Zacek
(M Kielbek)
16 Kwiecień 2012 13:11
#1
WItam.
Czytałem o tym problemie i zapewne to jest wirus ale nadal nie wiem jak go usunąć.
C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\winhisuj.exe
C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\winyojs.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Hijackthis wskazuje te linijki. Nie da sie usunąc tych plików ponieważ są uruchomione a nie da sie ich zakończyć ponieważ menedżer jest zablokowany. Nie wiem jak to usunąć
ComboFix usuął 1 plik …/system32/autorun.inf.
Ten syf nadal tkwi w procesach i za każdym razem po naprawie w Hijacku uruchamia się od nowa.
Atis
(Atis)
16 Kwiecień 2012 13:22
#2
Pokaż logi z OTL:
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741
Dysk przeskanuj Dr.WEB CureIt
Jeżeli coś wykryje to zapisz raport: Plik -> Zapisz listę raportu
Zacek
(M Kielbek)
16 Kwiecień 2012 13:45
#3
Niestety nie zdarzyłem zapisać loga z DR.WEB ale usunął te 2 wczesniejsze zainfekowane pliki.
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Jednak nadal pozostaje ta linijka naprawa w Hijacku nic nie daje ponieważ uruchamia się od nowa. @Edit Wrócił plik…
C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\winnglus.exe
Atis
(Atis)
16 Kwiecień 2012 13:52
#4
Czy masz jakiś problem z czytaniem?
Pokaż logi z OTL lub przestań zaśmiecać forum.
Zacek
(M Kielbek)
16 Kwiecień 2012 14:02
#5
Atis
(Atis)
16 Kwiecień 2012 14:39
#6
To jest wirus Sality który infekuje wszystkie pliki wykonywalne.
Dziwne jest to, że Dr.WEB CureIt wykrył tylko dwa zainfekowane pliki, bo akurat ten skaner dobrze wykrywa tego wirusa.
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller
Kaspersky Virus Removal Tool 2011
usuwanie-znanych-wirusow-sality-itp-t370365.html
Podłączyłeś zainfekowany pendrive H
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\kqornr.sys -- (amsint32)
O32 - AutoRun File - [2004-08-04 00:44:26 | 000,000,306 | RHS- | M] () - H:\autorun.inf -- [FAT32]
O7 - HKU\S-1-5-21-789336058-1993962763-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-21-789336058-1993962763-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
:Files
autorun.inf /alldrives
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pendrive zabezpiecz Panda USB Vaccine
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.