Landuss
-
Postów
6 919 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Landuss
-
-
Widać infekcję z mediów przenośnych.
1. Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt:
:OTL O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1993962763-1292428093-839522115-1003..\Run: [dso32] C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\dsoqq.exe () O4 - HKLM..\RunOnceEx: [Flag] Reg Error: Invalid data type. File not found :Files J:\autorun.inf C:\bu8.exe D:\bu8.exe E:\bu8.exe J:\bu8.exe C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\dsoqq.exe C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\dsoqq0.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints]
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowe logi z OTL.
2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji 5 i pokaż wynikowy raport.
.
-
Nic tu więcej nie widać na usuwanie. Standardowo użyj opcji CleanUp
Nie widze u ciebi zabezpieczenia przed tymi infekcjami a powinieneś to wykonać. Propobuję Panda USB Vaccine
-
Są ślady po infekcji z mediów przenośnych. Trzeba to usunąć.
Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt:
:OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.selectedEngine: "Winamp Search" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2010-04-14 17:20:39 | 00,001,196 | ---- | M] () -- C:\Documents and Settings\Kasia\Dane aplikacji\Mozilla\FireFox\Profiles\agmcu41o.default\searchplugins\winamp-search.xml :Files C:\WINDOWS\Tasks\desktop.ini :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] [clearallrestorepoints]
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowy log z OTL.
.
-
W takim razie możliwe, że już tej infekcji tu nie ma. Tak jak mówię ja w logach nie widziałem żadnego komponentu świadczącego o jej aktywności. Obserwuj system i tyle pozostaje zrobić. Przy takiej infekcji nigdy nic nie wiadomo.
Wykonaj obowiązkowe aktualizacje:
Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03
Do uzupełnienia SP3 i IE8 oraz do wyrzucenia koszmarnie stara Java: INSTRUKCJE.
.
-
Mimo wszystko zamontuj taki skrypt do OTL:
:Processes killallprocesses :Files F:\autorun.inf F:\$RECYCLE.BIN F:\RECYCLER C:\RECYCLER :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 "Hidden"=dword:00000001 "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @=""
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie pokazujesz mi nowo zrobiony log z USBFix z opcji 5.
.
-
Widać tu między innymi rootkita:
DRV - [2010/05/17 17:12:46 | 000,000,000 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\nvgubxm.sys -- (nvgubxm)
Czyli sprawa infekcyjna więc zabieramy się za usuwanie.
1. Skonstruuj skrypt tekstowy, który zostanie załadowany w OTLPE. Otwórz Notatnik i wklej w nim:
:Files C:\WINDOWS\System32\fjhdyfhsn.bat C:\WINDOWS\system32\drivers\nvgubxm.sys C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\NetworkService\Dane aplikacji\qvjsge.dat C:\Documents and Settings\dom\Menu Start\Programy\Autostart\wwwzuc32.exe :Services nvgubxm :OTL O2 - BHO: (no name) - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - No CLSID value found. O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O4 - Startup: C:\Documents and Settings\dom\Menu Start\Programy\Autostart\wwwzuc32.exe (Ghisler Software GmbH) :Commands [emptytemp]Plik zapisz pod nazwą FIX.TXT
2. Plik FIX.TXT umieść na pendrive lub innym urządzeniu przenośnym, które może być podpięte do komputera.
3. Podpinasz urządzenie przenośne startujesz z płyty OTLPE.
4. Uruchamiasz z Pulpitu program OTLPE zgodnie ze wskazówkami montując rejestr. Klikasz w Run Fix. Zostanie zgłoszony komunikat o braku skryptu i wtedy wskazujesz plik o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, który zachowasz bo będziesz go prezentował.
5. Wykonujesz restart komputera. Jeśli całe zadanie się uda, system Windows zastartuje prawidłowo.
6. Wytwarzasz z poziomu systemu już normalny log z OTL + GMER. Dołączasz także log z OTLPE powstały z czyszczenia.
.
-
Skrypt wykonany i w logach nie widzę już niczego na usuwanie. Użyj opcji CleanUp z OTL.
Możesz wejść jeszcze w start >>> uruchom >>> wpisz devmgmt.msc i na liście sprawdź czy nie masz jakichś pozycji z pytajnikiem lub wykrzyknikiem. Jeśli coś takiego jest to z prawokliku to odinstaluj i wykonaj restart komputera.
-
Jeżeli tu jest Sality to w logach tego nie zobaczymy. To infekcja w kodzie plików. Czasami jest widoczna część tej infekcji w postaci bezplikowej usługi, u ciebie takiego czegoś nie widzę. W takim wypadku każdy problem możesz wiązać z tą infekcją. Proponuję skan z zewnątrz. Czyli na innym komputerze wykonać bootowalną płytkę Dr. Web LiveCD i za jej pomocą przeskanować cały dysk wielokrotnie.
-
Sytuacja wygląda na opanowaną. Prosze wykonać kroki finalne.
1. Użyj opcji CleanUp z OTL.
2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine
3. Wykonaj obowiązkowe aktualizacje:
Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 13
"{AC76BA86-7AD7-1033-7B44-A82000000003}" = Adobe Reader 8.2.2
Należy uzupełnić SP3 i IE8 oraz zaktualizować Java i Adobe: KLIK
.
-
Widać infekcje z urządzeń przenośnych. Na początek może podepnij wszelkie urządzenia jakie masz pod reką i uruchom USBFix z opcji 5 i pokaż wynikowy raport.
Windows zawiesza się w czasie startu systemu
w Dział pomocy doraźnej
Opublikowano
To jeszcze drobne poprawki tym razem już spod systemu normalnie.
1. Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt:
Kliknij w Run Fix. Zatwierdź restart komputera.
2. Z Panelu sterowania >>> dodaj/usuń programy odinstaluj śmieci DAEMON Tools Toolbar / Ask Toolbar
3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. W OTL prosze zaznacz opcję Extra Registry tak aby uzyskać też log dodatkowy extras.txt Pokazujesz nowe logi z OTL.
.