Ranym

Ale format zamierzam zrobić tak czy tak. Nie wiem jeszcze kiedy, więc i tak spróbuję jutro zrobić to z Combofixem.

Okej, jutro to zrobię. Dziś już nie dam rady. Ale mam jedno pytanie: Czy format dysku C w jakiś sposób pomoże? Bo i tak niedługo zamierzam zrobić format i zmienić system na Windows 7.

No nie za bardzo się udało - wciąż przy próbie wyłączenia komputera wyskakuje hello4.exe z "zakończ teraz", a gdy włączam komputer włącza się okno Black Window2.

Skan z AD-Removera, reszta w załącznikach. ======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 ======= Updated by TeamXscript on 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com website: http://www.teamxscript.org C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Launched at 21:58:14 on 21/09/2011, Normal boot Microsoft Windows XP Professional Dodatek Service Pack 3 (X86) Mynar@DOM-9E54197A8A2 ( ) ============== SEARCH ============== ============== ADDITIONNAL SCAN ============== -- C:\Documents and Settings\Mynar\Dane aplikacji\Mozilla\FireFox\Profiles\ub2na79f.default -- Extensions\battlefieldheroespatcher@ea.com (Battlefield Heroes Updater) Searchplugins\google-pl.xml (?) Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Mynar\\Moje dokumenty\\Pobieranie Prefs.js - browser.search.selectedEngine, Google PL Prefs.js - browser.startup.homepage_override.buildID, 20110615151330 Prefs.js - browser.startup.homepage_override.mstone, rv:5.0 ======================================== **** Google Chrome Version [14.0.835.163] **** -- C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default -- Preferences - default_search_provider: "Google" (Enabled: true) (?) Preferences - homepage: hxxp://www.google.com Preferences - homepage_is_newtabpage: false ======================================== **** Internet Explorer Version [8.0.6001.18702] **** HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Start Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157 HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157 HKLM_ElevationPolicy\{76E2369A-75BA-41F9-8B9E-16059E5CF9A6} - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe (JillIlonaArturoJessicaPershing Spirogyra LancasterVasquezPhilDoreen) HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) ======================================== C:\Program Files\Ad-Remover\Quarantine: 0 File(s) C:\Program Files\Ad-Remover\Backup: 1 File(s) C:\Ad-Report-SCAN[1].txt - 21/09/2011 21:54:46 (436 Byte(s)) C:\Ad-Report-SCAN[2].txt - 21/09/2011 21:58:17 (436 Byte(s)) End at: 22:01:32, 21/09/2011 ============== E.O.F ============== Extras.Txt OTL.Txt

Przepraszam - pomyliłem się. Za drugim razem po kliknięciu reboot now w TDSSKillerze po resecie już nic on nie wykrywa. Skan z GMER'a zaraz wkleję Edit: Kaspersky nic nie wykrywa, a jedyne co pojawiło się w GMERZE to: GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2011-09-21 21:44:55 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD4000AAJB-00YRA0 rev.12.01C02 Running: cbw1hg2f.exe; Driver: C:\DOCUME~1\Mynar\USTAWI~1\Temp\kgxirkob.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF69EF000, 0x2AAE02, 0xE8000020] ---- EOF - GMER 1.0.15 ---- Ale wirus wciąż jest aktywny, bo gdy rebootowałem komputer po kaspersky'm to pojawiły się na chwile te okienka i przez hello4.exe nie mogę wyłączyć komputera.

Raport z TDSSKillera \Device\Harddisk0\DR0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot \Device\Harddisk0\DR0 - ok Tylko, że jak resetuję komputer w kolejnym skanie jest to samo.

Witam. Dzisiaj włączyłem komputer i ku mojemu zdziwieniu, pojawiły się 2 okienka o nazwach Hello4 i Blank Window2. Komputer pracuje jakby wolniej, a hello4 uniemożliwia mi wyłączenie komputera (wyskakuje okienko z napisem "zakończ teraz" które pojawia się ponownie po kliknięciu. Edit: Zapomniałem napisać, że od kiedy pojawiło się te okienko, przycinają mi się filmy, zarówno te na youtube jak i te z dysku twardego. Btw. Usunąłem daemon tools lite przez panel sterowania, a sptdinst nie wykrył sterowników. Obowiązkowe skany w załącznikach. Nowy dokument tekstowy - GMER. OTL.Txt Extras.Txt Nowy Dokument tekstowy.txt

Nie było tak ciężko :> Dzięki wielkie za pomoc, wszystko jest już OK

Logi OTL.Txt

========== OTL ========== Error: No service named abp470n5 was found to stop! Service\Driver key abp470n5 not found. Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully. Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully. Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr not found. Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found. ========== COMMANDS ========== OTL by OldTimer - Version 3.2.26.1 log created on 07182011_202135

Nie wiem czy o to chodziło z tym raportem z Sality Killer, skopiowalem to co pisało w okienku po ukończeniu skanu Virus.Win32.Sality.aa,ae,ag,bh removing tool, Kaspersky Lab 2010 version 1.3.6.0 Nov 12 2010 10:13:11 scanning threads ... scanning processes ... fixing registry ... Monitoring thread started SalityRegCure: Restoring general registry keys SalityRegCure: Fixing system.ini scanning drives ... scanning C:\ ... C:\Program Files\Messenger\msmsgs.exe infected Virus.Win32.Sality.aa ...not cu red scanning D:\ ... scanning E:\ ... Monitoring thread stopped completed Infected files: 1 Infected processes: 0 Infected threads: 0 Cured files: 0 Will be cured on reboot: 0 Executed registry scripts: 1 Aby kontynuować, naciśnij dowolny klawisz . . . Nie wyleczyło pliku msmsgs.exe nawet po kilku próbach Dodałem ten wpis do rejestru o trybie awaryjnym. Logi z OTL w załącznikach. EDIT: Po poprzednim skanie SalityKillerem menedżer zadań i rejestr działał, aż do restartu komputera. Po nim znowu były one zablokowane i w skanie SalityKillerem pojawił się nowy wpis na samym początku: Infected thread was killed in process msmsgs.exe with PID 2028. Usunąłem ten plik msmsgs.exe i wszystko jest OK, chociaż nie wiem czy pozbyłem się wirusa dobrze. OTL.Txt

Witam. Na moim komputerze kilka dni temu pojawił się dziwny wirus, objawiał się on tym, że blokował mi dostęp do Menedżera zadań, rejestru, oraz po kilku minutach od włączenia pojawiał się komunikat, że mam 60 sekund na zapisanie danych, a po tym czasie wyłączy się komputer. Ten ostatni problem zlikwidowałem poprzez ustawienia w panelu sterowania, jednakże wirus wciąż blokuje mi dostęp do menedżera zadań oraz rejestru (zawsze gry je odblokuje, po ponownym włączeniu komputera problem wraca). Przeskanowałem komputer programem Dr. Web CureIt i rzeczywiście wykrył kilka zainfekowanych plików (zainfekowane wirusem win32.sector.5 i innymi, niestety nie pamietam jakimi, coś w stylu TrojanDownloader lub coś takiego). Przeniósł je do folderu kwarantanna, który następnie usunąłem. Używałem również tego pliku do usuwania Sality, a mianowicie rmslt.exe. Po ponownym uruchomieniu PC wciąż nie mam dostępu do menedżera i rejestru, więc nie pozbyłem się wirusa. Czy ten wirus to Sality? Wszystko na to wskazuje i w logu z OTL jest coś z abp470n5. Co mogę zrobić? Log z GMERa, reszta w załącznikach: GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2011-07-17 21:38:16 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD4000AAJB-00YRA0 rev.12.01C02 Running: ij417o3z.exe; Driver: C:\DOCUME~1\Mynar\USTAWI~1\Temp\kgxirkob.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF6A83000, 0x2A12DC, 0xE8000020] ? C:\WINDOWS\system32\drivers\jitlql.sys Nie można odnaleźć określonego pliku. ! ---- User code sections - GMER 1.0.15 ---- .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtCreateFile + 6 7C90D0B4 4 Bytes [28, 00, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtCreateFile + B 7C90D0B9 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtMapViewOfSection + 6 7C90D524 1 Byte [28] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtMapViewOfSection + 6 7C90D524 4 Bytes [28, 03, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtMapViewOfSection + B 7C90D529 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenFile + 6 7C90D5A4 4 Bytes [68, 00, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenFile + B 7C90D5A9 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcess + 6 7C90D604 4 Bytes [A8, 01, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcess + B 7C90D609 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcessToken + 6 7C90D614 4 Bytes CALL 7B90EC1A .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcessToken + B 7C90D619 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcessTokenEx + 6 7C90D624 4 Bytes [A8, 02, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenProcessTokenEx + B 7C90D629 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThread + 6 7C90D664 4 Bytes [68, 01, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThread + B 7C90D669 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThreadToken + 6 7C90D674 4 Bytes [68, 02, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThreadToken + B 7C90D679 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThreadTokenEx + 6 7C90D684 4 Bytes CALL 7B90EC8B .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtOpenThreadTokenEx + B 7C90D689 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtQueryAttributesFile + 6 7C90D714 4 Bytes [A8, 00, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtQueryAttributesFile + B 7C90D719 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtQueryFullAttributesFile + 6 7C90D7B4 4 Bytes CALL 7B90EDB9 .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtQueryFullAttributesFile + B 7C90D7B9 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtSetInformationFile + 6 7C90DC64 4 Bytes [28, 01, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtSetInformationFile + B 7C90DC69 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtSetInformationThread + 6 7C90DCB4 4 Bytes [28, 02, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtSetInformationThread + B 7C90DCB9 1 Byte [E2] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtUnmapViewOfSection + 6 7C90DF14 1 Byte [68] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtUnmapViewOfSection + 6 7C90DF14 4 Bytes [68, 03, 16, 00] .text C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] ntdll.dll!NtUnmapViewOfSection + B 7C90DF19 1 Byte [E2] ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Documents and Settings\Mynar\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[772] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!CreateNamedPipeW] 002C0010 ---- EOF - GMER 1.0.15 ---- Extras.Txt OTL.Txt