Win32:Sality, czy Avast sobie z nim poradził?

Kicior · 8 Listopad 2010 22:48

Witam,

wczoraj podłączyłem do kompa aparat, który wcześniej był podłączony do innego, najwyraźniej zainfekowanego, komputera i Avast od razu wykrył mi plik:

G:\jiinfq.exe

Plik był razem z wirusem Win32:Sality, więc kazałem usunąć.

Nie wiem, czy do wina tego wirusa, ale od tego momentu gdy wejdę w Mój Komputer, a potem kliknę PPM na dysk wymienny G: (czyli aparat) i spróbuję wybrać opcję “Otwórz”, “AuToPLAy” (?! - taka właśnie jest pisownia, nie pamiętam czy tak było wcześniej), “Eksploruj”, to mi wyskakuje okienko “Otwieranie za pomocą…” zamiast normalnego wejścia w aparat, które by mi pokazało foldery i wszystko normalnie.

Jedynie wybierając opcję: “Otwórz jako przenośne urządzenie multimedialne…” dam rady otworzyć aparat i przeglądać foldery.

Poza tym, z rzadka miewam problemy z zainfekowanym komputerem, toteż chciałem wkleić loga, żeby sprawdzić czy wszystko ok, bo po szybkim przeglądnięciu wyników w Googlach wyszło mi na to, że jest to całkiem uciążliwy wirus.

Zamieszczam log z HijackThis:

http://wklej.org/id/415417/

Przydałby się jeszcze jakiś inny z innego programu?

Pozdro i dzięki za pomoc.

spandaupol · 9 Listopad 2010 10:13

Wykonaj pełne skanowanie Dr.WEB CureIt! Jeśli coś znajdzie lecz to Czego nie będzie można wyleczyć usuwasz Skanujesz do skutku znaczy tyle razy aż skaner nie będzie nic wykrywał Do poczytania usuwanie-znanych-wirusow-sality-itp-t370365.html Po tym zgłoś się z nowymi logami OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html

Kicior · 10 Listopad 2010 01:01

Niemal 9h to trwało i Dr. WEB CureIt! nic nie wykrył, poza zmodyfikowanym plikiem HOSTS - jednak to przez Spybot - Search & Destroy.

I tu mam kosmetyczne pytanie (poniżej wklejka z mojego pliku HOSTS):

http://www.wklej.org/id/416106/

Normalnie, jak przejrzałem kilka wklejek z tego pliku od innych użytkowników, to na początku jest parę zdań od Microsoftu, tzn.:

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

[…]

A u mnie tego nie ma, nie mniej jednak to chyba nie szkodzi, że tego nie ma. (?)

Również proszę o sprawdzenie loga z OTL:

http://wklej.org/id/416111/ <-- OTL logfile

http://wklej.org/id/416113/ <-- OTL Extras logfile

Nie znam się na tym, tak sobie tylko przejrzałem i w oko rzuciły mi się wpisy z wspomnianym przeze mnie w pierwszym poście jiinfq.exe, jednak ja tu się nie będę rozpisywać, bo totalnie nic nie wiem o sprawdzaniu logów.

spandaupol · 10 Listopad 2010 09:18

To dobrze że skaner nic nie znalazł Spokojnie plik HOSTS został - jak piszesz - zmodyfikowany przez Spybota nadal używasz ten program? Dla pewności zresetujemy zawartość tego pliku. Plik hosts można zmodyfikować skryptem do OTL (napiszę go później jak odpowiesz na poniższe pytania) lub ręcznie wywalając z niego wszystko oprócz tej linii

Napisz jakiego programu zabezpieczającego używasz obecnie, bo widzę szczątki po Esecie

Kasperskim

Na pewno działa Avast zresztą stara wersja do aktualizacji

jest odniesienie

Dla pewności podłącz wszystkie urządzenia przenośne Pobierz USBFix [http://www.fixitpc.pl/index.php?/topic/ … 4entry74](http://www.fixitpc.pl/index.php?/topic/8-kolekcja-narzedzi-usuwajacych/page p 74) Użyj narzędzia z opcją Listing zaprezentuj powstały raport

Kicior · 10 Listopad 2010 10:50

Tak…, raz na ok. 3miesiące robię skan tym programem.

Zgadza się, wcześniej miewałem różne antywirusy, był i NOD32, i Kaspersky, czy Panda, itp.

Obecnie Avast! wersja 4.8 Home Edition

Nie dam rady tego uruchomić.

Po kolei:

ściągnąłem ten program na dysk H:, odpaliłem go bez problemu, potem wybrałem opcję “Listing” i wyskakuje okienko z błędem:

AutoIt Error

Line 2387 (File “C:\UsbFix\UsbFix.exe”):

Error: The requested action with this object has failed.

Także okazało się, że już miałem wcześniej ten program na dysku, więc udałem się do wskazanej w okienku błędu lokalizacji i odpaliłem UsbFixa z dysku C:\ - to samo, włączył się, kilknąłem “Listing” i ten sam błąd, co powyżej. Spróbowałem dla testu opcji “Research” - ten sam błąd wyskoczył, opcji “Vaccinate” - i ona działa poprawnie, bez błędu, chociaż użycie tej opcji było raczej całkowicie zbędne.

Te odniesienia dotyczące jiinfq.exe dotyczą tego, że po wciśnięciu na “otwórz”, “Eksploruj” zostaję przekierowany do nieistniejącego (a może nadal istniejącego?) jiinfq.exe, a przez to wyskakuje mi okienko “Otwieranie za pomocą…”?

spandaupol · 10 Listopad 2010 11:48

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) O3 - HKU\S-1-5-19…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-20…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-1606980848-113007714-1060284298-1003…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-1606980848-113007714-1060284298-1003…\Toolbar\WebBrowser: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found. O3 - HKU\S-1-5-21-1606980848-113007714-1060284298-1003…\Toolbar\WebBrowser: (no name) - {2E608F70-C430-4BC5-96F6-608E02EBA5B2} - No CLSID value found. O3 - HKU\S-1-5-21-1606980848-113007714-1060284298-1003…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKU\S-1-5-21-1606980848-113007714-1060284298-1003…\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found. DRV - [2009-02-06 14:23:18 | 000,106,208 | ---- | M] (ESET) [Kernel | System | Running] – C:\WINDOWS\SYSTEM32\DRIVERS\ehdrv.sys – (ehdrv) DRV - [2009-02-06 14:19:52 | 000,113,448 | ---- | M] (ESET) [File_System | Auto | Running] – C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys – (eamon) O20 - Winlogon\Notify\klogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found MsConfig - StartUpFolder: C:^Documents and Settings^Crocket^Menu Start^Programy^Autostart^K-Meleon Loader.lnk - Reg Error: Value error. - File not found MsConfig - StartUpReg: !AVG Anti-Spyware - hkey= - key= - E:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe File not found MsConfig - StartUpReg: Ad-Watch - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= - File not found MsConfig - StartUpReg: UserFaultCheck - hkey= - key= - File not found MsConfig - StartUpReg: wcmdmgr - hkey= - key= - C:\WINDOWS\wt\updater\wcmdmgrl.exe File not found :Files autorun.inf /alldrives jiinfq.exe /alldrives :Reg [-HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Kicior · 10 Listopad 2010 17:24

Ok,

http://wklej.org/id/416318/ <-- log z usuwania

http://wklej.org/id/416333/ <-- OTL logfile

http://wklej.org/id/416335/ <-- OTL Extras logfile

spandaupol · 11 Listopad 2010 08:14

Uruchom OTL klikasz Sprzątanie

Start - Uruchom - cmd i Enter

w linii komend wpisujesz

sc delete ekrn i Enter

znowu w linii komend wpisujesz

regsvr32 /i shell32.dll i Enter

Po tym restart komputera Zobacz jak działa

Do aktualizacji obowiązkowo przynajmniej to

Windows XP PL Service Pack 3

Internet Explorer 8.0

Version 6 Update 22

Skype 5.0

Adobe Reader 9.4

avast! Free Antivirus 5.0

Kicior · 11 Listopad 2010 17:11

Tylko owy problem ustąpił wraz z usunięciem tych wszystkich wpisów i odniesień, tzn. ten, co został zacytowany w poście powyżej. Również opcja “AuToPLAy” nie istnieje, nie ma takiej do wyboru po kliknięciu PPM.

Przeprowadziłem sprzątanie OTLem i nie wiem czy wciąż powinienem wykonać wskazane komendy, tzn.:

oraz

EDIT:

Co ten OTL robi przy sprzątaniu?!

Mogę gdzieś jakiś raport albo coś podobnego znaleźć?

OTL posprzątało, i spytało o reboot komputera - wcisnąłem ok i po ponownym włączeniu komputera czegoś mi brakuje na pulpicie. Co najmniej nie ma ikonki OTLa i SilentRunnersa na pierwszy rzut oka. Zastanawiam się, co by jeszcze owe sprzątanie mogło usunąć z tych rzeczy, których ja bym nie chciał, aby były usunięte…

spandaupol · 12 Listopad 2010 07:24

Tę komendę powyżej tak to jest pozostałość po NOD32

Jeśli możesz normalnie wchodzić na dyski to nie musisz wykonywać tej komendy

Wszystko w porządku Opcja Sprzątanie usuwa m.in to co poniżej

Use CleanUp in OTL when clearing away. This is preferable to downloading OTC which should only be used when no other OldTimer tool is on the machine. Here is a list of the tools that CleanUp removes: !Killbox *.run _backupD _OTL _OTListIt _OTM _OTMoveIt _OTS _OTScanIt 404fix.exe Avenger avenger.exe avenger.txt avenger.zip AWF.txt BFU bfu.zip catchme catchme.exe ckscanner cleanup.txt ComboFix ComboFix*.txt combofix.exe combo-fix.exe Combo-Fix.sys dds.com dds.pif dds.scr Deckard defogger delete.bat deljob deljob.exe dss.exe dumphive.exe erdntsubs exehelper Extras.txt fdsv.exe FindAWF.exe fixwareout fixwareout.exe fsbl*.log fsbl.exe gmer gmer.dll gmer.exe gmer.ini gmer.log gmer.sys gmer_uninstall.cmd grep.exe haxfix.exe haxfix.txt iedfix.exe killbox.exe logit.txt Lop SD lopR.txt LopSD.exe moveex.exe nircmd.exe NoLop.exe NoLop.txt NoLopOLD.txt OTH.exe OTL.exe OTL.txt OTListIt.txt OTListIt2.exe OTLPE OTM.exe OTMoveIt.exe OTMoveIt2.exe OTMoveIt3.exe OTS.exe OTS.txt OTScanIt OTScanIt.exe OTScanIt2 OTScanIt2.exe OTViewIt.exe OTViewIt.txt QooBox rapport.txt Rooter$ Rooter.exe Rooter.txt RSIT RSIT.exe Runscanner Runscanner.exe Runscanner.net Runscanner.zip Rustbfix rustbfix.exe SDFix sdfix.exe sed.exe Silent Runners.vbs SmitfraudFix SmitfraudFix.exe swreg.exe Swsc.exe Swxcacls.exe SysInsite systemlook tmp.reg vacfix.exe vcclsid.exe VFind.exe VundoFix Backups VundoFix.exe vundofix.txt vundofix.vft win32delfkil.exe windelf.txt WinPfind winpfind.exe WinPFind35u WinPFind35u.exe WinPFind3u WinPFind3u.exe WS2Fix.exe zip.exe

Kicior · 12 Listopad 2010 21:36

Problem rozwiązany, parę zbędnych rzeczy usuniętych z komputera.

Z tego miejsca chciałem jeszcze serdecznie podziękować za pomoc.