Sality

[Javier]

Witam,
Po zainstalowaniu avastu , przeprowadziłem skan przed uruchomieniem systemu. Avast wykrył mi Sality i nie było możliwości wyleczenia tych plików lecz tylko ich usunięcie. Chciałbym się upewnić czy coś jest jeszcze w systemie zostało, czy avast sobie poradził z sality całkowicie ?

System Win Xp Home Edition SP3

Pozdrawiam

OTL.Txt

Extras.Txt

[diox]

Gdzie,w jakich folderach wykryło Sality? Na wszelki wypadek przeskanuj się SalityKiller: http://support.kaspersky.com/downloads/utils/salitykiller.zip , gdy wykryje 0 zarażonych plików,pobierz Sality_Regkeys: http://support.kaspersky.com/downloads/utils/sality_regkeys.zip , z paczki wyodrębnij SafeBootWinXP.reg,prawym na plik>Scal>Potwierdź edycję rejestru.

[Javier]

Własnie problem w tym że nie pamiętam, jakie to były pliki ? Czy idzie gdzieś sprawdzić jakiś raport z avasta jakie infekcje wyłapał i ewentualnie wyleczył lub naprawił ? SalityKiller nie wykryło. A czy w moim raporcie OTL nie ma żadnego innego syfu ?

[diox]

Wejdź w Avasta>Konserwacja>Kwarantanna. Daj nowe logi z OTL i poczekaj na moderatorów działu.

[Javier]

Tu są te pliki które znalazło:

[picasso]

Podwójne raporty z OTL zbędne (usuwam nadwyżkę), SalityKiller żadnych widzialnych zmian nie robił (kontekst pierwszego raportu w których nie ma żadnych wpisów dedykowanych przez SalityKiller). Natomiast zabrakło obowiązkowego raportu z GMER i system w ogóle nie przygotowany do jego uruchomienia, działa Alcohol i jego sterownik SPTD:

 

SRV - [2007-05-28 18:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) [Auto | Running] -- C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
 
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (amxdw2i0)
DRV - [2012-05-13 13:46:58 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

SalityKiller nic nie wykrył, ale czy Avast nadal coś widzi? Co do OTL, to mało co widać: autoryzacje Zapory są upstrzone wpisami Sality (charakterystyczne opisy "ipsec") oraz drobne wpisy adware. Wykonaj następujące czynności:

 

1. Przez Panel sterowania odinstaluj programy wykryte przez Avasta jako naruszone przez Sality: ASUS Live Update, LifeFrame2, Nikon. Przy okazji usuń i zbędny w układzie z Avastem skaner Spybot - Search & Destroy 2. Skaner lata świetności ma za sobą.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\ewelinka\Dane aplikacji\Funmoods
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=utt&from=utt&uid=071116BB0200WBH4AWTC_HitachiHTS542512K9SA00&ts=1342291660"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.v9.com/web/?q={searchTerms}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.v9.com/web/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0Ezz0CyD0D0EtC0FtByDzztB0CtN0D0Tzu0CtAyDtDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=726391649"
IE - HKU\S-1-5-21-1575059526-794028785-816408961-1006\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0Ezz0CyD0D0EtC0FtByDzztB0CtN0D0Tzu0CtAyDtDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=726391649"
IE - HKU\S-1-5-21-1575059526-794028785-816408961-1006\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&babsrc=SP_ss&mntrId=e8cd582c0000000000000015af6fe0f2"
IE - HKU\S-1-5-21-1575059526-794028785-816408961-1006\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoPropertiesMyComputer = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileAssociate = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1575059526-794028785-816408961-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1575059526-794028785-816408961-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj oraz zaległy GMER. Uruchom SystemLook i w oknie wklej do skanu:

 

:dir

C:\
D:\

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Javier]

a jak mam wywalić ten alkohol i sterownik skoro nigdzie nie widzę bym miał to zainstalowane ? jakieś pozostałości zostały ?

[picasso]

Instrukcje usuwania emulacji w ogłoszeniu: KLIK.

 

 

.

[Javier]

Witam, przepraszam że tak po długiej przerwie, ale obronę miałem więc nie miałem czasu robić z laptopem.

A i zauważyłem ze przeglądarka google chrome, gdy ją załączę jak uruchomię laptopa to strasznie mieli długo, wiesza się i dopiero po kilku minutach da się przeglądać internet. Gdy ją wylącze i ponownie włącze jest to samo. Explorer normalnie chodzi. Czym to może być spowodowane ? Może mieć to związek z tymi czynnościami co wykonałem wcześniej ?

OTL.Txt

Extras.Txt

gmer.txt

AdwCleanerS1.txt

[picasso]

Nie dodałeś raportu z SystemLook. Nie wypowiedziałeś się czy ponowny skan Avast coś wykrywa.

 

Zadania wykonane. Tylko mini korekty:

 

1. Załaduj tylko drobną poprawkę na wyszukiwarki IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{452963E7-292D-62CB-E7E6-52107EED0E72}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Usuń z dysku te foldery:

 

C:\Program Files\Spybot - Search & Destroy 2

C:\Documents and Settings\All Users\Dane aplikacji\ESET

C:\Documents and Settings\ewelinka\Dane aplikacji\ESET

 

 

A i zauważyłem ze przeglądarka google chrome, gdy ją załączę jak uruchomię laptopa to strasznie mieli długo, wiesza się i dopiero po kilku minutach da się przeglądać internet. Gdy ją wylącze i ponownie włącze jest to samo.

 

Aktualnie log OTL nawet nie wykrywa całej konfiguracji Google Chrome. Było:

 

========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\24.0.1312.56\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\24.0.1312.56\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\24.0.1312.56\gcswf32.dll
CHR - plugin: Shockwave Flash (Disabled) = C:\Documents and Settings\ewelinka\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 8.0\Reader\Browser\nppdf32.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npwmsdrm.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npdrmv2.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Program Files\Windows Media Player\npdsplay.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll
CHR - plugin: Java™ Platform SE 6 U32 (Enabled) = C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: Java Deployment Toolkit 6.0.320.5 (Enabled) = C:\WINDOWS\system32\npdeployJava1.dll
CHR - plugin: RealPlayer™ G2 LiveConnect-Enabled Plug-In (32-bit)  (Enabled) = C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll
CHR - plugin: RealPlayer Version Plugin (Enabled) = C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll
CHR - Extension: avast! WebRep = C:\Documents and Settings\ewelinka\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1474_0\

 

Jest:

 

========== Chrome  ==========
 
CHR - Extension: avast! WebRep = C:\Documents and Settings\ewelinka\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1474_0\

 

Czy przeglądarka była reinstalowana? Jeśli nie, to ja bym na czysto ją przeinstalowała.

 

 

 

.

[Javier]

Witam.

Avastem przeskanowałem i takie były wyniki wyszukiwania:


Zrobiłem wszystko punkt po punkcie.
Przeinstalowałem teraz właśnie google chrome.

Zrobić ponowne logi z otl i gmer ?

SystemLook.txt

[picasso]

Avastem przeskanowałem i takie były wyniki wyszukiwania

 

Nieistotne odczyty.

 

 

Przeinstalowałem teraz właśnie google chrome.

 

Nie wypowiadasz się jednak czy ma to pozytywne skutki.

 

 

Zrobić ponowne logi z otl i gmer ?

 

Logi nie są mi już potrzebne.

 

 

.

[Javier]

Wybacz, tak póki co teraz załącza się normalnie chrome i można używać odrazu neta, lecz nie wiem czym spowodowane może być to że w trakcie przełączania między kartami przeglądarki strona zamiast w całości się pokazać tak jakby rozwija się od góry, delikatnie się wiesza.

Czy to oznacza ze system jest już czysty ?

[picasso]

w trakcie przełączania między kartami przeglądarki strona zamiast w całości się pokazać tak jakby rozwija się od góry, delikatnie się wiesza.

 

Czy aktualnie w Google Chrome po reinstalacji są zainstalowane jakieś rozszerzenia?

 

 

Czy to oznacza ze system jest już czysty ?

 

Jeśli skan Avast na pewno nic nie wykrywa, to sądzę, że infekcja jest wyleczona.

 

 

 

.

[Javier]

Tak, jest rozszerzenie avast! WebRep 7.0.1474 i Dokumenty Google 0.5.

 

a tak po za tematem to czy da się ogólnie jakoś przyspieszyć ten system ? czy mam pytać o to w innym dziale. Chodzi mi ogólnie o jakie aplikacje czy programy moge wywalić by nie potrzebnie nie były ładowane i nie zużywały pamięci.

[Kate]

chrome jak w pamięci zabiera dużo miejsca to nawet bez wtyczek robi takie pokazywanie się stron jak żaluzje

[picasso]

Javier

 

Zamknięcie czyszczenia:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Porównaj co wymaga aktualizacji: KLIK.

 

 

a tak po za tematem to czy da się ogólnie jakoś przyspieszyć ten system ? czy mam pytać o to w innym dziale. Chodzi mi ogólnie o jakie aplikacje czy programy moge wywalić by nie potrzebnie nie były ładowane i nie zużywały pamięci.

 

No cóż, ja tu cudów się nie spodziewam. Najbardziej rozgałęziony soft zewnętrzny to niestety Avast, czego nie ma sensu wyłączać (redukcja ochrony), a ogólnie antywirusy są obecnie rozbudowane i pewne koszta system musi ponieść.

 

1. Pomijając Avast:

- Możesz odinstalować Secunia PSI. Odpadnie kilka usług.

- Możesz wyłączyć via Autoruns (karta Services) usługi aktualizacyjne Google, Java i Skype.

 

1. Dodatkowo, biednie z wolnym miejscem na dysku (taki mały obszar może być przyczyną zmulenia), a system plików to archaiczny FAT32 (większa awaryjność niż NTFS):

 

Drive C: | 67,05 Gb Total Space | 1,73 Gb Free Space | 2,57% Space Free | Partition Type: FAT32

 

 

 

.

[Javier]

Dzięki wielkie zrobiłem wszystko jak wyżej, A co do wolnego miejsca to już jak pisałem poprzedniego posta to miałem 14 Gb wolnego miejsca.

Mam nadzieje że lapek pochodzi przez jakiś czas

Jeszcze raz dziękuje za czas i za pomoc.

[diox]

Użyj jeszcze Puran Defrag Free Edition (zwykłą defragmentację + Boot Time) .