kokos1835
(Kokos1835)
17 Grudzień 2013 09:55
#1
Z góry informuję, że jestem kompletnym laikiem w tych sprawach. Sprawa wygląda następująco:
Problem związany jest z pojawiającymi się w różnych miejscach plikami autorun.inf (ostatnio bezpośrednio na dysku D, który tworzy mi plik jvspok). Występują także pliki yaoyo.exe. Na dyskach zewnętrznych najpierw tworzyło mi skróty teraz na jednym został sam plik autorun.inf a na drugim pojawiły się pliki buebud.exe, buebud.scr, jtllup.exe. Do tego mam nieaktywną opcję Menadżera zadań.
Logi:
http://www.wklej.org/id/1209216/
http://www.wklej.org/id/1209220/
Atis
(Atis)
17 Grudzień 2013 11:26
#2
Nie widać przyczyny tego problemu, ale to może być wirus Sality.
Odinstaluj outobox 2013.11.12.181539 i Wsys Control 15.2.1.2652.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Przeskanuj dysk za pomocą Dr.Web CureIt i napisz czy wykrył zainfekowane pliki.
Dr.Web CureIt lub KLIK
kokos1835
(Kokos1835)
17 Grudzień 2013 13:02
#3
Dr.Web CureIt wykrył 27 zagrożeń
Atis
(Atis)
17 Grudzień 2013 13:36
#6
Sector to inna nazwa wirusa Sality infekującego wszystkie pliki wykonywalne.
Skanuj wszystkie partycje i lecz zainfekowane pliki.
SalityKiller lub KLIK
2. Za pomocą Dr.Web CureIt Przeskanuj wszystkie dyski: KLIK
Kaspersky Virus Removal Tool 2011 lub KLIK
W zakładce Scan scope zaznacz wszystkie dyski:
Aby zmienić obszar automatycznego skanowania, wykonaj poniższe działania:1. Uruchom Kaspersky Virus Removal Tool 2011.2. Przejdź na zakładkę Settings (Ustawienia) oznaczonych obrazkiem z kołem zębatym.3. Wybierz sekcję Scan scope (Obszar skanowania).4. Utwórz odpowiedni obszar skanowania zaznaczając obiekty, które mają być przeskanowane.http://support.kaspersky.com/pl/6187#q1
Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.
kokos1835
(Kokos1835)
18 Grudzień 2013 12:30
#7
Trochę trwały te wszystkie skanowania.
LOG:
http://www.wklej.org/id/1210195/
Atis
(Atis)
18 Grudzień 2013 14:12
#8
Jeżeli nie masz aktualnej licencji to odinstaluj stary Trend Micro Titanium Internet Security.
Pobierz i rozpakuj archiwum:
http://support.kaspersky.com/downloads/utils/sality_regkeys.zip
Kliknij prawym na pliku SafeBootWin 7 i wybierz Scal.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp)
O4:64bit: - HKLM..\Run: [Trend Micro Client Framework] "C:\Program Files\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe" File not found
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe ()
O4 - HKU\S-1-5-21-3801143714-3251238955-3795291970-1000..\Run: [] File not found
O4 - HKU\S-1-5-21-3801143714-3251238955-3795291970-1000..\Run: [EADM] "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\KOKOS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WTW.lnk = File not found
[2013-12-17 13:04:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Doctor Web
[2013-12-17 19:05:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab
[2013-12-17 13:04:57 | 000,000,000 | ---D | C] -- C:\Users\KOKOS\Doctor Web
[2013-12-17 12:37:26 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-12-15 20:08:24 | 000,000,000 | ---D | C] -- C:\Users\KOKOS\AppData\Local\cache
[2013-12-15 20:08:23 | 000,000,000 | ---D | C] -- C:\Users\KOKOS\Documents\Mobogenie
[2013-12-15 20:08:23 | 000,000,000 | ---D | C] -- C:\Users\KOKOS\AppData\Local\Mobogenie
[2013-12-15 20:07:27 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mobogenie
:Files
C:\Windows\SysWow64\*.lnk
xtntok.pif /alldrives
autorun.inf /alldrives
netsh advfirewall reset /c
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
kokos1835
(Kokos1835)
18 Grudzień 2013 14:39
#9
Trend Micro Titanium Internet Security - nie ma tego w programach i funkcjach.
Atis
(Atis)
18 Grudzień 2013 14:44
#10
Atis
(Atis)
18 Grudzień 2013 15:39
#12
W takim razie sprawdź czy działa tryb awaryjny:
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
http://support.kaspersky.com/pl/general/various/493#q1
Wykonaj pozostałe zalecenia.
kokos1835
(Kokos1835)
18 Grudzień 2013 15:47
#13
W trybie awaryjnym to samo.
Atis
(Atis)
18 Grudzień 2013 16:10
#14
Chyba czegoś nie zrozumiałeś? Plik SafeBootWin7 miał naprawić tryb awaryjny, bo Sality kasuje klucze rejestru od awaryjnego, więc w ogóle nie można uruchomić systemu w tym trybie.
Jeżeli można uruchomić w awaryjnym, to pomimo komunikatu klucze zostały prawidłowo zaimportowane.
kokos1835
(Kokos1835)
18 Grudzień 2013 16:38
#15
Atis:
Chyba czegoś nie zrozumiałeś? Plik SafeBootWin7 miał naprawić tryb awaryjny, bo Sality kasuje klucze rejestru od awaryjnego, więc w ogóle nie można uruchomić systemu w tym trybie. Jeżeli można uruchomić w awaryjnym, to pomimo komunikatu klucze zostały prawidłowo zaimportowane.
A tego to nie wiedziałem
LOGI:
http://www.wklej.org/id/1210389/
http://www.wklej.org/id/1210403/
Atis
(Atis)
18 Grudzień 2013 16:46
#16
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date