z Combofix http://www.wklej.org/id/48819/

i ten sam komputer ale z HijackThis http://www.wklej.org/id/48822/

Analiza z HijackThis wykazała, że błędne są te 4 wpisy

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\winhocuh.exe

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\winulwd.exe

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\winwelap.exe

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\winqnmnlc.exe

ale nie potrafię tych procesów usunąć, tak więc jeśli w tym tkwi problem, to proszę o radę jak te procesy usunąć

Z góry dzięki za pomoc!

Do wyleczenia pendrive z wirusów użyj tych programów

Wklej do notatnika:

File::

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\winhocuh.exe

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\winulwd.exe

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\winwelap.exe

C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\winqnmnlc.exe


Folder::

c:\program files\AskBarDis


Driver::

abp470n5


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-

[-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[-HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000000

"AntiVirusOverride"=dword:00000000

"FirewallOverride"=dword:00000000

"UacDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000000

"AntiVirusDisableNotify"=dword:00000000

"FirewallDisableNotify"=dword:00000000

"FirewallOverride"=dword:00000000

"UpdatesDisableNotify"=dword:00000000

"UacDisableNotify"=dword:00000000

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86b16fce-f14f-11dd-8123-00e04cecbac6}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum + log z Hijackthis.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

ComboFix http://wklej.org/id/48847/

HijackThis http://wklej.org/id/48850/

pendrive nie był mój, ale link na pewno prześle koledze :evil:

To zalecone usuwanie chyba nie miało sensu, bo wygląda na to, że masz wirusa " SALITY/SECTOR", który zaraża wszystkie *.exe.!

Użyj >Dr. Web CureIt!

Napisz, co wykrył.

Potem:

Wklej do Notatnika :

File::

c:\windows\system32\drivers\koqhol.sys


Driver::

ABP470N5


Registry::

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"=dword:00000000

"DisableRegistryTools"=dword:00000000

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi

Proszę zmienić temat na konkretny, opcja EDYTUJ i popraw.JNJN

Ok, nie było łatwo, ale zrobiłem wszystko co mi jessica napisała. Nie było łatwo, bo nie mogłem ściągnąć tego dr. Web CureIt, ani z podanej strony, ani z popularnych stron z programami (po prostu nie szło). Zresztą podobnie jest z próbą ściągnięcia jakiegokolwiek darmowego antywirusa (np. Avasta) Co prawda antivirus ściągał się i instalował, ale po włączeniu sam się wyłączał! Domyślam się, że to wina tego wirusa. Poprosiłem kolegę, żeby ściągnął mi tego dr. Web CureIt’a i zgrał na płytkę. Program znalazł 22 wirusy w tym win32.Sector.17. Było ich około 20. Usunął wszystkie z wyjątkiem jednego, którego usunąć nie mógł. Był to wirus w msmg (jakoś tak, za szybko kliknąłem i mi umknęło). Po ponownym uruchomieniu komputera jeszcze raz zeskanowałem dr. Web CureIt’em i tym razem wykrył mi 12 win32. Sector.17, wszystkie usunął. Po tym użyłem combofixa tak jak zaleciła jessica. Oto log z Combofixa http://wklej.org/id/49018/

Czekam na dalsze instrukcje

Nie jest dobrze, bo ten sterownik wirusa już się na nowo odradza. A więc infekcja jest dalej.

Użyj jakiegoś skanera Antivirusowego online, ale tylko takiego, który oprócz wykrywania ma także opcję usuwania.

Wybierz:

>http://www.searchengines.pl/index.php?showtopic=6694

Potem użyj >Kaspersky Virus Removal Tool

Napisz, co wykrył.

I nowy log z ComboFixa.

jessi

Znowu nie mogę ściągnąć Kasperskiego, wszystkie strony z których można go pobrać zamulają i nie chcą się załadować. Moje pytanie brzmi: czy to wina tego wirusa? Skąd skurczygnat wie którą stronę ma zamulać a którą nie. Dla mnie to jest niepojęte. Skaner online skanuje i znalazł już 21 zainfekowanych plików np. cos takiego się pojawia C:\Program Files\COMODO\SafeSurf\cssurf.exe zawiera podejrzane działanie (heurystyka) : Heur.W32 Wirusa nie da się usunąć. Znalazł też trojana, którego, mimo że nic o tym nie pisało, nie można usunąć (klikanie skasuj nie daje efektu). Czy mam iść po tego Kaspersky Virus Removal Tool do kolegi który mi go ściągnie i czy nie prościej będzie zrobić formata dysku C, na którym mam system i co najważniejsze, czy taki format pomoże.

edit: skanowanie online zakończono, wykrył 112 zainfekowanych plików 6 pozostało zarażonych. Skanowałem mks_vir’em

w przypadku Sality

1.format wszystkich dysków i partycji bez wyjątku

2.instalacja nowego systemu pod żadnym pozorem nie korzystać z instalek i sterowników będących wcześniej na zainfekowanym systemie

ok, ja mam wirusa win32.sector.17 ale domyślam się, że to jest praktycznie to samo. Z tego co wyczytałem wirus ten zaraża tylko i wyłącznie pliki .exe. Zresztą widzę to na własnej skórze, bo ponownie skanuje kompa dr. webem i mam już zarażonych 262 plików, wszystkie exe, ale co ciekawe, wszystkie są na dysku C. To pewnie dlatego, że programy trzymam w zasadzie tylko na C (jeśli nie licząc gier, to na C mam wszystkie programy). Czy w związku z tym muszę formatować wszystkie dyski (C i D)?

I jeszcze jedno pytanie. Mam tego wirusa, jego działanie w praktycznym zastosowaniu komputera przejawia się tym, że nie mogę uruchomić menadżera urządzeń, ani edytować wpisów w rejestrze, no i jak juz pisałem wcześniej nie mogę ściągać lub uruchomić programów antywirusowych. Wiem, że to dużo, ale wiadomo coś jeszcze o możliwych szkodach, które powoduje ten wirus? Google wiele na ten temat nie mówi.

Dr.Web - Win32.Sector.17

BitDefender - Win32. Sality.OG

Comodo - Virus.Win32. Sality.aa

Kaspersky - Virus.Win32. Sality.aa

McAfee - W32/ Sality.gen

Panda - W32/ Sality.AK

zalecenia jak podałem wyżej

dobra, dziękuje wszystkim za pomoc, jutro robię formata wszystkich dysków

Ostatnie moje pytanie: jakie jest prawdopodobieństwo, że wraz ze zgranymi na płytę z obecnego dysku dokumentami na świeżo sformatowany dysk przeniesie się ten wirus? Niestety mam pewne dokumenty, które są bardzo ważne i nie chciałbym się skazywać na ich utratę. Chciałbym też przegrać muzykę i zdjęcia, jak sprawa ma się z nimi?

– Dodane 05.02.2009 (Cz) 21:44 –

dobra, dziękuje wszystkim za pomoc, jutro robię formata wszystkich dysków

Ostatnie moje pytanie: jakie jest prawdopodobieństwo, że wraz ze zgranymi na płytę z obecnego dysku dokumentami na świeżo sformatowany dysk przeniesie się ten wirus? Niestety mam pewne dokumenty, które są bardzo ważne i nie chciałbym się skazywać na ich utratę. Chciałbym też przegrać muzykę i zdjęcia, jak sprawa ma się z nimi?

przegrać na płyty możesz ale zainstaluj na nowy system porządny antywirus np.możesz potestować 30 dni Kaspersky Anti-Virus http://www.kaspersky.pl/download.html?s=trial

nagraną płytę włóż do napędu i przeskanuj antywirusem dopiero wtedy możesz skorzystać z danych pod warunkiem że jest czysto szczególną uwagę zwróć na spakowane pliki