osc91 Opublikowano 23 Lipca 2013 Zgłoś Udostępnij Opublikowano 23 Lipca 2013 Witam, mam następujący problem z komputerem, na którym zainstalowany jest Windows XP (32-bit) Service Pack 3. System bardzo bardzo powoli się uruchamia, przy próbie pobrania instalki programu antywirusowego dochodzi do 99% i się zatrzymuje, a co jakiś czas pojawia się błąd http://img19.imageshack.us/img19/354/clcm.jpg.Załączam logi z OTL i GMER (niestety nie mogłem załączyć przez forum, więc daję link) http://chomikuj.pl/osc91/GMER,2938759191.txt. Uprzejmie proszę o pomoc. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2013 Zgłoś Udostępnij Opublikowano 27 Lipca 2013 (edytowane) Niestety, kiepsko. System jest bardzo zainfekowany różnej maści trojanami, ale najgorsza z infekcji to wirus Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Może być wymagane przeformatowanie całego dysku. Pierwsze podejście: 1. Wstępne usunięcie wpisów startowych (to nie zatrzyma infekcji Sality). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.searchamong.com/?source=64020400f00960c0ef04052547b134b3 IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true O4 - HKLM..\Run: [Realtek Audio Manager] C:\Program Files\Common Files\Realtek0\zjiujsnjb.exe (BreakPoint Software) O4 - HKLM..\Run: [winlogon] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\AppServices.exe () O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Def1] C:\Documents and Settings\Administrator\Dane aplikacji\zOYHH\ltc.exe () O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Default] C:\Documents and Settings\Administrator\Dane aplikacji\PKyTK\ltc.exe () O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Driver Update Manager] C:\Documents and Settings\Administrator\Dane aplikacji\Update Drivers\micromgr.exe () O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Realtek Audio Manager] C:\Program Files\Common Files\Realtek0\zjiujsnjb.exe (BreakPoint Software) O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [startup] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Client.exe (legacyLink Inc) O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Win Update Service] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Installer\Install.exe (Microsoft GmbH) O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [winlogon] C:\WINDOWS\121075918\winsys.exe () O4 - HKLM..\RunOnce: [*121075918] C:\WINDOWS\121075918\winsys.exe () O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\RunOnce: [*121075918] C:\WINDOWS\121075918\winsys.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 43444 = c:\docume~1\alluse~1\dxwnsyxjt.exe (BreakPoint Software) O7 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0 O7 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1 O7 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found O27 - HKLM IFEO\hijackthis.exe: Debugger - f_.exe File not found O27 - HKLM IFEO\housecalllauncher.exe: Debugger - rqmynan_.exe File not found O27 - HKLM IFEO\mbam.exe: Debugger - rtqiispq_.exe File not found O27 - HKLM IFEO\mbamgui.exe: Debugger - zjiucdlv_.exe File not found O27 - HKLM IFEO\rstrui.exe: Debugger - dt_.exe File not found O27 - HKLM IFEO\spybotsd.exe: Debugger - z_.exe File not found DRV - File not found [File_System | System | Stopped] -- C:\Program Files\System\CPL Bonus\Vcdrom.sys -- (vcdrom) :Files C:\autorun.inf C:\coosex.exe C:\cacpbb.exe C:\ajdkog.exe C:\WINDOWS\121075918 C:\Program Files\Common Files\Realtek0 C:\Documents and Settings\Administrator\Dane aplikacji\dmplogs C:\Documents and Settings\Administrator\Dane aplikacji\fdirsfjd C:\Documents and Settings\Administrator\Dane aplikacji\Mango C:\Documents and Settings\Administrator\Dane aplikacji\zOYHH C:\Documents and Settings\Administrator\Dane aplikacji\PKyTK C:\Documents and Settings\Administrator\Dane aplikacji\Update Drivers C:\Documents and Settings\Administrator\Dane aplikacji\zocxn C:\Documents and Settings\Administrator\Dane aplikacji\zOYHH C:\Documents and Settings\Administrator\Dane aplikacji\WindowsLogonSS C:\Documents and Settings\Administrator\Dane aplikacji\WindowsLogonSSS C:\Documents and Settings\Administrator\Dane aplikacji\WindowsWideScreen C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Installer C:\Documents and Settings\Administrator\Dane aplikacji\__0004a7c5.lnk C:\Documents and Settings\Administrator\Dane aplikacji\vioplayer_d1983274.exe C:\Documents and Settings\Administrator\Dane aplikacji\b.exe C:\Documents and Settings\Administrator\Dane aplikacji\b8351d73.exe C:\Documents and Settings\Administrator\Dane aplikacji\vio_clean.exe C:\Documents and Settings\Administrator\Dane aplikacji\satoolbar.exe C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6q64kylc.default\searchplugins\SearchAmong Search.xml C:\Documents and Settings\Administrator\AppServices.exe C:\Documents and Settings\Administrator\Pulpit\vba1.ini C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\dxcofs.exe C:\Documents and Settings\All Users\dxwnsyxjt.exe C:\WINDOWS\System32\WC.com C:\WINDOWS\System32\cygwinb19.dll C:\WINDOWS\System32\zlib1.dll C:\WINDOWS\System32\CabTool.exe C:\WINDOWS\System32\theowl.dll :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Pobierz SalityKiller. Wykonaj nim skan do skutku, tzn. po pierwszy przebiegu musi być powtórzony tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. Dopiero wtedy: 3. Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg i potwierdź import do rejestru. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi: OTL z opcji Skanuj (ma powstać ponownie plik Extras) + GMER + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller. . Edytowane 20 Września 2013 przez picasso 20.09.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi