kubas33
(kubas33)
18 Listopad 2012 21:46
#1
Witam, pewna osoba z rodziny ma problemy z komputerem, głównym problemem był wirus z policją, wymuszeniem zapłaty itp.
Nie wiem czy nadal występuje, ponieważ internet podłączyłem jakiś czas po uruchomieniu kompa, w międzyczasie zrobiłem skan Malwarebytes i po usuwał co nieco, jednak wirusów nadal jest trochę. Np. z activexdebugger32.exe czy też zablokowanym menadżerem zadań.
Poniżej logi z OTL oraz malwarebytes po usunięciu wirusów.
http://www.wklej.org/id/874260/
http://www.wklej.org/id/874261/
http://www.wklej.org/id/874262/
kubas33 , proszę zapoznaj się z tą stroną oraz tym tematem , a następnie,używając przycisku
Atis
(Atis)
18 Listopad 2012 21:58
#3
Wirus Sality który infekuje wszystkie pliki wykonywalne.
Podłączyłeś zainfekowane urządzenie pod USB.
Zabezpiecz się przed infekcją z USB Panda USB Vaccine
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\ngmmps.sys – (abp470n5) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (activexdebugger32.exe) - activexdebugger32.exe (Microsoft Corporation) O32 - AutoRun File - [2006-05-09 20:36:18 | 000,000,034 | ---- | M] () - D:\autorun.inf.vir – [NTFS] O32 - AutoRun File - [2006-05-09 20:36:18 | 000,000,034 | ---- | M] () - E:\autorun.inf.vir – [NTFS] O32 - AutoRun File - [2012-11-18 22:17:44 | 000,000,296 | -HS- | M] () - H:\autorun.inf – [FAT32] [2007-05-22 15:52:59 | 000,454,656 | -HS- | C] (Microsoft Corporation) – C:\WINDOWS\System32\activexdebugger32.exe [2012-11-17 16:49:28 | 095,023,320 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad [2012-11-17 16:43:25 | 095,023,320 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad :Files autorun.inf /alldrives activexdebugger32.exe /alldrives qmhf.pif /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Wyłącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub Klik
Dr.WEB CureIt wykonaj Pełne skanowanie.
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
kubas33
(kubas33)
18 Listopad 2012 22:25
#4
Komputer się zacina gdy włącze skrypt. Na pasku OTL jest napisane Kiling processes do not interrupt.
Próbowałem włączyć pod Trybem awaryjnym z obsługą sieci, ale nie chce się w ogóle wtedy system załączyć. Po tym ekranie gdzie pliki się ładują monitor miga między analog/digital i restart kompa.
– Dodane 19.11.2012 (Pn) 0:57 –
Nie udało mi się wykonać skryptu.
Użyłem SatilityKiller oraz Dr. WEB Cureit.
Obecne logi:
http://www.wklej.org/id/874356/
http://www.wklej.org/id/874357/
Atis
(Atis)
19 Listopad 2012 10:59
#5
Masz skanować do skutku czyli aż skanery nie wykryją żadnych zainfekowanych plików.
Czy wykonałeś pełne skanowanie Dr.WEB CureIt?
Napraw tryb awaryjny uszkodzony przez wirusa Sality.
Pobierz i rozpakuj archiwum:
http://support.kaspersky.com/downloads/ … egkeys.zip
Uruchom plik SafeBootWin XP
Dysk przeskanuj Kaspersky Virus Removal Tool
W zakładce Scan scope zaznacz wszystkie dyski:
Jak zmienić obszar automatycznego skanowania w Kaspersky Virus Removal Tool 2011?
Później pokaż nowy log.
kubas33
(kubas33)
19 Listopad 2012 14:23
#6
Wtedy ten SatilityKIller przerwał leczenie po kilkunastu sekundach.
Do południa włączyłem jeszcze raz i doszło do końca. Menadżer urządzeń już działa.
Dr. WEB Cureit nie jestem pewien czy pełne skanowanie, ale było takie, że ekran zrobił się ciemiejszy nie było można nic zrobić na komputerze poza skanowaniem.
Przeskanowałem wszystkie dyski Kasperskym.
Obecne logi:
http://wklej.org/id/874634/
http://wklej.org/id/874635/
Skanowanie aż do skutku jest delikatnie mówiąc uciążliwe, ponieważ przykładowy skan w Kasperskym trwał 1:53h.
Atis
(Atis)
19 Listopad 2012 14:55
#7
W przypadku Sality masz do wyboru skanowanie lub formatowanie dysku.
Dlaczego nie zabezpieczyłeś za pomocą Panda USB dysku H?
Dr.WEB CureIt możesz uruchomić bez rozszerzonej ochrony, a następnie zatrzymać szybkie skanowanie i zaznaczyć pełne:
http://wstaw.org/m/2012/11/19/cureit.png
Do okna Własne opcje skanowania / skrypt wklej:
:OTL O32 - AutoRun File - [2006-05-09 20:36:18 | 000,000,034 | ---- | M] () - D:\autorun.inf.vir – [NTFS] O32 - AutoRun File - [2006-05-09 20:36:18 | 000,000,034 | ---- | M] () - E:\autorun.inf.vir – [NTFS] [2012-11-18 23:43:14 | 000,000,000 | —D | C] – C:\Documents and Settings\oem.FDGFDGD-A4C9ABC\DoctorWeb [2012-11-17 16:49:28 | 095,023,320 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad [2012-11-17 16:43:25 | 095,023,320 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad [2008-06-05 19:11:17 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\avg7 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Services upperdev SetupNTGLM7X NTACCESS MSICPL GMSIPCI :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
kubas33
(kubas33)
19 Listopad 2012 15:55
#8
Nie zabezpieczyłem USB, ponieważ wtedy występował jakiś błąd podczas ściągania, a później zapomniałem.
Obecnie już to wykonałem.
Raport z usuwania http://www.wklej.org/id/874719/
Raporty ze skanowania:
http://www.wklej.org/id/874720/
http://www.wklej.org/id/874722/
PS. Jaki polecasz program do czyszczenie rejestru?
Atis
(Atis)
19 Listopad 2012 16:25
#9
Wystarczy CCleaner lub Auslogics Registry Cleaner.
Wklej i kliknij Wykonaj skrypt:
:OTL [2012-11-18 23:40:20 | 000,000,052 | ---- | M] () – C:\WINDOWS\System\ACD2.CMD [2012-11-18 23:40:20 | 000,000,052 | ---- | M] () – C:\WINDOWS\System\ACD.CMD :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
Odinstaluj:
Java 6 Update 26
Java 7 Update 7
Adobe Flash Player 10
Później zainstaluj:
Service Pack 3
Internet Explorer 8
Java
Flash Player
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date