pl/121821
Błedy: http://fotoo.pl/show.php/182856_bezantytua-u.jpg.html
Atis
(Atis)
#2
Wirus Sality który infekuje wszystkie pliki wykonywalne.
Skanuj wszystkie partycje i lecz zainfekowane pliki.
-
SalityKiller
-
Dr.WEB CureIt
usuwanie-znanych-wirusow-sality-itp-t370365.html
Pokaż nowy log z OTL gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
Hayabuz
(Mateusz Olecko)
#3
Nie działa ten 1. Salitykiller.
2 razy skanowałem z 150 razem tego było.
Log z otl: http://www.wklejto.pl/121841
Atis
(Atis)
#4
Co to znaczy, że nie działa SalityKiller?
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpmmpn.sys -- (amsint32)
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found.
[2012-04-04 21:41:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mateusz\DoctorWeb
:Commands
[clearallrestorepoints]
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Hayabuz
(Mateusz Olecko)
#5
Nie działa ten pierwszy link który dales. Tym drugim skanowałem 2x
Log: http://www.wklejto.pl/121857
Log po dodadniu skryptu: http://www.wklejto.pl/121858
Atis
(Atis)
#6
W tym logu nie widać nic szkodliwego.
Pobierz stąd: Klik
Dodatkowo uruchom plik SafeBootWinXP.reg
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Kaspersky Virus Removal Tool 2011
Urządzenia typu pendrive zabezpiecz Panda USB Vaccine
Hayabuz
(Mateusz Olecko)
#7
Wszystko wykonane nic nie wykryło.
Teraz jak to się wszystkiego pozbyć?
Log : http://www.sendspace.pl/file/34aace8cbe594499b424083 (( sory na nic innego nie moglem ))
Atis
(Atis)
#8
W logu nie widać żadnej infekcji.
Czego chcesz się pozbyć?
Hayabuz
(Mateusz Olecko)
#9
Wszystkich tych programow co mi dałeś.
a i przypadkowo dalem do rejestru nie ten plik co trzeba wiec na pewno cos nie tak
Atis
(Atis)
#10
Przecież programy nie wymagały instalacji, więc po prostu skasuj pliki z dysku.
Sprzątanie skasuje program OTL.
Hayabuz
(Mateusz Olecko)
#11
Okej dałem sprzątanie ostateczny log
Po sprzątaniu pokazuje się błąd http://www.sendspace.pl/file/pic/79f08a … 9af08/view
Log: http://www.sendspace.pl/file/9a495ef1a6dd0ed860c47c6
( Wklej to nie działa u mnie jakieś propozycje do innych stron hostingowych? )
Atis
(Atis)
#12
Teraz ponownie masz infekcję Sality.
Może przez to, że podłączyłeś jakiś zainfekowany pendrive:
K:\RECYCLER\e5188982.exe
Przecież napisałem żebyś zabezpieczył się Panda USB Vaccine, a nie widzę tego programu na dysku.
Wklej i kliknij Wykonaj skrypt:
:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nfglmn.sys -- (amsint32)
O4 - HKCU..\Run: [Hdlklr] K:\RECYCLER\e5188982.exe File not found
O32 - AutoRun File - [2012-04-08 18:25:36 | 000,000,371 | RHS- | M] () - C:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2012-04-08 18:25:36 | 000,000,261 | RHS- | M] () - D:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2012-04-08 18:25:36 | 000,000,345 | RHS- | M] () - E:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2012-04-08 18:25:38 | 000,000,265 | RHS- | M] () - K:\autorun.inf -- [FAT32]
:Files
yorrd.exe /alldrives
autorun.inf /alldrives
RECYCLER /alldrives
:Commands
[clearallrestorepoints]
[emptytemp]
Skanuj dysk SalityKiller i Dr.WEB CureIt
http://wklej.org/
http://wklej.to/
Hayabuz
(Mateusz Olecko)
#13
Atis
(Atis)
#14
Przeczytałeś mają odpowiedź na temat zainfekowanego urządzenia oznaczonego literą K
Teraz nie widać tego urządzenia w logu, więc nie jest podłączone.
Wklej i kliknij Wykonaj skrypt:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nfglmn.sys -- (amsint32)
[2012-04-08 01:00:00 | 000,000,340 | ---- | M] () -- C:\WINDOWS\Tasks\Driver Robot.job
:Commands
[emptytemp]
Pokaż nowy log.
Hayabuz
(Mateusz Olecko)
#15
Atis
(Atis)
#16
W tym logu nie widać żadnej infekcji.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Jeżeli zamierzasz podłączyć pendrive lub inne urządzenie pod USB to:
-
Uruchom Panda USB Vaccine i kliknij Vaccinate computer.
-
Podłącz pendrive i kliknij Vaccinate USB.
Dopiero później możesz kliknąć na ikonie od pendrive itp.
Hayabuz
(Mateusz Olecko)
#17
A jak własnie mialem pendrive włozonego i odpalilem tego Dr.Web od sality virusów i usunal “recleayer” z Pendrive, czy zostalo to usuniete?
– Dodane 10.04.2012 (Wt) 19:44 –
Mam odpalana tą Padne USB Vaccicane, “ukryte pliki i foldery” pokazane jest takie cuś. I z tego zaraża mi komputer tak ?
http://fotoo.pl/show.php/190131_bll.jpg.html
Ale to chyba dalej jest na tym Pendrive, jak się tego pozbyć?
Atis
(Atis)
#18
Jeżeli użyłeś opcji Vaccinate USB to plik autorun, to jest plik ochronny utworzony przez Panda.
Tego pliku nie można normalnie usunąć.
Recycler skasuj z pendrive.
W razie problemów:
Wszystkie programy -> Akcesoria -> Wiesz polecenia
Wklej i zatwierdź enterem: rd /s /q k:\recycler
Dlaczego masz ustawioną złą datę systemową:
Hayabuz
(Mateusz Olecko)
#19
Niektóre strony były blokowane przez datę ale już ustawiłem jest git
Próbowałem usunąć i jest Odmowa Dostępu coś takiego, teraz twój sposób spróbuje.
2 razy wpisałem bo źle spacje kliknąłem
Usunęło, został “autorun”
http://fotoo.pl/show.php/190189_bezantytua-u.jpg.html
Użyłem tej pandy. Już wcześniej
Atis
(Atis)
#20
Zostaw ten plik na pendrive ponieważ nie jest szkodliwy.
Autorun został utworzony przez Panda USB i ma blokować tworzenie szkodliwych plików autorun.inf.
[Zapobieganie infekcji z pendrive](http://www.fixitpc.pl/topic/56-zabezpieczenia-infekcje-z-pendrive-mediow-przenosnych/page view findpost p 300)