Win32:Sality, czy Avast sobie z nim poradził?

Witam,

wczoraj podłączyłem do kompa aparat, który wcześniej był podłączony do innego, najwyraźniej zainfekowanego, komputera i Avast od razu wykrył mi plik:

G:\jiinfq.exe

Plik był razem z wirusem Win32:Sality, więc kazałem usunąć.

Nie wiem, czy do wina tego wirusa, ale od tego momentu gdy wejdę w Mój Komputer, a potem kliknę PPM na dysk wymienny G: (czyli aparat) i spróbuję wybrać opcję “Otwórz”, “AuToPLAy” (?! - taka właśnie jest pisownia, nie pamiętam czy tak było wcześniej), “Eksploruj”, to mi wyskakuje okienko “Otwieranie za pomocą…” zamiast normalnego wejścia w aparat, które by mi pokazało foldery i wszystko normalnie.

Jedynie wybierając opcję: “Otwórz jako przenośne urządzenie multimedialne…” dam rady otworzyć aparat i przeglądać foldery.

Poza tym, z rzadka miewam problemy z zainfekowanym komputerem, toteż chciałem wkleić loga, żeby sprawdzić czy wszystko ok, bo po szybkim przeglądnięciu wyników w Googlach wyszło mi na to, że jest to całkiem uciążliwy wirus.

Zamieszczam log z HijackThis:

http://wklej.org/id/415417/

Przydałby się jeszcze jakiś inny z innego programu?

Pozdro i dzięki za pomoc.

Wykonaj pełne skanowanie Dr.WEB CureIt! Jeśli coś znajdzie lecz to Czego nie będzie można wyleczyć usuwasz Skanujesz do skutku znaczy tyle razy aż skaner nie będzie nic wykrywał Do poczytania usuwanie-znanych-wirusow-sality-itp-t370365.html Po tym zgłoś się z nowymi logami OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html

Niemal 9h to trwało i Dr. WEB CureIt! nic nie wykrył, poza zmodyfikowanym plikiem HOSTS - jednak to przez Spybot - Search & Destroy.

I tu mam kosmetyczne pytanie (poniżej wklejka z mojego pliku HOSTS):

http://www.wklej.org/id/416106/

Normalnie, jak przejrzałem kilka wklejek z tego pliku od innych użytkowników, to na początku jest parę zdań od Microsoftu, tzn.:

# Copyright © 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

[…]

A u mnie tego nie ma, nie mniej jednak to chyba nie szkodzi, że tego nie ma. (?)

Również proszę o sprawdzenie loga z OTL:

http://wklej.org/id/416111/ <-- OTL logfile

http://wklej.org/id/416113/ <-- OTL Extras logfile

Nie znam się na tym, tak sobie tylko przejrzałem i w oko rzuciły mi się wpisy z wspomnianym przeze mnie w pierwszym poście jiinfq.exe, jednak ja tu się nie będę rozpisywać, bo totalnie nic nie wiem o sprawdzaniu logów.

To dobrze że skaner nic nie znalazł Spokojnie plik HOSTS został - jak piszesz - zmodyfikowany przez Spybota nadal używasz ten program? Dla pewności zresetujemy zawartość tego pliku. Plik hosts można zmodyfikować skryptem do OTL (napiszę go później jak odpowiesz na poniższe pytania) lub ręcznie wywalając z niego wszystko oprócz tej linii

Napisz jakiego programu zabezpieczającego używasz obecnie, bo widzę szczątki po Esecie

Kasperskim

Na pewno działa Avast zresztą stara wersja do aktualizacji

jest odniesienie

Dla pewności podłącz wszystkie urządzenia przenośne Pobierz USBFix [http://www.fixitpc.pl/index.php?/topic/ … 4entry74](http://www.fixitpc.pl/index.php?/topic/8-kolekcja-narzedzi-usuwajacych/page p 74) Użyj narzędzia z opcją Listing zaprezentuj powstały raport

Tak…, raz na ok. 3miesiące robię skan tym programem.

Zgadza się, wcześniej miewałem różne antywirusy, był i NOD32, i Kaspersky, czy Panda, itp.

Obecnie Avast! wersja 4.8 Home Edition

Nie dam rady tego uruchomić.

Po kolei:

ściągnąłem ten program na dysk H:, odpaliłem go bez problemu, potem wybrałem opcję “Listing” i wyskakuje okienko z błędem:

AutoIt Error

Line 2387 (File “C:\UsbFix\UsbFix.exe”):

Error: The requested action with this object has failed.

Także okazało się, że już miałem wcześniej ten program na dysku, więc udałem się do wskazanej w okienku błędu lokalizacji i odpaliłem UsbFixa z dysku C:\ - to samo, włączył się, kilknąłem “Listing” i ten sam błąd, co powyżej. Spróbowałem dla testu opcji “Research” - ten sam błąd wyskoczył, opcji “Vaccinate” - i ona działa poprawnie, bez błędu, chociaż użycie tej opcji było raczej całkowicie zbędne.

Te odniesienia dotyczące jiinfq.exe dotyczą tego, że po wciśnięciu na “otwórz”, “Eksploruj” zostaję przekierowany do nieistniejącego (a może nadal istniejącego?) jiinfq.exe, a przez to wyskakuje mi okienko “Otwieranie za pomocą…”?

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Ok,

http://wklej.org/id/416318/ <-- log z usuwania

http://wklej.org/id/416333/ <-- OTL logfile

http://wklej.org/id/416335/ <-- OTL Extras logfile

Uruchom OTL klikasz Sprzątanie

Start - Uruchom - cmd i Enter

w linii komend wpisujesz

sc delete ekrn i Enter

znowu w linii komend wpisujesz

regsvr32 /i shell32.dll i Enter

Po tym restart komputera Zobacz jak działa

Do aktualizacji obowiązkowo przynajmniej to

Windows XP PL Service Pack 3

Internet Explorer 8.0

Version 6 Update 22

Skype 5.0

Adobe Reader 9.4

avast! Free Antivirus 5.0

Tylko owy problem ustąpił wraz z usunięciem tych wszystkich wpisów i odniesień, tzn. ten, co został zacytowany w poście powyżej. Również opcja “AuToPLAy” nie istnieje, nie ma takiej do wyboru po kliknięciu PPM.

Przeprowadziłem sprzątanie OTLem i nie wiem czy wciąż powinienem wykonać wskazane komendy, tzn.:

oraz

EDIT:

Co ten OTL robi przy sprzątaniu?!

Mogę gdzieś jakiś raport albo coś podobnego znaleźć?

OTL posprzątało, i spytało o reboot komputera - wcisnąłem ok i po ponownym włączeniu komputera czegoś mi brakuje na pulpicie. Co najmniej nie ma ikonki OTLa i SilentRunnersa na pierwszy rzut oka. Zastanawiam się, co by jeszcze owe sprzątanie mogło usunąć z tych rzeczy, których ja bym nie chciał, aby były usunięte…

Tę komendę powyżej tak to jest pozostałość po NOD32

Jeśli możesz normalnie wchodzić na dyski to nie musisz wykonywać tej komendy

Wszystko w porządku Opcja Sprzątanie usuwa m.in to co poniżej

Problem rozwiązany, parę zbędnych rzeczy usuniętych z komputera.

Z tego miejsca chciałem jeszcze serdecznie podziękować za pomoc.