Gwiazdoor Opublikowano 14 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2014 Witam, Prosiłbym o sprawdzenie logów, bo pewnie coś zostało po dość ciężkiej walce z wirusami głównie z rodziny Win32 / Sality. OTL: http://wklej.org/id/1333057/ http://wklej.org/id/1333060/ FRST: 1. http://wklej.org/id/1333068/ 2. http://wklej.org/id/1333069/ 3. http://wklej.org/id/1333070/ Security Check: Results of screen317's Security Check version 0.99.81 Windows XP Service Pack 3 x86 Internet Explorer 6 Out of date!``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! ESET Online Scanner v3 `````````Anti-malware/Other Utilities Check:````````` CCleaner Java 7 Update 17 Java version out of Date! Adobe Flash Player 12.0.0.77 Mozilla Firefox (28.0)````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` Z góry dziękuję za pomoc. Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 Brakuje obowiązkowego raportu z GMER. Przedstaw również co robiłeś, jakie skanery używane (widzę Kaspersky Virus Removal Tool i Dr. Web), jakie były statystyki skanerów (ile uszkodzeń) i które dyski były skanowane (nie wystarczy C, Sality atakuje wszystkie): ==================== Drives ================================ Drive c: () (Fixed) (Total:74.52 GB) (Free:17.57 GB) NTFS Drive d: () (Fixed) (Total:48.83 GB) (Free:47.52 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive e: () (Fixed) (Total:62.98 GB) (Free:33.8 GB) NTFS W logu nadal sterownik Sality, więc jest niepewnym czy infekcja jest zatrzymana. Ponadto śmieci adware. Sam system zaś jest nieaktualizowany (widać to po starej wersji IE6) i na "witaminie". Dzierganie po Sality na takim podkładzie wydaje się mało zasadne. Nie wiadomo też ile jest uszkodzeń po leczeniu, a szkody mogą wychodzić na jaw stopniowo. Tu klaruje się zalecenie formatu i czystej instalacji systemu, tylko że chcę tu rozpoznać grunt co było robione i jak. . Odnośnik do komentarza
Gwiazdoor Opublikowano 15 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 Już podaję co i jak. Myślałem że jakoś pomogę podejmując akcję samemu no ale jak widzę nic za wiele to nie zmieniło. Komputer jest znajomej, ma kilka dobrych lat, z tego co zauważyłem i co mówiła to miała wymieniane podzespoły bez przeinstalowywania systemu już spory czas temu ale nie miała nigdy z nim problemów. Najgorsze jest to że chce uniknąć Formatu bo ma programy na których jej zależy, z którymi może mieć potem problem żeby je na nowo zainstalować. ( przekazuje to co ona przekazała mi ). Z tego co pamiętam Użyłem: Kaspersky Virus Removal Tool - chyba nic nie wykrył. Dr. Web - wykrył kilka zagrożeń, także zarażonych plików .exe które usunąłem. Skanowałem tyle razy aż nic nie wykrył. Sality Killer - wykrywał tego dużo - skanowałem aż nic nie wykrył. TDSS Killer - nic nie wykrył. AVG Virus Removal - nic nie wykrył. ESET Online Scaner - wykrył 16 zagrożeń jak pamiętam - wyleczyłem / usunąłem. AdwareCleaner - standardowo usunąłem co pokazał. Z programów to chyba tyle. Dodam że dyski nie chciały się otwierać - Był napis "Hello World" Dodałem do rejestru wpis Safe Mode Boot XP. Dyski były wszystkie skanowane. Wyłączyłem przywracanie systemu. Jeśli nie obejdzie się bez przeinstalowania systemu to będę musiał ja o tym poinformować, no i żeby nabyła jakiś normalny system, bo fakt - praca na czymś takim do przyjemnych i bezpiecznych nie należy, tylko nie wiem czy dostanie jeszcze gdzieś XP, bo Windows 7 to raczej ciężko na tym sprzęcie będzie chodził. Jak tylko zrobię skan z GMER to zaraz wrzucę. EDIT: Wrzucam szybki skan - pełny wrzuce wieczorem. http://wklej.org/id/1333238/ Odnośnik do komentarza
Gwiazdoor Opublikowano 15 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2014 Dodaje pełny skan: http://wklej.org/id/1334007/ Zrobienie tego trochę trwało... Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2014 Najgorsze jest to że chce uniknąć Formatu bo ma programy na których jej zależy, z którymi może mieć potem problem żeby je na nowo zainstalować. ( przekazuje to co ona przekazała mi ). Czy te programy się obecnie uruchamiają? Jeśli któryś odmówi posłuszeństwa, to i tak jest nieunikniona reinstalacja programu, bo już innego sposobu naprawy szkód po Sality nie ma. I widzę, że w programach są głównie gry. Mogę doczyścić co widzę, ale nie gwarantuję co będzie dalej, a niektóre usterki mogą wyjść na jaw znacznie później. Akcja: 1. Otwórz Notatnik i wklej w nim: S3 amsint32; \??\C:\WINDOWS\system32\drivers\hvloj.sys [X] S3 cpuz136; \??\C:\DOCUME~1\www\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS [X] HKLM\...\Run: [fst_pl_96] => [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\www\DANEAP~1\Dealply\UPDATE~1\UPDATE~1.EXE HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119535&babsrc=HP_ss&mntrId=40b8f9ac000000000000002421101264 URLSearchHook: HKCU - (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKCU\...\Firefox\Extensions: [{58bd07eb-0ee0-4df0-8121-dc9b693373df}] - C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension C:\Program Files\Ask.com C:\Program Files\Conduit C:\Program Files\DealPly C:\Program Files\DealPlyLive C:\Program Files\Mobogenie C:\Program Files\PC Speed Maximizer C:\Program Files\predm C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\DealPlyLive C:\Documents and Settings\All Users\Dane aplikacji\SpeedyPC Software C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\www\Dane aplikacji\Babylon C:\Documents and Settings\www\Dane aplikacji\Dealply C:\Documents and Settings\www\Dane aplikacji\DriverCure C:\Documents and Settings\www\Dane aplikacji\SpeedyPC Software C:\Documents and Settings\www\Dane aplikacji\Systweak C:\Documents and Settings\www\Menu Start\Programy\Mobogenie C:\Documents and Settings\www\Menu Start\Programy\Start Lollipop C:\Documents and Settings\www\Pulpit\hs_err_*.log C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\APN C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\AskToolbar C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\DealPlyLive C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\fst_pl_96 C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mobogenie /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Przez Dodaj/Usuń programy odinstaluj zbędnik Akamai NetSession Interface. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Gwiazdoor Opublikowano 16 Kwietnia 2014 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2014 USB Fix: http://wklej.org/id/1334933/ FRST: FixLog; http://wklej.org/id/1334934/ Skan: http://wklej.org/id/1334935/ Resztę zaleceń oczywiście wykonałem. Odnośnik do komentarza
picasso Opublikowano 19 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2014 Na przyszłość: trzymaj się konfiguracji FRST wskazanej w przyklejonym, sekcja Drivers MD5 nie miała być zaznaczona. Wszystko zostało wykonane i nic więcej szkodliwego tu nie widzę. Prowadziłeś wcześniej też różne skany, więc nie zadaję już powtórek. Widzę także, że wykonane zostały różne aktualizacje Windows i IE. Na zakończenie: 1. Odmontuj Dr. Web z Dziennika zdarzeń. Operacja wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń, więc są dwa etapy zadania: - Otwórz Notatnik i wklej w nim: CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. - Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. Przedstaw oba pliki fixlog.txt. Po ich potwierdzeniu: 2. Przez SHIFT+DEL (omija Kosz) usuń poniższe foldery: C:\Documents and Settings\www\Pulpit\FRST C:\Documents and Settings\www\Pulpit\Stare dane programu Firefox C:\found.000 C:\ProgramData C:\Users D:\Kaspersky Rescue Disk 10.0 Foldery ProgramData i Users są folderami nowszych systemów, nie wiadomo skąd one tu na XP. 3. Zastosuj dodatkowo DelFix. 4. Jeśli jakiś program będzie zwracał błędy uruchomienia (szczególnie "Visual..."), oznaczać to będzie jego uszkodzenie i konieczność reinstalacji. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się