Dziwne procesy

[Haakerek]

Mam taki problem że tworzą mi się dziwne procesy i mulą mi kompa niewiem jak ich usunąć pomóżcie ssy z menedżera są w załączniku

mam też problem z microsoft visual c++

wyskakuje mi taki błąd:

 

 

Dałem logi z otl jak mam dać z innego programu to piszcie

Extras.Txt

OTL.Txt

[picasso]

Załączniki usuwam. Coś nieprawidłowo je dołączyłeś (czarne miniatury). Obrazy mi zresztą niepotrzebne, widzę po raportach od razu w czym rzecz. Temat przenoszę do działu Malware .....

 

Niestety jest kiepsko. Masz wirusa Sality (przeniesiony przez pendrive lub inny USB), który infekuje wszystkie pliki wykonywalne na wszystkich dyskach.... Aka niszczy system i programy. To jest bardzo ciężkie do usunięcia, często kończy się formatem całego dysku (i nie wolno z niego kopiować żadnych wykonywalnych jako "backup"!). A ComboFix proszę nie pobierać z jakiś "Instalek"! Są tylko dwa autoryzowane linki i basta, zaś narzędzia nie stosuje się bezmyślnie = wszystko opisane na forum (KLIK). ComboFix nie pomoże na wirusa Sality, bo nie jest skanerem antywirusowym i nie będzie leczył exeków. Jego rola by się ograniczyła do usuwania w kółko usługi sterownika Sality i resetu polis, co będzie wracać po użyciu narzędzia.

 

 

1. Wstępne usuwanie w OTL (to nie zatrzyma wirusa), które na celu ma też zablokowanie odczytu pliku autorun.inf. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-
 
:Files
autorun.inf /alldrives
qaupf.exe /alldrives
C:\WINDOWS.0\Avapya.exe
C:\WINDOWS.0\System32\msxml2E.dll
C:\WINDOWS.0\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS.0\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
C:\WINDOWS.0\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS.0\tasks\Afzv.job
C:\Documents and Settings\All Users.WINDOWS.0\Dane aplikacji\ihfeumzb.qzk
 
:Services
abp470n5
 
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2304157"
IE - HKCU\..\URLSearchHook: {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - Reg Error: Value error. File not found
IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - C:\Program Files\BrotherSoft_Extreme\tbBrot.dll File not found
IE - HKCU\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - Reg Error: Key error. File not found
O2 - BHO: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - Reg Error: Value error. File not found
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - Reg Error: Value error. File not found
O2 - BHO: (BrotherSoft Extreme Toolbar) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - C:\Program Files\BrotherSoft_Extreme\tbBrot.dll File not found
O2 - BHO: (no name) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (BrotherSoft Extreme Toolbar) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - C:\Program Files\BrotherSoft_Extreme\tbBrot.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found.
O4 - HKCU..\Run: [JP595IR86O] C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\Ack.exe File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom proces przez Wykonaj skrypt. Będzie restart. Otrzymasz log. Zachowaj go.

 

2. Zastosuj szczepionkę SalityKiller: KLIK.

 

3. Napraw Tryb awaryjny (paczka Sality_RegKeys.zip): KLIK.

 

4. Wytwórz nowe logi z OTL + GMER + USBFix z opcji Listing. Dołącz do oceny także log powstały z usuwania w punkcie 1 + podsumuj pracę SalityKiller

 

 

Tu jeszcze zostanie usuwanie mikro-sponsorów (Spigot / IOBit Toolbar) oraz rekonfiguracja błędnie skierowanego pliku usługi Windows:

 

SRV - [2004-08-04 13:00:00 | 000,006,656 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)

Ale to nie jest teraz takie ważne. Dopóki grasuje Sality, nie ma co niepotrzebnie Cię rozpraszać w instrukcjach. Jeśli w/w operacje pójdą pomyślnie, dam kolejne korekty.

 

 

 

.

[Haakerek]

Ok dodaje logi do sprawdzenia i jeszcze mam problem z tym

 

otl2.txt

UsbFix.txt

GMER.txt

OTL.Txt

[picasso]

jeszcze mam problem z tym

 

Przecież mówię = wirus Sality to przyczyna. Takich programów na dysku możesz mieć o wiele więcej. Wyplenić tego wirusa jest bardzo trudno i hasło "format" nie padło tu wcale bez przyczyny. Wirus ten niszczy wykonywalne, czyli czytaj to właściwie = pliki programów, systemu.... Jeśli programy nadal zwracają błędy po leczeniu, jedno z dwóch: program całkowicie uszkodzony i musi być reinstalowany od nowa z nowej instalki lub wirus jest aktywny. Niestety u Ciebie jest to wariant numer dwa, wirus Sality jest nadal czynny, w raportach widać, że się odrodził:

 

---- Kernel code sections - GMER 1.0.15 ----
 
?       C:\WINDOWS.0\system32\drivers\mnpnrn.sys                                                            Nie można odnaleźć określonego pliku. !
 
---- Devices - GMER 1.0.15 ----
 
Device  \Driver\abp470n5 \Device\abp470n5                                                                   mnpnrn.sys
 
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS.0\System32\drivers\mnpnrn.sys -- (amsint32)
DRV - File not found [Kernel | Unknown | Running] --  -- (abp470n5)
 
 
[07/01/2011 - 12:30:19 | RSH | 229]     C:\autorun.inf
[07/01/2011 - 12:30:19 | RSH | 103140]     C:\trndtc.exe
[07/01/2011 - 12:30:19 | RSH | 268]     D:\autorun.inf
[26/12/2010 - 18:18:39 | RSH | 103140]     D:\ghgoyd.exe
[07/01/2011 - 12:30:19 | RSH | 103140]     D:\rmjqcd.pif

 

Nic nie mówisz o akcji z SalityKiller, czy coś robił / ile robił. Nie zostaje nic innego jak powtórzyć akcję z uruchomieniem SalityKiller. Po tym zrobić nowe logi z OTL+GMER. Jeśli wyniki będą niezmienne (rekonstrukcja wirusa), zostaje już tylko leczenie z poziomu płyty startowej bez uruchomionego Windows. A jeśli i to zawiedzie i Sality będzie wracał = format całego dysku (a nie tylko partycji systemowej).

 

 

 

 

.

[Haakerek]

teraz sk wogóle nieche mi się włączyć niemoge żadnego folderu przenieść ani usunąć niewiem ocb

[picasso]

SalityKiller mógł zostać uszkodzony przez wirusa. Spróbuj pobrać raz jeszcze i uruchomić. Jeśli jednak się nie będzie dało, a jest coraz gorzej: wyłącz swój komputer, udaj się do kolegi / kogoś kto dysponuje komputerem, na jego komputerze ściągnij z sieci i wypal na płytce skaner antywirusowy np. Kaspersky Rescue Disk, a następnie z tej płyty uruchom swój komputer i przeskanuj.

[Haakerek]

http://img132.imageshack.us/img132/9756/55646677.png cały czas takie coś się robi niewiem czemu

[picasso]

System Volume Information = katalog Przywracania systemu. To czyszczę zawsze na końcu, bo on nie ma znaczenia, dopóki się nie zacznie cofać systemu wstecz. To co jednak ma znaczenie, to że wyniki się ciągle mnożą w tym katalogu, bo to oznacza, że Przywracanie systemu kopiuje do tego cache produkowane na bieżąco zainfekowane pliki właściwe systemu. Jeśli masz na myśli to, że cały czas masz mnóstwo wyników i po leczeniu znów się pokazują = wirus jest szybszy niż może leczyć to szczepionka. Jeśli ponowny skan SalityKiller znów da odczyty, zarzuć leczenie spod Windows, bo działający system tylko pogarsza sprawę (wirus jest cały czas w pamięci, ładuje się zaś metodą "posektorową" z dysku). Jak mówiłam, zostają już tylko dwie alternatywy: skanowanie bez uruchomionego Windows (podałam wyżej płytę rozruchową), a jeśli zawiedzie idzie format (i nie wolno z tego dysku zbackupować żadnych instalek / programów / sterowników! bo wystarczy jeden plik, by po formacie znów zaszczepić wirusa i wszystko się zacznie od początku).

[Haakerek]

Ok to chyba zrobie formata napisze za pare dni

Wielkie dzięki za pomoc

[Haakerek]

mam pytanko czemu nie moge nic kopiowac ani przenosić przecież jak miałem tego wirusa prędzej to mogłem kopiować teraz nic

[picasso]

Po pierwsze: co to oznacza, jak wygląda? Po drugie: chodzi o system po formacie czy po leczeniu? Jeśli system po leczeniu to wskazuje raczej na uszkodzenie Windows (któreś pliki mogą być naruszone wirusem / leczeniem z wirusa). Jeśli system po formacie: czy na pewno wirus nie został przeniesiony ponownie na system oraz ile było formatowane (nie wystarczy formatować tylko partycji z systemem, Sality był także na drugiej niesystemowej partycji!)?

[Haakerek]

Ok ten problem rozwiązałem miałem wyłączoną usługę RPC za niedługo może zrobie formata ;p

[picasso]

Haakerek na czym stoisz? Czy infekcja jest wyleczona? Jeśli nie (tzn. SalityKiller cały czas zgłasza pliki), sytuacja jest krytyczna. Przedstaw co się dzieje w chwili obecnej.

[Haakerek]

Wszystko działa dobrze ale dalej mam ten błąd z visual c++ , dam jeszcze raz logi z OTL do sprawdzenia. Jeszcze przed leczeniem nie mogłem uruchomić menedżera teraz mi on działa

OTL.Txt

Extras.Txt

[picasso]

Haakerek odnoszę wrażenie, że nie wyczuwasz krytyczności sytuacji.

 

Wszystko działa dobrze ale dalej mam ten błąd z visual c++

 

Przecież wirus Sality nadal jest czynny w Twoim systemie!

 

PRC - [2011-01-10 14:17:57 | 000,031,914 | ---- | M] () -- C:\Documents and Settings\Luk.TO-5104B14844F9\Ustawienia lokalne\temp\ikbg.exe
PRC - [2011-01-10 14:17:26 | 000,012,970 | ---- | M] () -- C:\Documents and Settings\Luk.TO-5104B14844F9\Ustawienia lokalne\temp\winysxgqr.exe
 
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS.0\System32\drivers\npfju.sys -- (amsint32)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS.0\System32\drivers\npfju.sys -- (abp470n5)
 
O32 - AutoRun File - [2011-01-07 17:10:28 | 000,000,269 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-01-07 17:10:29 | 000,000,255 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
 
[2011-01-07 17:10:28 | 000,103,140 | RHS- | C] () -- C:\yion.pif
[2011-01-07 17:10:23 | 000,000,269 | RHS- | C] () -- C:\autorun.inf
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS.0\system32\KB905474\wgasetup.exe" = C:\WINDOWS.0\system32\KB905474\wgasetup.exe:*:Enabled:ipsec -- File not found
"C:\WINDOWS.0\system32\nwiz.exe" = C:\WINDOWS.0\system32\nwiz.exe:*:Enabled:ipsec -- ()
"C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" = C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe:*:Enabled:ipsec -- (IObit)
"C:\Program Files\IObit\Game Booster\GameBox.exe" = C:\Program Files\IObit\Game Booster\GameBox.exe:*:Enabled:ipsec -- (IObit)
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winpmthj.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winpmthj.exe:*:Enabled:ipsec -- File not found
"C:\Program Files\Winamp\winampa.exe" = C:\Program Files\Winamp\winampa.exe:*:Enabled:ipsec -- ()
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winwqyrge.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winwqyrge.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winbehvu.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winbehvu.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winheeatr.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winheeatr.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\qrfw.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\qrfw.exe:*:Enabled:ipsec -- File not found
"C:\Program Files\Gadu-Gadu\gg.exe" = C:\Program Files\Gadu-Gadu\gg.exe:*:Enabled:ipsec -- (Gadu-Gadu S.A.)
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winlehwrp.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winlehwrp.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winpdquft.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winpdquft.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\yxccp.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\yxccp.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winkrwtg.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winkrwtg.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\dpva.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\dpva.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winpmfra.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winpmfra.exe:*:Enabled:ipsec -- File not found
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winysxgqr.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winysxgqr.exe:*:Enabled:ipsec -- ()
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winbbtcn.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\winbbtcn.exe:*:Enabled:ipsec -- ()
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\ikbg.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\ikbg.exe:*:Enabled:ipsec -- ()
"C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\dweg.exe" = C:\DOCUME~1\LUK~1.TO-\USTAWI~1\Temp\dweg.exe:*:Enabled:ipsec -- ()

 

Czyli: sterowniki Sality, pliki autorun.inf wołające wykonywalne (inne niż poprzednio widziane), pracujące w tle procesy z katalogów tymczasowych, przekonfigurowane wyjątki zapory systemowej (w tym widać, że Gadu i kolejne programy też już zarażone, przechodzą bowiem przez zaporę z markerem charakterystycznym dla Sality "ipsec"). Dopóki elementy Sality się odradzają, system nie jest odwirusowany i nie nabieraj się na to, że "wszystko dobrze działa". Otóż nie działa (to pozory, przy Sality zresztą tak może być, że nie ma oznak katastrofy, aż nagle system padnie kompletnie) - nadal jest także błąd programu. Ostatnia próba leczenia:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS.0\System32\drivers\npfju.sys -- (amsint32)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS.0\System32\drivers\npfju.sys -- (abp470n5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
SRV - [2011-01-07 12:31:05 | 000,386,560 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7B8BA496-E201-4246-9A8B-687B49145F53}]
 
:Files
autorun.inf /alldrives
yion.pif /alldrives
 
:Commands
[emptytemp]

 

Jak poprzednio: Wykonaj skrypt.

 

2. Ponownie użyj SalityKiller.

 

3. Zaprezentuj nowe logi, w tym z USBFix i GMER.

 

Jeśli to wszystko nie będzie mieć skutków, już mówiłam = płyta startowa:

 

(...) wyłącz swój komputer, udaj się do kolegi / kogoś kto dysponuje komputerem, na jego komputerze ściągnij z sieci i wypal na płytce skaner antywirusowy np. Kaspersky Rescue Disk, a następnie z tej płyty uruchom swój komputer i przeskanuj.

 

... lub format.

 

 

 

 

 

.

[Haakerek]

Daje logi po formacie wydaje mi się że wszystko gra

OTL.Txt

Extras.Txt

[picasso]

Opisz jak wykonywałeś ten format, czy przypadkiem nie ominąłeś faktu, że sprawa dotyczy wszystkich dysków (+ nośnikiem jest pendrive lub coś podobnego) oraz nie wolno z nich kopiować żadnych instalek / wykonywalnych w celu "ocalenia". Mamy problem:

 

 

1. System po formacie jest zainfekowany. Oto pliki autorun.inf, mapowanie w MountPoints2 i niestety konfiguracja w zaporze systemowej wskazująca na Sality i proces infekowania plików (wg tego spisu zarażona jest już powłoka Windows):

 

O32 - AutoRun File - [2011-01-17 20:03:00 | 000,000,256 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-01-17 20:03:00 | 000,000,305 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-10-28 13:31:36 | 000,000,299 | RHS- | M] () - G:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{2189966f-226b-11e0-9800-806d6172696f}\Shell\aUtOplay\CoMmand - "" = qpss.exe
O33 - MountPoints2\{2189966f-226b-11e0-9800-806d6172696f}\Shell\AutoRun\command - "" = qpss.exe
O33 - MountPoints2\{2189966f-226b-11e0-9800-806d6172696f}\Shell\exploRE\COmMaND - "" = qpss.exe
O33 - MountPoints2\{2189966f-226b-11e0-9800-806d6172696f}\Shell\OPEn\cOmMAND - "" = qpss.exe
O33 - MountPoints2\{21899670-226b-11e0-9800-806d6172696f}\Shell\AUToPlAy\ComMand - "" = cttfa.exe
O33 - MountPoints2\{21899670-226b-11e0-9800-806d6172696f}\Shell\AutoRun\command - "" = cttfa.exe
O33 - MountPoints2\{21899670-226b-11e0-9800-806d6172696f}\Shell\EXpLore\COMmAND - "" = cttfa.exe
O33 - MountPoints2\{21899670-226b-11e0-9800-806d6172696f}\Shell\OpEn\COMmand - "" = cttfa.exe
O33 - MountPoints2\{3835157b-2267-11e0-8553-001966849926}\Shell\AuToPLaY\COmManD - "" = atuk.exe
O33 - MountPoints2\{3835157b-2267-11e0-8553-001966849926}\Shell\AutoRun\command - "" = atuk.exe
O33 - MountPoints2\{3835157b-2267-11e0-8553-001966849926}\Shell\EXploRe\CommanD - "" = atuk.exe
O33 - MountPoints2\{3835157b-2267-11e0-8553-001966849926}\Shell\OPen\comMANd - "" = atuk.exe
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"G:\atuk.exe" = G:\atuk.exe:*:Enabled:ipsec
"G:\Programy\cyberbajt_RT2561\RT2561.exe" = G:\Programy\cyberbajt_RT2561\RT2561.exe:*:Enabled:ipsec
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)
"C:\DOCUME~1\LUK\USTAWI~1\Temp\winfbuh.exe" = C:\DOCUME~1\LUK\USTAWI~1\Temp\winfbuh.exe:*:Enabled:ipsec -- ()

 

2. Poważne zastrzeżenia do zabezpieczeń systemu po formacie: niezałatany Windows (tylko SP2 i IE6), przestarzały antywirus Avast4 i najwyraźniej także zupełny brak zabezpieczenia na wypadek infekcji autorun.inf.

 

 

---

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
 
:Files
autorun.inf /alldrives
qpss.exe /alldrives
cttfa.exe /alldrives
atuk.exe /alldrives
 
:Commands
[emptytemp]

 

Uruchom czyszczenie przez opcję Wykonaj skrypt.

 

2. Pobierz ponownie SalityKiller i wykonaj skanowanie, bo widać w konfiguracji zapory systemu, że musiała nastąpić infekcja.

 

3. Wytwórz nowe logi: OTL opcją Skanuj, GMER oraz USBFix z opcji Listing.

 

 

 

 

.

Edytowane 19 Lutego 2011 przez picasso
19.02.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso