kerpal Opublikowano 6 Września 2010 Zgłoś Udostępnij Opublikowano 6 Września 2010 Witam, prawdopodobnie mam wirusa SALITY, tak stwierdzili na pewnym forum... i moje pytanie, robiłem skany dr webem, kasperskym remove tool, salityremover od AVG, trojan remover, nic to nie dało, co jeszcze mam zrobić ? czy to koniec ? czy konieczny jest format ? wrzucam logi, gmera nie ruszam, taka tradycje z "tamtego" forum... Results of screen317's Security Check version 0.99.5 Windows XP Service Pack 3 (UAC is disabled!) Internet Explorer 7 Out of date! `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! Antivirus up to date! (On Access scanning disabled!) ``````````````````````````````` Anti-malware/Other Utilities Check: Ad-Aware Malwarebytes' Anti-Malware HijackThis 2.0.2 CCleaner Java 6 Update 18 Out of date Java installed! Adobe Flash Player 10.1.53.64 ```````````````````````````````` Process Check: objlist.exe by Laurent Ad-Aware AAWService.exe is disabled! Ad-Aware AAWTray.exe is disabled! ```````````````````````````````` DNS Vulnerability Check: GREAT! (Not vulnerable to DNS cache poisoning) ``````````End of Log```````````` OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2010 Zgłoś Udostępnij Opublikowano 6 Września 2010 Są znaki, że Sality tu jest. Widzę jego rootkit usługę i polisy. Zapewne także masz uszkodzony tryb awaryjny, bo Sality usuwa klucz SafeBoot. W aktywnych obiektach widzę pracujące także szkodliwe procesy z lokalizacji tymczasowych. PRC - [2010-09-06 00:08:55 | 000,030,720 | ---- | M] () -- C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\wineaxmex.exePRC - [2010-09-06 00:08:44 | 000,011,776 | ---- | M] () -- C:\Documents and Settings\lukasz\Ustawienia lokalne\Temp\winfarly.exe DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\ftjorn.sys -- (amsint32) O7 - HKU\S-1-5-21-682003330-1177238915-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1O7 - HKU\S-1-5-21-682003330-1177238915-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 Usuwanie może być nieskuteczne spod działającego systemu. Poza tym wszystkie naprawione pliki programów zarażonych mogą być do wyrzucenia, jeśli plik nie będzie działał. 1. Wyczyść lokalizacje tymczasowe przez TFC - Temp Cleaner. 2. Spróbuj SalityKiller. Zaimportuj także pliki rejestru dołączone do paczki. 3. Przypuszczalnie złapałeś Sality z USB. Użyj w Panda USB Vaccine opcję Computer Vaccination i restart komputera. Po wyłączeniu kompletnym odczytu pliku autorun.inf podepnij wszystkie dostępne urządzenia przenośne USB i wykonaj log z ich zawartości za pomocą USBFix z opcji Listing. 4. Zgłaszasz się tu z: wynikami z SalityKiller + nowym zestawem logów. wrzucam logi, gmera nie ruszam, taka tradycje z "tamtego" forum... Aktualnie diagnostyka dowolnej infekcji wyklucza wydziwianie. Teraz jest obowiązkowe pokazywać log z rootkit detekcji. Nie jest w ogóle możliwe potwierdzenie stanu na bazie tylko logów z OTL. OTL nie jest specjalizowany na rootkity. Co gorsza, teraz chodzą takie infekcje, które obchodzą także GMER. PS. Tu masz przykładowy temat, w którym udało nam się usunąć Sality: KLIK. . Odnośnik do komentarza
kerpal Opublikowano 6 Września 2010 Autor Zgłoś Udostępnij Opublikowano 6 Września 2010 Droga koleżanko z innego forum na S , przecież przy sality, nie działają skanery online itp, także punkt 2 jest niemożliwy ;] czekam na edycję tego co mam zrobić... Odnośnik do komentarza
picasso Opublikowano 6 Września 2010 Zgłoś Udostępnij Opublikowano 6 Września 2010 Jak widzisz w spodniej części mojej odpowiedzi, jest temat gdzie wszystko wykonano, narzędzie pobrał i uruchomił przy czynnym Sality. SalityKiller przehostowany: KLIK. Odnośnik do komentarza
kerpal Opublikowano 6 Września 2010 Autor Zgłoś Udostępnij Opublikowano 6 Września 2010 Zaimportuj także pliki rejestru dołączone do paczki. nie wiem jak to w tym salitykiler zrobić... resztę zrobiłem ... w tym logu usbfix, specjalnie edytowalem wpisy niektore na "xxxxxxxxxxxxxxxxxxxx" poniewaz tam byly nie cenzuralne nazwy filmow ^^ Results of screen317's Security Check version 0.99.5 Windows XP Service Pack 3 Internet Explorer 7 Out of date! `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! Antivirus up to date! (On Access scanning disabled!) ``````````````````````````````` Anti-malware/Other Utilities Check: Ad-Aware Malwarebytes' Anti-Malware HijackThis 2.0.2 CCleaner Java 6 Update 18 Out of date Java installed! Adobe Flash Player 10.1.53.64 ```````````````````````````````` Process Check: objlist.exe by Laurent Ad-Aware AAWService.exe is disabled! Ad-Aware AAWTray.exe is disabled! ```````````````````````````````` DNS Vulnerability Check: GREAT! (Not vulnerable to DNS cache poisoning) ``````````End of Log```````````` UsbFix.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2010 Zgłoś Udostępnij Opublikowano 6 Września 2010 Jakie były wyniki pracy SalityKiller, czy coś robił, a jeśli, to co przetworzył? nie wiem jak to w tym salitykiler zrobić... Tam była na stronie Kasperskiego osobna paczka do pobrania, ale strony nie mogłeś uruchomić. Poza tym, teraz tak patrzę na stronę i widzę, że i tak te linki do REGów są nieczynne z niewiadomej przyczyny. Odnosząc się do logów: w OTL nadal usługa Sality, ale z tego co zaobserwowałam, SalityKiller jej nie usuwa. Nie dałeś loga z GMER, a w nim byłoby widać czy usługa jest czynna (powtarzam: aktualnie bez loga z rootkit detekcji można się pocałować w pięty przy diagnostyce). Natomiast zniknęły blokady rejestru i Menedżera zadań. W USBFix nie widzę żadnych szkodliwych plików. W związku z tym przetwarzam teraz wygląd loga z OTL, usuwając także wszystkie zdefektowane usługi ze statusem "not found" oraz zerując cały klucz konfiguracji wyjątków w zaporze Windows (połowa klucza to ślady po infekcji, reszta zaś ma w przeważającej części "not found", toteż klucz dla wygody zeruję w całości). Inne zagadnienie to zainstalowany soft AutocompletePro, który w Firefox + Internet Explorer dodał: FF - prefs.js..extensions.enabledItems: support@predictad.com:1.11[2010-09-02 20:41:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\ux1iy719.default\extensions\support@predictad.comO2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll (SimplyGen) Te zapisy są usuwane przez Malwarebytes' Anti-malware jako mające status "adware" (KLIK / KLIK). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus® SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\lukasz\USTAWI~1\Temp\Rar$EX00.266\winio.sys -- (WINIO) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\P2k.sys -- (P2k) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\mcdbus.sys -- (mcdbus) DRV - File not found [File_System | Boot | Stopped] -- C:\WINDOWS\System32\DRIVERS\Lbd.sys -- (Lbd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\avfwim.sys -- (avfwim) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ftjorn.sys -- (amsint32) O4 - HKLM..\RunOnce: [] File not found O33 - MountPoints2\{7f950462-38ed-11df-8c84-4d6564696130}\Shell - "" = AutoRun O34 - HKLM BootExecute: (OODBS) - File not found O34 - HKLM BootExecute: (lsdelete) - File not found [2009-04-14 18:51:51 | 000,000,000 | ---D | M] (XUL Cache) -- C:\Program Files\Mozilla Firefox\extensions\{64FC9589-8084-40C6-A489-A32E24743571} [2009-05-17 22:48:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\lukasz\Dane aplikacji\Search Settings [2009-08-28 22:47:09 | 000,016,384 | ---- | C] () -- C:\Program Files\uik.dat [2009-08-28 22:46:59 | 000,000,004 | ---- | C] () -- C:\Program Files\is.dat :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [clearallrestorepoints] [emptyflash] [emptytemp] Rozpocznij usuwanie przez Uruchom skrypt. Po restarcie z tego otrzymasz log. 2. W Dodaj / Usuń odinstaluj oprogramowanie reklamodawcze AutocompletePro. Przy okazji, także aplikację Ad-aware, której usługi zostały zgłoszone w OTL jako wybrakowane. Ogólnie: do deinstalacji także każdy program, który nie działa. 3. Wytwarzasz nowy log z OTL. I muszę mieć log z rootkit detekcji. Albo GMER albo Root Repeal. Dołącz tu log powstały z usuwania OTL. . Odnośnik do komentarza
kerpal Opublikowano 6 Września 2010 Autor Zgłoś Udostępnij Opublikowano 6 Września 2010 Sality kiler przeskanował ale nic nie utworzył, przeskanował i sie wylaczyl, ale widzialem duzo wpisow i na koncu nich "cured" 1. zrobione 2. zrobione , swoją droga nie wiem jak ten autocompletepro sie zainstalowal... a ad aware pamietam jak odinstalowywalem normalnie, niewiem czemu sie caly nie usunal, ale raczej wszystkie programy dzialaja... 3. zrobione RootRepeal report 09-07-10 (01-15-41).txt 09072010_005727.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 7 Września 2010 Zgłoś Udostępnij Opublikowano 7 Września 2010 1. Log z Root Repeal robiony w niewłaściwych warunkach. Działa w tle emulator wirtualnych napędów SPTD, który skutecznie zaciemnia wyniki. Dedykuję temu całe ogłoszenie. Metoda nieinwazyjna: narzędzie Defogger. DRV - [2009-05-07 11:35:26 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) 2. OTL zadania wykonał. Miał dwa malutkie problemy: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) Nie potrafił skasować usługi: Error: No service named IntcAzAudAddService) Service for Realtek HD Audio (WDM was found to stop!Service\Driver key IntcAzAudAddService) Service for Realtek HD Audio (WDM not found. Następnie: :Reg[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] Usuwał klucz jak zadałam, ale nie zaimportował klucza na czysto. Aktualnie klucza nie ma, na co wskazuje wyciąg z Extras. ========== REGISTRY ==========Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ deleted successfully. Adresując oba defekty oraz klasyczny błąd od sterowników Sagem w Dzienniku zdarzeń, otwórz Notatnik i wklej w nim: SC DELETE IntcAzAudAddService SC CONFIG ADILOADER start= disabled REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List PAUSE Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik 3. Nie widzę już żadnych znaków pośrednich od Sality. Usunięta usługa oraz blokady nie powróciły po usuwaniu. SalityKiller prowadził operacje leczenia plików (markery "cured"). To sugeruje, że proces infekowania został przerwany a sprawa została rozwiązana. Ale to jeszcze nie koniec. Do sprawdzenia: - Próba startu do Trybu awaryjnego: czy jest to możliwe, czy może pluje BSOD? Jeśli to drugie, potrzebny import do rejestru rekonstruujący klucz SafeBoot. Na rosyjskim odpowiedniku strony SalityKiller są działające linki do plików rejestru: KLIK (pobierz paczkę Sality_RegKeys.zip, a ze środka uruchom plik SafeBootWinXP.reg). - Czy na pewno wszystkie programy działają? Po leczeniu z Sality mogą zostać niestety defekty. Gdybyś się natknął na taki soft, to tylko wyrzucenie z dysku i instalacja z nowego instalatorka. . Odnośnik do komentarza
kerpal Opublikowano 7 Września 2010 Autor Zgłoś Udostępnij Opublikowano 7 Września 2010 Ok, wszystko zrobione, RootRepeal użyty po wyłączeniu SPTD w defroggerze, teraz pytanie tylko, co z tym dyskiem przez który to niby zostało zarażone... choć do końca nie wiem czy to od tego dysku... To było tak, kolega do szkoły przyniósł na swoim pendrive grę (World Of Warcraft) no i podłączylismy dysk jak i pendrive i kopiowaliśmy w locie, nie wrzucał najpierw na kompa a pozniej na moj dysk przenosny, no i u mnie okazalo sie ze nie działa... pokazywał się taki oto błąd : więc poszukałem trochę w google i znalazłem na forum wpis, w którym użytkownik pisał że CZASEM pomaga skanowanie antywirusem AVG, więc co pobrałem i skanowałem, nic to nie dało, mało tego, od czasu skanowania zaczęły się te problemy z którymi się męczymy, teraz pytanie, czy antywirus mógł go uaktywnić, tego sality ? czy to po prostu wirus sam sie wbił na mój dysk w szkole?? Kolega z tego co wiem nie ma żadnych problemów z kompem a tez podłączał pendrive przecież... I jeszcze wczoraj widziałęm temat z tym jak mówisz komuś że ma starą "javę" nie mogę kompletnie znaleźć tego tematu, a podawałaś chyba tam program który usuwa stare wersje i instaluje najnowszą... możesz jakoś doradzić nazwą tego programu ? aaa, tryb awaryjny dziala po dodaniu do rejestru tego safebootwinxp oraz programy dzialaja jak narazie wszystkie z tego co widze...' mała poprawka, chcialem włączyć grę z obrazu w daemonie (kopię zapasową żeby nie niszczyć oryginalnej płyty) i pojawił się dokładnie ten sam błąd co wyżej pokazany screen z world of warcraft... dziwne bo przez rok ta gra chodziła normalnie... już zrobione, wystarczyło przeinstalować tą grę, to samo było z ccleanerem... teraz czasem jak chcę coś wywalić to jest błąd NSIS ERROR A co do tego visual c++ to mam zainstalowane takie wersje: Czy przypadkiem nie za dużo ich? Gdzieś kiedyś czytałem że każdą wersje warto mieć zainstalowaną... RootRepeal report 09-07-10 (07-58-37).txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 7 Września 2010 Zgłoś Udostępnij Opublikowano 7 Września 2010 Raporty są w porządku. Nie widzę w nich znaków infekcji. Zresztą już przeprowadziłam w poście wyżej test na tę okoliczność. Gdyby infekcja wróciła, nie mógłbyś otworzyć strony Kasperskiego z SalityKillerem, skąd pobierałeś paczkę REG. Przeprowadź roboty wykończeniowe: 1. W OTL wywołaj funkcję Sprzątanie. Możesz także odinstalować USBFix i SalityKiller. 2. Były kolejne deinstalacje aplikacji, więc powtórz po raz trzeci, już ręcznie, kroki które prowadziłeś sam + które repetowałam automatycznym skryptem: przeczyść lokalizacje tymczasowe przez TFC - Temp Cleaner + wyczyść foldery Przywracania systemu (INSTRUKCJE). 3. Dla pewności wykonaj pełny skan wszystkich dysków (nie tylko systemowego) przez któryś z małych skanerów (Dr. Web CureIt, Kaspersky Virus Removal Tool). Ważnym pytaniem jest: czy podczas infekcji kopiowałeś coś z dysków twardych na alternatywne nośniki (płyty CD / DVD lub inny USB tu nie sprawdzany etc.)? Zgłoś się tu z wynikami. I jeszcze wczoraj widziałęm temat z tym jak mówisz komuś że ma starą "javę" nie mogę kompletnie znaleźć tego tematu, a podawałaś chyba tam program który usuwa stare wersje i instaluje najnowszą... możesz jakoś doradzić nazwą tego programu ? Po kolei. Do tego miałam przejść na końcu, po zamknięciu sprawy infekcji. Wertując Twoje ustawienia: Ten program to JavaRa. Po jego użyciu zainstaluj najnowszą wersję Java. Wykonaj także aktualizację do wersji Internet Explorer 8. To do wykonania niezależnie od tego czy w ogóle uruchamiasz Internet Explorer. Gadu-Gadu 6.1: Nie męcz się na tym trupie. Nie obsługuje nowego protokołu i ma porażający stopień "zabezpieczeń". W temacie Darmowe komunikatory znajdziesz alternatywy (WTW / Miranda / Kadu / AQQ). już zrobione, wystarczyło przeinstalować tą grę, to samo było z ccleanerem...teraz czasem jak chcę coś wywalić to jest błąd NSIS ERROR To jest spodziewane .... Skutki po Sality. Możesz mieć trudności w uruchamianiu oraz deinstalacji softów, które były zarażone i poddane leczeniu. Gdyby zdarzył się kolejny program tego rodzaju, możesz się wspomóc aplikacją Revo Uninstaller Freeware. Czy przypadkiem nie za dużo ich? Gdzieś kiedyś czytałem że każdą wersje warto mieć zainstalowaną... To niczemu nie przeszkadza, że jest tyle wersji bibliotek. W systemie należy mieć zainstalowane tyle wersji, ile tego potrzebują programy, mogą być wymagane wszystkie trzy wersje (2005 / 2008 / 2010). Jeśli będzie się nadal incydentalnie zgłaszał ten błąd z Visual przy określonych programach, to w kolejności: reinstalacja danego programu z czystego instalatora oraz może tych wszystkich bibliotek. co z tym dyskiem przez który to niby zostało zarażone... choć do końca nie wiem czy to od tego dysku...To było tak, kolega do szkoły przyniósł na swoim pendrive grę (World Of Warcraft) no i podłączylismy dysk jak i pendrive i kopiowaliśmy w locie, nie wrzucał najpierw na kompa a pozniej na moj dysk przenosny, no i u mnie okazalo sie ze nie działa... pokazywał się taki oto błąd Na Twoim dysku USB, który pokazywałeś w spisie USBFix, nie widziałam żadnych szkodliwych plików. Jest możliwe, że: - były na USB szkodniki, ale już coś je zdążyło usunąć - instalator gry jako taki był po prostu już zarażony, a jego uruchomienie zainicjowało infekcję - infekcję złapałeś wcześniej skądinąd, a kopiowanie + uruchamianie gry nie miało z tym związku Na chwilę obecną Twój system chronisz przed infekcją z autorun.inf przez modyfikację rejestru wprowadzoną via Panda USB Vaccine oraz strażnik Pandy pilnujący procesu powstawania autorun.inf. To jednak nie uchroni przed ręcznym uruchomieniem pliku, który jest zarażony. Do tego jest potrzebny pełny antywirus ze strażnikiem tłowym. Rozważ przykładową darmową kombinację: COMODO Internet Security instalowane z ominięciem antywirusa + Avira AntiVir Personal. . Odnośnik do komentarza
kerpal Opublikowano 7 Września 2010 Autor Zgłoś Udostępnij Opublikowano 7 Września 2010 Po kolei : Możesz także odinstalować USBFix i SalityKiller. Usbfix usuniety, ale salitykiller sie nie instalował przecież ? a usb vaccine też wywalić ? Ważnym pytaniem jest: czy podczas infekcji kopiowałeś coś z dysków twardych na alternatywne nośniki (płyty CD / DVD lub inny USB tu nie sprawdzany etc.)? nie, tylko podłączałem wtedy jak pisalaś żebym podłączył i odpalił usbfixa... a tak to nic... Wykonaj także aktualizację do wersji Internet Explorer 8. To do wykonania niezależnie od tego czy w ogóle uruchamiasz Internet Explorer. Nie chce się coś zainstalować, niby jakieś update potrzebuje więc pobiera się i uruchamiam, ale jak instaluje to pojawia się kolejny błąd, coś z "language" Gadu-Gadu 6.1: Nie męcz się na tym trupie. Nie obsługuje nowego protokołu i ma porażający stopień "zabezpieczeń" gg 6.1 to tak o żeby było mam zainstalowane... mój "celowy" komunikator to AQQ Na Twoim dysku USB, który pokazywałeś w spisie USBFix, nie widziałam żadnych szkodliwych plików. Jest możliwe, że:- były na USB szkodniki, ale już coś je zdążyło usunąć - instalator gry jako taki był po prostu już zarażony, a jego uruchomienie zainicjowało infekcję - infekcję złapałeś wcześniej skądinąd, a kopiowanie + uruchamianie gry nie miało z tym związku to nie był instalator, to były pliki przekopiowane z PROGRAM FILES na pendrive, ta gra nie instaluje sie w rejestrze, tylko w program files... a co radzisz z tym błędem visual c++ ? dlaczego "wow" nie chce się włączyć ? i jak być pewnym teraz czy dysk przenosny jest czysty juz... Results of screen317's Security Check version 0.99.5 Windows XP Service Pack 3 Internet Explorer 7 Out of date! `````````````````````````````` Antivirus/Firewall Check: Antivirus up to date! (On Access scanning disabled!) ``````````````````````````````` Anti-malware/Other Utilities Check: Ad-Aware Malwarebytes' Anti-Malware HijackThis 2.0.2 CCleaner Java 6 Update 21 Adobe Flash Player 10.1.82.76 ```````````````````````````````` Process Check: objlist.exe by Laurent Ad-Aware AAWService.exe is disabled! Ad-Aware AAWTray.exe is disabled! ```````````````````````````````` DNS Vulnerability Check: GREAT! (Not vulnerable to DNS cache poisoning) ``````````End of Log```````````` OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 7 Września 2010 Zgłoś Udostępnij Opublikowano 7 Września 2010 Nie chce się coś zainstalować, niby jakieś update potrzebuje więc pobiera się i uruchamiam, ale jak instaluje to pojawia się kolejny błąd, coś z "language" Podaj dokładnie jak jest sformułowany ten błąd z "language". a co radzisz z tym błędem visual c++ ? dlaczego "wow" nie chce się włączyć ? A czy na pewno ten WoW nie jest uszkodzony wirusem? Przecież napisałeś, że taki sam błąd wywaliła także inna gra i: mała poprawka, chcialem włączyć grę z obrazu w daemonie (kopię zapasową żeby nie niszczyć oryginalnej płyty) i pojawił się dokładnie ten sam błąd co wyżej pokazany screen z world of warcraft... dziwne bo przez rok ta gra chodziła normalnie... już zrobione, wystarczyło przeinstalować tą grę, to samo było z ccleanerem... Czyli wymiana plików gry pomogła. Nasuwa się, że to samo należy zrobić z WoW, biorąc go z całkiem innej kopii i nie z tego samego źródła co uprzednio. i jak być pewnym teraz czy dysk przenosny jest czysty juz... Przeskanować antywirusem. W logu z USBFix nic nie było, toteż tu się już kończy moja rola sprawdzacza. Usbfix usuniety, ale salitykiller sie nie instalował przecież ? a usb vaccine też wywalić ? Mam na myśli: po prostu usuń SalityKiller. Panda USBVaccine zostaw, aktualnie uruchamia się jej miniaturowy strażnik. . Odnośnik do komentarza
kerpal Opublikowano 7 Września 2010 Autor Zgłoś Udostępnij Opublikowano 7 Września 2010 Podaj dokładnie jak jest sformułowany ten błąd z "language". Po próbie instalacji Ie8 jest to : więc daję pobierz i włącza się ta stronka : Mój link pobieram i włączam i jest to : A czy na pewno ten WoW nie jest uszkodzony wirusem? Przecież napisałeś, że taki sam błąd wywaliła także inna gra i: u kolegi tego na kompie w domu działa normalnie... być może w szkole w czasie kopiowania coś się doczepiło... Przeskanować antywirusem. W logu z USBFix nic nie było, toteż tu się już kończy moja rola sprawdzacza. Tą avirą co poleciłaś ? a ten usbvaccine to cały czas ma być taka strzykawka obok zegarka na dole ? Odnośnik do komentarza
picasso Opublikowano 8 Września 2010 Zgłoś Udostępnij Opublikowano 8 Września 2010 Po próbie instalacji Ie8 jest to Hmmm, nie widzę tu żadnego odnośnika do "language". Gdzie to widzisz? Rzeczywiście, jest tu jakiś problem. Instalator IE8 żąda instalacji starej łatki, która jest już częścią SP3. SP3 masz zainstalowany (co widać w nagłówku loga). Pogrzebałam na Google i niestety porady w kwestii tego błędu są sprowadzone do sekwencji: deinstalacja SP3 > instalacja łaty > instalacja IE8 > instalacja SP3. To jest tu niemożliwe, bo SP3 nie figuruje u Ciebie na liście Dodaj / Usuń. Sprawdź jaką wersję ma plik, który ta fatalna łata KB932823 ma podmieniać: C:\WINDOWS\system32\msctf.dll W SP3 powinien mieć on następujący status: u kolegi tego na kompie w domu działa normalnie... być może w szkole w czasie kopiowania coś się doczepiło... Co u Ciebie a u kolegi = nie możesz tego brać za odnośnik sytuacyjny. Gra siedziała u Ciebie podczas działania wirusa Sality (i do teraz nie jest jasne w jaki sposób on się przedostał, z którego źródła). To oznacza, że każdy plik wykonywalny na dowolnym dysku mógł być wystawiony na infekcję, a już później przetwarzany i "naprawiany" przez SalityKiller. Naprawianie plików zawirusowanych nie zawsze oznacza plik działający. Dlatego sprawdź co się stanie po wymianie plików gry nowymi. Tą avirą co poleciłaś ? a ten usbvaccine to cały czas ma być taka strzykawka obok zegarka na dole ? Tak, Avira się akurat nada. Tak, strzykawka koło zegarka siedzi, to jest ten mały strażnik Pandy. Panda realizuje u Ciebie dwa zadania: statyczną immunizację w rejestrze blokującą całkowicie odczyt pliku autorun.inf w Windows (blokada pozostaje po usunięciu Pandy, o ile przed usunięciem nie odkręcisz tego w Computer Vaccination lub nie wykonasz ręcznej edycji rejestru) oraz ochronę trybu rzeczywistego tłowym strażnikiem (pilnowanie procesu powstawania plików autorun.inf). . Odnośnik do komentarza
kerpal Opublikowano 8 Września 2010 Autor Zgłoś Udostępnij Opublikowano 8 Września 2010 Z SP3 to jest tak: 2 lata temu wyszło GTA 4, taka gra ;p nie wiem czy się orientujesz... no i do odpalenia jej potrzebny był SP3, a nie chcialem instalowac, wiec znalazlem sposob na oszukanie gry i systemu tak zeby odczytywal ze mam SP3... a ten plik tak wygląda : A czym sformatować ten dysk przenosny? jakims programem czy standardowym z windowsa ? Odnośnik do komentarza
picasso Opublikowano 8 Września 2010 Zgłoś Udostępnij Opublikowano 8 Września 2010 Oczywiście tej łaty nie masz zainstalowanej, plik jest w starszej wersji niż wymagana. Masz 5.1.2600.2180, łata KB932823 aplikuje 5.1.2600.3224, a SP3 podbija do progu z mojego obrazka 5.1.2600.5512. I nic dziwnego: Z SP3 to jest tak: 2 lata temu wyszło GTA 4, taka gra ;p nie wiem czy się orientujesz... no i do odpalenia jej potrzebny był SP3, a nie chcialem instalowac, wiec znalazlem sposob na oszukanie gry i systemu tak zeby odczytywal ze mam SP3... No to wszystko jasne i na dodatek stwarzasz sobie iluzję zabezpieczeń (!). Usuń ten tweak > zainstaluj IE8 i tę łatkę > zainstaluj SP3. 1. Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows Dwuklik na wartość CSDVersion. W trybie haxadecymalnym wymień aktualnie figurującą tam liczbę 300 (SP3) na 200 (SP2). Po edycji zresetuj komputer. 2. Montujesz w następującej kolejności: poprawka KB932823 i IE8, a następnie pełny Service Pack 3. Nie kręć nosem, to jest mus w zabezpieczeniach! Na takich oszustwach wersji SP daleko się nie zajedzie. Prędzej czy później nadziewa się system na jakiś problem. . Odnośnik do komentarza
kerpal Opublikowano 8 Września 2010 Autor Zgłoś Udostępnij Opublikowano 8 Września 2010 A co z tym dyskiem ? Odnośnik do komentarza
picasso Opublikowano 8 Września 2010 Zgłoś Udostępnij Opublikowano 8 Września 2010 Jakim dyskiem? USB? Przecież miałeś go przeskanować antywirusem na wszelki wypadek. Mówiłam: w USBFix nie było widocznych w root dysku żadnych plików infekcyjnych. Moja rola w sprawdzaniu plików na tym dysku się skończyła. Odnośnik do komentarza
kerpal Opublikowano 8 Września 2010 Autor Zgłoś Udostępnij Opublikowano 8 Września 2010 Wiem, ale chcę go sformatować całkowicie... zrobić to standardowym z windowsa czy innym programem jakimś ? Odnośnik do komentarza
picasso Opublikowano 8 Września 2010 Zgłoś Udostępnij Opublikowano 8 Września 2010 To już obojętne, format to format. Może być użyte do tego procesu zwyczajne narzędzie systemowe do formatu. Odnośnik do komentarza
kerpal Opublikowano 8 Września 2010 Autor Zgłoś Udostępnij Opublikowano 8 Września 2010 No i pupa zbita, pod koniec instalacji sp3 pojawił się napis ODMOWA DOSTĘPU i po niej wszystko automatycznie sie usuwalo... Robiłęm wszystko zgodnie z kolejnością... Ja to mam szczęscie :/ Odnośnik do komentarza
picasso Opublikowano 8 Września 2010 Zgłoś Udostępnij Opublikowano 8 Września 2010 No i pupa zbita, pod koniec instalacji sp3 pojawił się napis ODMOWA DOSTĘPU i po niej wszystko automatycznie sie usuwalo... Patrząc na ostatni z logów widzę, że działa ten obskurny emulator napędów wirtualnych, a to może być problem: DRV - [2009-05-07 11:35:26 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Znów go włączyłeś. Czyli: Defogger do ręki i akcja wyłączania SPTD, następnie SP3 instaluj z poziomu Trybu awaryjnego. Jeśli instalacja przejdzie pomyślnie, za pomocą Defoggera uaktywnisz SPTD. . Odnośnik do komentarza
kerpal Opublikowano 9 Września 2010 Autor Zgłoś Udostępnij Opublikowano 9 Września 2010 (edytowane) AVIRA wykrył w tym dysku SALITY, CONFICKERA, TATERFA i inny jakiś... od razu dałem formatowanie, nawet nie wchodziłem do tego dysku... Po wyłączeniu w defoggerze sptd oraz po wlaczeniu trybu awaryjnego dalej jest ODMOWA DOSTEPU Edytowane 9 Września 2010 przez picasso Posty połączyłam. //picasso Odnośnik do komentarza
picasso Opublikowano 9 Września 2010 Zgłoś Udostępnij Opublikowano 9 Września 2010 1. Wykonaj kroki z artykułu KB949377. Konkretniej: narzędzie Fix it resetujące uprawnienia, a po tym ponów instalację w Trybie awaryjnym. 2. Przy kolejnym wystąpieniu błędu dołącz log aktualizacyjny: C:\WINDOWS\svcpack.log. Odnośnik do komentarza
kerpal Opublikowano 9 Września 2010 Autor Zgłoś Udostępnij Opublikowano 9 Września 2010 I teraz następny problem, SP3 chyba normalnie sie zainstalowal ale po resecie mam czarne okna, ciezko w ogole cos wlaczyc, nawet screena musialem zapisac jako bmp bo w jpeg nie moglem trafic bo czarne wszystko... Przed instalacja mialem wrzucone themesy do windowsa, ale na czysto, bez zadnego windows blinds. Co zrobić ? Odnośnik do komentarza
Rekomendowane odpowiedzi