lookaka Opublikowano 28 Stycznia 2014 Zgłoś Udostępnij Opublikowano 28 Stycznia 2014 Witam, komputer zastałem w stanie jak w raportach z OTL. Wiem, że wcześniej był combofix - znalazłem na dysku jedyny log i też go załączyłem. Z komputerem nadal nie jest zbyt dobrze - m.in. przy próbie uruchomienia regedit.exe jest komunikat "Edycja rejestru została wyłączona przez administratora sieci" czy np. próba uruchomienia menadżera zadań daje komunikat "Menadżer zadań został wyłączony przez administratora". Z góry dziękuję za ewentualną pomoc. Pozdrawiam Łukasz ComboFix.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2014 Zgłoś Udostępnij Opublikowano 29 Stycznia 2014 Przypominam zasady działu, iż obowiązkowe są tu także raporty FRST i GMER. To porzuć jednak w tej fazie rozważań, gdyż: Z komputerem nadal nie jest zbyt dobrze - m.in. przy próbie uruchomienia regedit.exe jest komunikat "Edycja rejestru została wyłączona przez administratora sieci" czy np. próba uruchomienia menadżera zadań daje komunikat "Menadżer zadań został wyłączony przez administratora". Niewątpliwie grasuje tu wirus Sality. Niestety, infekcja w wykonywalnych (dotyka wszystkie pliki tej klasy na wszystkich dyskach) jest tego rodzaju, iż nawet po wyleczeniu, w rozumieniu ucięcia cyklu zarażania plików, i tak się szykuje format całego dysku (nie tylko partycji C:). Leczenie z Sality ma skutki uboczne, tzn. mogą pozostać na trwałe uszkodzone pliki Windows i programów, czego nie da się rozwiązać w inny sposób niż poprzez podmianę czystymi plikami systemu i reinstalację określonych programów. I tu występują problemy: - Zakres szkód jest niemożliwy do oceny po leczeniu. - Te szkody mogą nie wyjść na jaw od razu, odciągając uwagę od poważnych dysfunkcji na bliżej nieokreślony czas. - Wykryte szkody mogą być tak czasochłonne w naprawie, że podważa to zasadność roboty. Wstępnie podejmuję się tu próby leczenia, ale dalszym wskazaniem i tak będzie format: 1. Uruchom SalityKiller. Wykonaj nim skan do skutku. Jeden przebieg nie wystarczy, skan musi być ponawiany, aż do momentu, gdy narzędzie zwróci zero wykryć. 2. Z paczki Sality_RegKeys uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom Panda USB Vaccine i zastosuj opcję Computer Vaccination. 4. Uruchom TFC - Temp Cleaner. 5. Zresetuj ustawienia Zapory systemu Windows. Start > Uruchom > cmd i wpisz komendę netsh firewall reset 6. Zrób nowy komplet logów: OTL (zaznacz opcję "Rejestr - skan dodatkowy", by powstał ponownie plik Extras), FRST, GMER oraz USBFix z opcji Listing. . Odnośnik do komentarza
lookaka Opublikowano 4 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2014 Witam po "krótkiej" przerwie... Aktualnie mam wykonane pięć punktów z powyższych - na szybko zauważona poprawa to m.in. możliwość uruchomienia wspomnianych wcześniej taskmgr.exe czy regedit.exe. Teraz robię logi (pkt.6) - zrobiłem raporty OTL ale mam wątpliwości co do czasu trwania wykonywania się raportu GMER. Obecnie trwa to około 24h (doba) i niewiem czy mam się jeszcze uzbroić w cierpliwość czy np. przerwać i spróbować ponownie? Generalnie komputer żyje, menadżer zadań pokazuje że proces GMER (401ymei9.exe) zajmuje 99% CPU i taka sytuacja jest cały czas... oczywiście przycisk ma napis STOP więc zakładam, że skanowanie się nie skończyło. Co robić jak żyć? Pozdrawiam Łukasz EDIT: Załączam logi OTL, FRST i USBFix oraz screen z GMER - widać na nim , że praca GMER zatrzymuje się na kluczu SOFTWARE(...)\Samsung ML-1640 Series - czekałem dwie doby i nic się nie zmieniło a po ponownym uruchomieniu zatrzymuje się w tym samym miejscu. Addition.txt FRST.txt Extras.Txt OTL.Txt UsbFix Listing 1 PC-FED7B442F71F.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 W systemie nadal jest sterownik Sality oraz pliki Sality luźno rzucone w root dysków, mimo że infekcja nie wygląda na czynną. Ale podtrzymuję, że dobrze byłoby zrobić format, gdyż w praniu mogą wychodzić różne usterki / uszkodzenia. Na teraz zadaję poprawki: 1. Otwórz Notatnik i wklej w nim: (Huawei Technologies Co., Ltd.) C:\Documents and Settings\admin\Dane aplikacji\PLAY ONLINE\ouc.exe HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k HKCU\...\Run: [HW_OPENEYE_OUC_PLAY ONLINE] - C:\Program Files\PLAY ONLINE\UpdateDog\ouc.exe [110592 2014-01-29] (Huawei Technologies Co., Ltd.) HKCU\...\Policies\Explorer: [EditLevel] 0 HKCU\...\Policies\Explorer: [NoFileMenu] 0 HKCU\...\Policies\Explorer: [NoCommonGroups] 0 DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab S2 yksvc; %SystemRoot%\System32\yk51x86.dll [x] S3 amsint32; \??\C:\WINDOWS\system32\drivers\hqrii.sys [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 dzfccyxf; dzfccyxf.sys [x] S3 kwjiusbz; kwjiusbz.sys [x] S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [x] U3 TlntSvr; AlternateDataStreams: C:\WINDOWS\regedit.exe:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} C:\WINDOWS\system32\Drivers\tavwssrh.sys C:\WINDOWS\system32\Drivers\dzfccyxf.sys C:\WINDOWS\system32\Drivers\kowgwmdt.sys C:\WINDOWS\System32\ckvo0.dll C:\WINDOWS\system32\ckvo.exe C:\WINDOWS\system32\EXPLORER.EXE C:\autorun.inf C:\autorun.txt C:\ckgn.exe C:\tukp.exe D:\autorun.inf D:\gyfs.pif D:\lmkokb.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj stare programy / zbędniki: Adobe Flash Player 11 Plugin, Adobe Reader 7.0, Adobe Shockwave Player, eMusic - 50 Free MP3 offer, Mozilla Firefox 13.0, Skaner on-line mks_vir. 3. Po deinstalacjach ponownie użyj TFC - Temp Cleaner. 4. Zrób nowy log FRST (bez Addition) + USBFix z opcji Listing. Dołącz fixlog.txt. . Odnośnik do komentarza
lookaka Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Dzięki za powyższe - udało się zrobić wszystko poza deinstalcją "eMusic - 50 Free.." oraz "...Firefox 13.0" - komunikat jak w załączonym screenie "nsis-error.png". W załączeniu logi. Fixlog.txt FRST.txt UsbFix Listing 3 PC-FED7B442F71F.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Poprzednie zadania pomyślnie wykonane. Te błędy deinstalacji programów to pierwszy z objawów skutków ubocznych po Sality (uszkodzone pliki). Jak mówiłam, może być więcej takich uszkodzeń, ujawnianych stopniowo i z zaskoczenia. Te dwa konkretne programy usunę ręcznie. Otwórz Notatnik i wklej w nim: CMD: sc delete MozillaMaintenance Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eMusic Promotion" /s Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eMusic Promotion" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox 13.0 (x86 pl)" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MozillaMaintenanceService /f C:\Documents and Settings\admin\Dane aplikacji\Mozilla C:\Program Files\Mozilla Firefox C:\Program Files\Mozilla Maintenance Service S3 tavwssrh; No ImagePath Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
lookaka Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Log w załączeniu. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Akcja pomyślnie wykonana. Kolejne zadania: 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz folder C:\FRST. Przy potencjalnym komunikacie o "usuwaniu plików systemowych" potwierdź. W OTL uruchom Sprzątanie. 2. Wpis deinstalacji eMusic Promotion usunęłam, sprawdź czy jest na dysku folder C:\Program Files\Winamp\eMusic. Jeśli tak, to go skasuj przez SHIFT+DEL. Obawiam się też, że skoro "promocja" Winamp zwracała błąd uszkodzenia plików, to to samo może być z Winamp jako takim... 3. W systemie siedzi starawy i zdefektowany Avast (komponenty sterownikowe są częściowo wyłączone). Odinstaluj go poprzez Dodaj/Usuń programy. Następnie popraw narzędziem Avast Uninstall Utility. Jeśli nie będzie możliwa deinstalacja metodą Dodaj/Usuń, to od razu skorzystaj z tego specjalnego usuwacza. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zainstaluj najnowszą wersję Avast i zrób za jej pomocą pełny skan obu partycji C+D. Zgłoś się z podsumowaniem czy program coś wykrył i gdzie konkretnie. . Odnośnik do komentarza
lookaka Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 1. FRST usunięty (z C: również), 2. folder eMusic był - usunąłem, 3. Avast usunięty (narzędziem), 4. Foldery Przywracanie systemu wyczyszczone, 5. Szybki skan Avasta, który uruchamia się automatycznie po instalacji, wykrył infekcję w dwóch plikach (załączam screen) - na złość zainfekowany jest plik programu (sonelpe.exe) na którego działaniu najbardziej zależy 5a. Aktualnie leci pełny skan Avastem - jak skończy dam znać o wynikach... Odnośnik do komentarza
lookaka Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Pełne skanowanie zakończone - nie umiem odnaleźć tekstowej postaci wyniku skanowania więc przesyłam w takiej formie w jakiej potrafię Nie wszystko mieści się na jednym screenie więc są dwa - jeden z listą infekcji od początku listy a drugi po przesunięciu suwakiem listy z infekcjami - na obu screenach zaznaczona jest ta sama linia dla orientacji. Na pierwszym screenie nie zmieściły się tylko dwie linie. Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Wyniki pełnego skanu: - Zdefektowane pliki HP Digital Imaging, Microsoft Office, Sonel PE, Panda Security mogą oznaczać konieczność reinstalacji tych aplikacji. - Reszta mająca charakter luźnych instalatorów + odpadków (Adobe Shockwave Player był już deinstalowany) nie ma aż tak dużego znaczenia w kontekście szkód (pliki można wyrzucić). Skan to jedna sprawa. Druga sprawa to konsekwencje wcześniejszego leczenia SalityKiller. Może być znacznie więcej uszkodzeń niż tu wstępnie widać i naciskam, by rozważyć formatowanie i reinstalację Windows + programów, bo kolejne naprawy po prostu mogą się nie opłacać. na złość zainfekowany jest plik programu (sonelpe.exe) na którego działaniu najbardziej zależy Niestety ja tu nie zaradzę. Jeśli plik programu jest zainfekowany Sality, musi być wyleczony, a jeśli leczenie równe będzie uszkodzeniu pliku, jedyna możliwość to reinstalacja aplikacji z nowego instalatora. . Odnośnik do komentarza
lookaka Opublikowano 11 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2014 Niestety tak się to pewnie zakończy - formatem, reinstalacją systemu i ponowną aktywacją programu Sonel. Niemniej bardzo dziękuję za pomoc i za czas na nią poświęcony. Pozdrawiam Łukasz Odnośnik do komentarza
Rekomendowane odpowiedzi