Skocz do zawartości

Problem z menedżerem zadań i edytorem rejestru


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło obowiązkowego loga z GMER

 

Niestety infekcję masz ciężka. Wirus Sality, który zaraża wszystkie pliki wykonywalne .exe na dysku twardym, a dowodem na to jest ta usługa w logu OTL:

 

DRV - File not found [Kernel | On_Demand | Running] --  -- (amsint32)

 

Jeśli format ci nie pomógł to znaczy, że albo nie formatowałeś całego dysku (wszystkie partycje), albo gdzieś zostawiłeś zalążek wirusa na dysku bądź urządzeniu przenośnym i ponownie zaogniłeś infekcję. Logi wskazują, że zaraziłeś się za pomocą urządzenia przenośnego np. pendrive i jego należy sformatować. Wstępnie spróbujemy to usuwać.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
autorun.inf /alldrives
autorun.inf.vir /alldrives
ohow.pif /alldrives
 
:OTL
DRV - File not found [Kernel | On_Demand | Running] --  -- (amsint32)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b91d916-dbf4-11dd-8bd3-0014c2d6b5f8}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\DOCUME~1\luk\USTAWI~1\Temp\winebhev.exe"=-
"D:\DOCUME~1\luk\USTAWI~1\Temp\winprtm.exe"=-
"D:\DOCUME~1\luk\USTAWI~1\Temp\winlqbht.exe"=-
"D:\DOCUME~1\luk\USTAWI~1\Temp\winnlufh.exe"=-
"D:\DOCUME~1\luk\USTAWI~1\Temp\winoxsdww.exe"=-
"D:\DOCUME~1\luk\USTAWI~1\Temp\tufajl.exe"=-
"D:\DOCUME~1\luk\USTAWI~1\Temp\winwuoi.exe"=-
"D:\DOCUME~1\luk\USTAWI~1\Temp\winaqvqae.exe"=-
"D:\DOCUME~1\luk\USTAWI~1\Temp\oper.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Otrzymasz log, który zachowaj do pokazania na forum.

 

2. Pobierz SalityKiller. Wykonaj nim skan, do skutku. Nie może zostać ani jeden zainfekowany plik.

 

3. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. Ta operacja ma na celu naprawę skasowanego trybu awaryjnego.

 

4. Uruchamiasz ponownie OTL, tym razem na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wklej:

 

DIR /A C:\ /C

DIR /A D:\ /C

 

Kliknij w Skanuj i wklej nowe logi z OTL.

 

 

Odnośnik do komentarza

Skoro sytuacja bez zmian, Sality nie jest wyleczony. Ponów skanowanie za pomocą SalityKiller, skan musi być robiony do skutku (zero zainfekowanych). Po akcji wykonaj po raz drugi import pliku SafeBootWinXP.reg (dopóki jest czynny Sality, ta zmiana się nie utrzymuje i infekcja kasuje w kółko klucz Trybu awaryjnego) oraz przedstawić log o który zostałeś poproszony.

Odnośnik do komentarza

Z menedżerem już się uporałem-działa bez zarzutu.Pozostał problem z błędem Microsoft Visual C++ Runtime Library .Mianowicie wyskakuje mi coś takiego:

 

Microsoft Visual C++ Runtime Library

Runtime Error!

Program:D:\Program Files\Common Files\Java\Java Update\jusched.exe

R6002

-floating point support not loaded

 

W dalszym ciągu nie mogę odinstalować Daemon Toosl-co jest niezbędne do użycia GMER-a

Odnośnik do komentarza

Log ekstras też powinieneś pokazać. Opcję "Rejestr - skan dodatkowy" zaznacz na "Użyj filtrowania". W obecnym logu komponentów Sality nie widać, ale są za to od infekcji z urządzenia przenośnego.

 

Wykonaj taki skrypt do OTL:

 

:Files
autorun.inf /alldrives
bkmdt.pif /alldrives
ohow.pif /alldrives
D:\Documents and Settings\luk\Dane aplikacji\Mozilla\Firefox\Profiles\ls6hn1d7.default\searchplugins\web-search.xml
 
:OTL
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKCU..\Run: [PCSpeedUp]  File not found

 

Do oceny nowe logi z OTL (obydwa)

Odnośnik do komentarza

Ja tylko dodam:

 

1.

Pozostał problem z błędem Microsoft Visual C++ Runtime Library .Mianowicie wyskakuje mi coś takiego:

 

Microsoft Visual C++ Runtime Library

Runtime Error!

Program:D:\Program Files\Common Files\Java\Java Update\jusched.exe

R6002

-floating point support not loaded

Program uszkodzony wirusem Sality i musi być przeinstalowany. Każdy program, który zwróci taki błąd Visual / nie będzie chciał startować = należy postąpić identycznie.

 

2.

4. Uruchamiasz ponownie OTL, tym razem na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wklej:

 

DIR /A C:\ /C
DIR /A D:\ /C

 

Kliknij w Skanuj i wklej nowe logi z OTL.

 

Nowy log z OTL proszę zrobić na takim warunku, jak zadane na samym początku.

 

 

 

.

Odnośnik do komentarza

Do dodatkowego warunku nie mialeś wklejać zawartości skryptu tylko to co poprzednio:

 

DIR /A C:\ /C

DIR /A D:\ /C

 

...ale już nie musisz bo wszystko wygląda na pozamiatane. Jeszcze drobne sprawy do wykonania na koniec.

 

1. Użyj opcję Sprzątanie w OTL.

 

2. Wykonaj ważne aktualizacje Java, Firefox i Internet Explorer (masz dziurawy IE6 i nie ważne czy korzystasz czy nie ma być w najnowszej wersji): KLIK.

 

3. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine

 

4. Opróżnij folder Przywracania systemu: KLIK,

 

To by było na tyle i wystarczy tylko obserwować czy Sality się nie odradza.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...