Witajcie

Mam taki problem. Już drugi raz formatuję komputer i objaw jest ten sam czyli zablokowany rejestr i menadżer urządzeń. Za każdym razem skanowałem komputer Kasperskym, Arca Virem i wywalałem wszystkie pliki jakie były zarażone. Potem ponawiałem skan i jeśli nic nie było formatowałem dysk. niestety po pewnym czasie (kilka godz.) problem się pojawiał ponownie!

Logi hijack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:53:02, on 2008-12-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\Webroot\WebrootSecurity\WRConsumerService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\WebrootSecurity\SpySweeper.exe

C:\Program Files\Webroot\WebrootSecurity\SpySweeperUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Webroot\WebrootSecurity\SSU.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [NvCplDaemon] "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "C:\WINDOWS\system32\nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [TrojanScanner] "C:\Program Files\Trojan Remover\Trjscan.exe" /boot

O4 - HKLM\..\Run: [WLSS] "C:\Program Files\Compal\Wireless Select Switch\WLSS.exe"

O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\WebrootSecurity\SpySweeperUI.exe" /startintray

O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto

O4 - HKCU\..\Run: [CTFMON.EXE] "C:\WINDOWS\system32\ctfmon.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Wyślij do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Smart Watchdog Service (Smart Watchdog) - Unknown owner - C:\Program Files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. (http://www.webroot.com) - C:\Program Files\Webroot\WebrootSecurity\SpySweeper.exe

O23 - Service: Webroot Client Service (WRConsumerService) - Webroot Software, Inc. - C:\Program Files\Webroot\WebrootSecurity\WRConsumerService.exe


--

End of file - 5806 bytes

combofix:

ComboFix 08-12-07.01 - levuss 2008-12-08 20:58:40.1 - NTFSx86

1.zrobić pełny format wszystkich dysków i partycji bez wyjątków

2.nie korzystać z żadnych sterowników będących wcześniej na zarażonym kompie wgrywać z oryginalnych płyt lub pobierać ze stron producenta

3.zaopatrzyć się w konkretny antywirus proponuję Kaspersky Anti-Virus http://www.kaspersky.pl/download.html?s=trial

4. po postawieniu systemu i zabezpieczeniu antywirem możesz próbować wgrywać skopiowane wcześniej pliki ale musisz za każdym razem przed kopiowaniem sprawdzić zgraną płytę lub inną pamięć skanerem antywirusowym aby wyeliminować tę zarazę

powodzenia

A w inny sposób się nie da?

to jest najszybszy i najpewniejszy sposób

lub możesz to robić tygodniami a wygląda to tak

usuwasz pliki z wirusami

teraz system jest bez niektórych plików systemowych

więc te pliki uzupełniasz przez instalację nakładkową

w między czasie zaraza się rozprzestrzenia

powtarzasz te zabiegi kilkakrotnie może się uda a może nie

musisz mieć przy tym dobrego antywirusa i dużo czasu

skanujesz - usuwasz - dogrywasz i tak w kółko

wiesz że Sality atakuje wszystkie exe i nie tylko

zajęcie na zimę która się zaczyna zapewnione

A czy sality atakuje pliki rar?. Na wszystkich dyskach mam ponad 170GB danych, większość filmy i ciężko będzie mi to przerzucić. Czy mogę np jedną partycję sformatować i na nią wrzucić same pliki bez rozszerzenia exe? a potem to samo robić z kolejną?

pliki które chcesz zachować zgraj na płytę ale wcześniej przeskanuj dobrym programem antywirysowym

Panowie, ale ta infekcja musi mieć gdzieś swoje źródło jeśli dobrze myślę.

Nic nie wymyślisz.Pozostaje Ci tylko zastosować się do porad Leon$ i apdjs.

Inaczej to będziesz miał walkę z wiatrakami,która i tak prawdopodobnie zmusi Cię do kompletnego formatu,aby pozbyć się tego dziadostwa.

A możecie mi powiedzieć czy ten wirus zaraża pliki a archiwach rar i iso?

Ponawiam pytanie. czy ten wirus zaraża pliki w archiwach rar? bo jak na razie archiwa są czyste i mam w nich bardzo ważne rzeczy. Pliki exe. z całego dysku są już wywalone. Czy partycje mogę formatować z poziomu Windowsa?

Proszę zastosować się do tego Tematu i edytować własnego posta

w celu zmiany jego tytułu na konkretny.

W przeciwnym razie topic wyląduje w Śmietniku.

BTW.

Logi wklejasz na http://wklej.eu lub na http://wklej.org,

a w poście dajesz tylko link

Ponawiam pytanie. czy ten wirus zaraża pliki w archiwach rar? bo jak na razie archiwa są czyste i mam w nich bardzo ważne rzeczy. Pliki exe. z całego dysku są już wywalone. Czy partycje mogę formatować z poziomu Windowsa?