Witam wszystkich bardzo serdecznie.
Kilka dni temu zauważyłem ze coś niepokojącego zaczyna się dziać z moim komputerem, dopiero wtedy postanowiłem ściągnąć jakiegoś antyvirusa i zobaczyć co się dzieje. Jak wielkie było moje zdziwienie gdy za każdym razem kiedy odpalałem jakiego av on sam się wyłączał. Postanowiłem wiec ze wejdę w msconfig i zobaczę co jest uruchamiane. No i w końcu dostrzegłem. EXPLORER.EXE, dumprep 0 -k ( polecenie - systemroot) i jeszcze kilka innych. No dobra skoro wiem ze mam pełno wirusów to teraz pytanie jak je mogę usunąć ? Pomożecie?
Oto skany z OTL :
otl : http://wklej.org/id/983540/
extras : http://wklej.org/id/983541/
Atis
16 Marzec 2013 15:38
#2
Wirus Sality który infekuje wszystkie pliki wykonywalne.
Podłączyłeś zainfekowane urządzenie pod USB.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\pngol.sys – (abp470n5) O4 - HKLM…\Run: [ASocksrv] C:\WINDOWS\System32\SocksA.exe (Microsoft Corp.) O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-1409082233-1214440339-839522115-1003…\Run: [bSserver] C:\WINDOWS\System32\FileKan.exe (Microsoft Corp.) O4 - HKU\S-1-5-21-1409082233-1214440339-839522115-1003…\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O4 - HKU\S-1-5-21-1409082233-1214440339-839522115-1003…\Run: [wsctf.exe] wsctf.exe File not found O32 - AutoRun File - [2013-02-18 16:01:14 | 000,000,127 | -HS- | M] () - C:\AUTORUN.INF – [NTFS] O32 - AutoRun File - [2013-02-18 16:01:15 | 000,000,127 | -HS- | M] () - D:\AUTORUN.INF – [NTFS] O32 - AutoRun File - [2013-01-01 02:06:02 | 000,000,127 | RHS- | M] () - F:\autorun.inf – [FAT32] [2013-03-16 15:59:23 | 000,278,528 | ---- | M] (Microsoft Corp.) – C:\WINDOWS\System32\algsrv.exe :Files tel.xls.exe /alldrives autorun.inf /alldrives :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] “”="@SYS :DoesNotExist" :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Wyłącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub Klik
Dr.Web CureIt i przeskanuj wszystkie dyski: Klik
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
Wykonalem skrypt, a teraz pobieram salitykiller który niestety pobiera 107 ze 108 MB i się blokuje, Dr Web podobnie.
Atis
16 Marzec 2013 16:06
#4
Sorry na drugim linku juz poszlo
Atis
16 Marzec 2013 16:11
#6
Zrobilem wszystko jak mowiles i oto najnowszy skan
http://wklej.org/id/984058/
Teraz widze kolejny problem, wiekszosc programow jak uruchamiam pokazuje sie : Microsoft Visual C++ Runtime Library
Runtime Error
Program : C : …
R6002
floating point support not loaded
Atis
17 Marzec 2013 11:41
#8
Uszkodzone programy musisz ponownie zainstalować.
Odinstaluj IB Updater 2.0.0.578, IB Updater Service, Incredibar Toolbar on IE.
Pobierz i rozpakuj archiwum:
http://support.kaspersky.com/downloads/ … egkeys.zip
Uruchom plik SafeBootWin XP
Zabezpiecz się przed infekcją z USB: Panda USB Vaccine
Uruchom program i kliknij Vaccinate.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - [2013-01-29 14:30:58 | 000,188,760 | ---- | M] () [Auto | Running] – C:\Program Files\IB Updater\ExtensionUpdaterService.exe – (IB Updater) SRV - [2012-10-02 16:20:26 | 001,008,496 | ---- | M] () [Auto | Running] – C:\WINDOWS\system32\dmwu.exe – (IBUpdaterService) FF - prefs.js…browser.search.defaultenginename: “MyStart Search” FF - prefs.js…keyword.URL: “http://mystart.incredibar.com/mb201/?loc=IB_DS&a=6PQWkleLUW&&i=26&search= ” [2013-01-20 01:53:54 | 000,000,000 | —D | M] (incredibar.com ) – C:\Documents and Settings\Arturek\Dane aplikacji\Mozilla\Firefox\Profiles\ukiolg0z.default\extensions\ffxtlbr@incredibar.com [2013-01-20 01:53:35 | 000,002,203 | ---- | M] () – C:\Documents and Settings\Arturek\Dane aplikacji\Mozilla\Firefox\Profiles\ukiolg0z.default\searchplugins\MyStart Search.xml O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension32.dll () O3 - HKLM…\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com \incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\20Dollars2Surf.lnk = File not found O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) [2013-03-16 17:40:05 | 000,000,000 | —D | C] – C:\Documents and Settings\Arturek\Doctor Web [2013-03-17 01:44:04 | 000,000,386 | ---- | M] () – C:\WINDOWS\tasks\SuperLyrics Update.job [2012-12-04 20:15:55 | 000,006,550 | ---- | C] () – C:\WINDOWS\jautoexp.dat :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj ESET Online Scanner
usuwa teraz wszystkie zainfekowane pliki 