Zablokowany rejestr,menager a także skanery on line

Long · 4 Sierpień 2010 06:31

Tak jak w temacie

Logi z

ComboFix http://wklej.org/id/372529/

OTL http://wklej.org/id/372530/

HiJack http://wklej.org/id/372531/

i udało mi się przeskanować kompa Dr.Web-em

Może ktoś da radę ![-o<

jessica · 4 Sierpień 2010 06:37

Masz co najmniej dwie infekcje.

Najpierw zajmiemy się infekcją pendrivową.

Użyj USBFix, z opcji DELETION >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0

Daj z nie raport z tego usuwania.

I napisz, co wykrył/usuwał Dr.Web.

Long · 4 Sierpień 2010 06:47

Ups ale tempo :o

USB Fix http://wklej.org/id/372536/

Dr. Web. wyłapał parę wirusków w plikach wykonywalnych .exe uruchamianych podczas startu systemu

Umpfh · 4 Sierpień 2010 06:54

tak zrobiłeś? usunąłeś?

Nagraj na niezainfekowanym komputerze Dr Web Live CD: http://www.freedrweb.pl/livecd.php włącz w zainfekowanym komputerze, zrestartuj i niech uruchomi się skaner z płyty i przeskanuje. Co się da wylecz, resztę usuń. Wykonaj skaner kilkakrotnie do momentu, w którym nie znajdzie już żadnego wirusa.
Jeśli po skanie system się nie będzie chciał uruchomić wykonaj instalację nakładkową Windowsa: http://helpc.eu/instalacja-nakladkowa-t2198.html
Wyłącz przywracanie systemu na wszystkich dyskach: http://support.microsoft.com/kb/310405/pll
Wykonaj skan Dr Webem: http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
Daj nowe logi z OTL

jessica · 4 Sierpień 2010 07:02

Tak, , już zauważyłam:

to usługa wirusa SALITY/SECTOR, który zaraża wszystkie pliki *.exe.

A więc powinniśmy zacząć od usuwania wirusa, a nie od infekcji pendrivowej, bo wirus jest gorszy.

Ale tego już nie wrócimy.

1. Start > Uruchom > wybierz (lub wpisz) regedit i w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

w okienku po prawe zaznacz: Startup >prawoklik >Modyfikuj> w okienku, które wyskoczy wklej:

Zatwierdź.

Zrestartuj komputer.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\Drivers\PsSdk23.drv – (PSSdk23) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\DRIVERS\LVVIMULB.SYS – (PID_0960_V) Logitech ClickSmart 420(PID_0960_V) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\LONGHT~1\USTAWI~1\Temp\RarSFX0\NSNDIS5.SYS – (NSNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\LONGHT~1\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys – (cpuz132) DRV - File not found [Kernel | Unknown | Running] – -- (cpuxp) DRV - File not found [Kernel | Unknown | Running] – -- (amsint32) O4 - Startup: C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O32 - AutoRun File - [2010-08-04 06:57:45 | 000,000,243 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-08-04 06:57:45 | 000,000,280 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-08-04 06:57:45 | 000,000,389 | RHS- | M] () - E:\autorun.inf – [NTFS] [2010-08-04 06:57:45 | 000,103,140 | RHS- | M] () – C:\jmxosi.exe [2010-08-04 06:57:45 | 000,000,243 | RHS- | M] () – C:\autorun.inf @Alternate Data Stream - 12 bytes -> C:\WINDOWS\system32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} :Files D:\qbnx.exe C:\qbnx.exe E:\qbnx.exe C:\Qoobox C:\Documents and Settings\All Users\My applications\ E:\lnpxv.exe D:\lnpxv.exe C:\lnpxv.exe C:\Documents and Settings\Longhtorn\Ustawienia lokalne\temp\winamadv.exe C:\Documents and Settings\Longhtorn\Ustawienia lokalne\temp\mrnrgf.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Użyj rmsality >http://www.softpedia.com/get/Antivirus/Win32-Sality-Remover.shtml
Użyj KVRT http://www.bezpieczenstwosystemow.pl/index.php?topic=3198.0
Użyj jakiegoś skanera online

http://www.bitdefender.com/scanner/online/free.html (Internet Explorer)

http://support.f-secure.com/enu/home/ols.shtml (Firefox 3.0 oraz Internet Explorer 6-7.)

http://www.arcabit.pl/content/view/124/145/lang,polish/ (Internet Explorer. By uruchomić narzędzie w iE, należy w przeglądarce dodać adres arcaonline do Zaufanych Witryn)

http://www.mks.com.pl/skaner/ (Internet Explorer)

http://www.eset.com/onlinescan/ (Internet Explorer, Firefox / Opera / Safari)

http://www.emsisoft.com/en/software/ax/

wszystkie scany począwszy od Dr.Web, powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
zrób nowy log z OTL, ale na ustawieniu:

w polu “Rejestr-skan dodatkowy” zaznacz przy “Użyj filtrowania”.

jessi

Long · 4 Sierpień 2010 07:17

Jessica rejestr nadal zablokowany

Tzn nie mogę wykonać 1 kroku z twojej listy

jessica · 4 Sierpień 2010 07:28

No tak, nie pomyślałam o tym.

Zmień kolejność wykonywania zaleceń:

punkt 4

punkt 5

punkt 6

punkt 7

punkt 1

punkt 2

punkt 3

punkt 8

Zalecenia podane przez @ Umpfh są bardzo dobre, więc jeśli znasz się na komputerach, to pomysł z wypaleniem płytki z AV też polecam.

jessi

Long · 4 Sierpień 2010 07:32

4 poszła

5 już nie ,nadal nie mogę wbić się na strony zawierające skanery on line itp. cholerny świat 3 kompy w domu a na wszystkich to samo

jessica · 4 Sierpień 2010 07:42

To chyba oznacza, że te inne kompy też są zarażone.

Zapasowy link do KVRT:

http://www.zshare.net/download/78865179ab5e60af/

Zalecenia podane przez @ Umpfh są bardzo dobre, więc jeśli znasz się na komputerach, to pomysł z wypaleniem płytki z AV też polecam.

jessi

Long · 4 Sierpień 2010 09:25

I to bedzie chyba najlepsze wyjscie skoro powtórne skanowania mimo komunikatów o wyleczeniu nie przynoszą efektu gdyż Dr.Web ciągle leczy te same piki po południu będę miał dostęp do prawdopodobnie czystego :evil: kompa także powalczymy głownie zależy mi na tym z którego piszę na pozostałych formacik i z głowy bo szkoda waszego czasu i mojego po czyszczeniu z płytki wkleję logi i wtedy zobaczymy co z tym śmieciem robić dalej

Tymczasem wielkie gratki dla was =D> odezwę się za parę h

No wiruski usunięte za pomocą Kaspersky Resuce Disc Dr.Web. też nic nie pokazuje w końcu mogę logować się na stronach zawierających skanery on-line

Logi z OTL

http://wklej.org/id/372732/

Pozostaje tylko zablokowany rejestr i menager

Przywracanie systemu odpalone

jessica · 4 Sierpień 2010 15:46

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Long · 4 Sierpień 2010 16:16

Raport z usuwania

http://wklej.org/id/372755/ =D> =D> rejestr działa i menager także =D> =D>

Nowy log po restarcie

http://wklej.org/id/372753/

chyba coś jest jescze nie tak mam jeszcze jakiegoś exploita strona startowa przeglądarki mimo zmiany cały czas wraca na msn.fr

jessica · 4 Sierpień 2010 16:26

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Long · 4 Sierpień 2010 16:51

Raport po restarcie

http://wklej.org/id/372779/ jak sama widzisz troszkę zmodyfikowałem Twój skrypt

i nowy log

http://wklej.org/id/372776/

mam nadzieję że już wszystko ok jeśli tak to biorę się za następne kompy w domu na każdym to samo

także jeśli będziesz miała czas to zapraszam do pomocy

acha i gdzie z kwiatkami mam lecieć bo naprawdę jesteś wielka =D> =D>

jessica · 4 Sierpień 2010 17:04

Tak, w tym komputerem powinno już być OK.

jessi

Long · 4 Sierpień 2010 17:17

Super

Komp nr 2 wyczyszczony z wirusów za pomocą Kaspersky Resuce Disc

wszystko identycznie jak w 1 tzn rejestr i menager zablokowany

Logi

http://wklej.org/id/372792/

jessica · 4 Sierpień 2010 17:37

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Long · 4 Sierpień 2010 17:55

Po restarcie

http://wklej.org/id/372813/

i nowy http://wklej.org/id/372815/

wygląda że wszystko już ok

za 3 kompa wezmę się jutro i może sam spróbuję jak nie dam rady to się odezwę

Jeszcze raz wielkie dzięki za pomoc wszystkie helpdesk-i się do was nie umywają

jessica · 4 Sierpień 2010 18:02

Tak, na tym komputerze też już jest OK.

jessi