Win32Sality - nawroty po formatowaniu

[mateusz9493]

Nie jestem pewien od kiedy mam wirusa Win32sality ale myśle że mniej więcej maj-czerwiec i prawdopodobnie przez email ten syf mi sie dostał .Format dysków robiłem 4 razy i dalej nic skanowałem 2 razy programem salitykiller i dalej nic.

Co mam robić

[picasso]

Temat oczyszczam.

 

 

Format dysków robiłem 4 razy i dalej nic skanowałem 2 razy programem salitykiller i dalej nic.

 

Skoro robiłeś format, to znaczy że musiałeś gdzieś zachować Sality, którego odtworzyłeś:

- Mówisz "dysków", czyli jakich dysków? Czy to oznacza: wszystkich partycji i wszystkich dysków fizycznych mających styczność z chorym systemem?

- Czy z dysku przed formatem nie zgrywałeś przypadkiem instalek / sterowników na CD lub pendrive w celu ich ponownego użycia?

- Czy po formacie podpinałeś jakieś urządzenie USB (to są zwykle nośniki Sality)?

 

Prócz obowiązkowych w dziale logów z OTL + GMER (KLIK) dorzuć także log z USBFix z opcji Listing.

 

 

 

 

.

[mateusz9493]

Tak wszytkich partycji . Nie zgrywałem instalek żadnych itp w tym co napisałaś . Niewiem jak mi się musiał dostać ten sality ale podobno słyszałem że jak sality jak się zainfekuje to nadaje swój kod danej partycji.Bo miałem kiedyś taką sytuacje jak włączyłem kompa to same ostrzeżenia o win32sality wyskakiwały z avasta .Potem gdy chciałem wejść na dysk C, D, E i H to wyskakiwało otwórz za pomocą np power dvd i inne programy ..

[picasso]

słyszałem że jak sality jak się zainfekuje to nadaje swój kod danej partycji.

 

Nie wiem gdzie to słyszałeś, ale tu chyba jakiś błąd interpretacji tego zachowania:

 

 

Potem gdy chciałem wejść na dysk C, D, E i H to wyskakiwało otwórz za pomocą np power dvd i inne programy ..

 

W głównych katalogach dysków na pewno były pliki autorun.inf, przypisujące do dysków akcję otwierania via pliki wirusa. Ostatnimi czasy Sality głównie przenosi się via pendrive i inne przenośne USB, posługując się techniką autorun.inf. O zabezpieczeniach przed wykonywaniem autorun.inf tu: KLIK.

 

 

Czekam na konkretne dane, czyli logi.

 

 

 

.

[mateusz9493]

ok log z USBFix:

 

 

############################## | UsbFix 7.060 | [Listing]

 

User: A&A (Administrator) # DOM1

Updated 22/09/2011 by El Desaparecido

Started at 16:02:45 | 28/09/2011

 

Website: http://eldesaparecido.com

Suspicious file ? : http://eldesaparecido.com/support.php

Contact: contact@eldesaparecido.com

 

PC: VIA Technologies, Inc. (KT600-8237) (X86-based PC) # Desktop Computer

CPU: AMD Sempron 2800+ (1997)

RAM -> [ Total : 767 | Free : 306 ]

BIOS: Phoenix - AwardBIOS v6.00PG

BOOT: Normal boot

 

OS: Microsoft Windows XP Professional (5.1.2600 32-Bit) # Dodatek Service Pack 2

WB: Windows Internet Explorer 7.0.5730.13

 

SC: Security Center Service [ Enabled ]

WU: Windows Update Service [ Enabled ]

FW: Windows FireWall Service [ Enabled ]

 

C:\ (%systemdrive%) -> Fixed drive # 16 Gb (2 Mb free - 11%) [sYSTEM] # FAT32

D:\ -> Fixed drive # 44 Gb (6 Mb free - 14%) [MAGAZYN] # FAT32

E:\ -> Fixed drive # 15 Gb (2 Mb free - 11%) [GRY] # FAT32

F:\ -> CD-ROM

G:\ -> CD-ROM

H:\ -> Fixed drive # 233 Gb (135 Mb free - 58%) [Nowy] # NTFS

 

################## | Listing |

 

[22/05/2011 - 13:45:08 | A | 2985] C:\m.txt

[24/07/2007 - 20:36:54 | D ] C:\WINDOWS

[27/09/2010 - 17:52:56 | A | 1790] C:\hpfr3840.log

[21/07/2001 - 21:13:54 | RASH | 4952] C:\Bootfont.bin

[24/07/2007 - 21:14:52 | RASH | 250624] C:\ntldr

[24/07/2007 - 21:14:52 | RASH | 47564] C:\NTDETECT.COM

[14/06/2011 - 18:04:34 | RASH | 327] C:\boot.ini

[24/07/2007 - 20:41:18 | D ] C:\Documents and Settings

[24/07/2007 - 20:50:48 | D ] C:\Program Files

[24/07/2007 - 20:51:40 | A | 0] C:\CONFIG.SYS

[24/07/2007 - 20:51:40 | A | 0] C:\AUTOEXEC.BAT

[24/07/2007 - 20:51:40 | RASH | 0] C:\IO.SYS

[24/07/2007 - 20:51:40 | RASH | 0] C:\MSDOS.SYS

[24/07/2007 - 20:55:36 | SHD ] C:\System Volume Information

[24/07/2011 - 13:57:18 | SHD ] C:\FOUND.000

[18/08/2011 - 08:59:22 | SHD ] C:\FOUND.001

[14/06/2011 - 18:15:12 | RASH | 103140] C:\yudrf.exe

[14/06/2011 - 18:04:28 | RASHD ] C:\cmdcons

[03/08/2004 - 23:00:14 | RASH | 262400] C:\cmldr

[19/08/2011 - 17:07:40 | AH | 310] C:\IPH.PH

[14/06/2011 - 19:05:28 | A | 24440] C:\ComboFix.txt

[18/09/2007 - 07:35:12 | D ] C:\My Downloads

[24/07/2007 - 21:01:52 | D ] C:\temp

[09/05/2010 - 12:08:52 | D ] C:\Sounds

[14/06/2011 - 18:14:40 | AD ] C:\Qoobox

[27/09/2011 - 15:21:44 | SHD ] C:\FOUND.002

[26/02/2011 - 09:20:42 | D ] C:\FOUND.010

[31/03/2011 - 07:46:34 | D ] C:\FOUND.011

[08/05/2011 - 14:54:56 | D ] C:\FOUND.012

[21/05/2011 - 17:33:20 | D ] C:\FOUND.013

[14/06/2011 - 19:12:14 | SHD ] C:\Recycled

[29/08/2010 - 12:14:00 | A | 211] C:\Boot.bak

[13/09/2011 - 15:35:24 | D ] C:\aurora_dvd

[28/09/2011 - 16:01:48 | D ] C:\UsbFix

[28/09/2011 - 15:56:44 | SD ] C:\ComboFix

[28/09/2011 - 16:01:50 | A | 0] C:\UsbFix.txt

[27/07/2007 - 15:26:52 | D ] C:\Downloads

[25/12/2010 - 12:38:28 | D ] C:\Config.Msi

[13/04/2011 - 20:34:08 | D ] C:\tmp

[13/10/2007 - 09:48:40 | A | 0] D:\testwma.raw

[06/10/2007 - 13:01:46 | D ] D:\gotowe

[12/08/2007 - 18:38:00 | D ] D:\stare rzeczy

[12/08/2007 - 19:09:58 | D ] D:\Tapety

[22/07/2007 - 16:24:34 | SHD ] D:\Recycled

[24/07/2007 - 20:57:42 | SHD ] D:\System Volume Information

[18/06/2008 - 12:13:22 | RD ] D:\Moje Dokumenty

[24/07/2007 - 22:09:50 | D ] D:\!!! NIE DOTYKAC !!!

[06/10/2007 - 13:34:08 | D ] D:\użytki

[06/10/2007 - 13:03:56 | D ] D:\temp

[07/08/2010 - 09:27:36 | D ] D:\winrar

[19/06/2011 - 14:19:08 | D ] D:\Program Files

[10/09/2011 - 18:48:52 | D ] D:\AVI2DVDVCD

[14/06/2011 - 18:15:12 | RSH | 103140] D:\gamymb.exe

[13/09/2011 - 20:25:28 | D ] D:\4

[02/08/2011 - 22:30:20 | A | 1734438] E:\locale tr.rar

[16/06/2011 - 17:46:14 | SHD ] E:\System Volume Information

[06/08/2011 - 20:43:10 | A | 3967818] E:\pack.rar

[24/08/2011 - 10:51:08 | D ] E:\cs

[03/08/2011 - 12:22:22 | A | 3323690] E:\LomaxMT2_S3_Launcher.rar

[02/08/2011 - 20:28:50 | A | 11625965] E:\MoberMod v11.exe

[17/06/2011 - 19:34:36 | SHD ] E:\Recycled

[02/08/2011 - 22:27:32 | A | 23015121] E:\AteshMt2Pack.rar

[04/08/2011 - 13:29:00 | A | 25427968] E:\ProMT2.exe

[05/08/2011 - 13:12:44 | A | 73173] E:\unscripty.rar

[07/08/2011 - 13:35:50 | A | 1806293] E:\tv.exe

[17/06/2011 - 19:52:22 | D ] E:\Downloads

[03/08/2011 - 12:40:12 | A | 71604113] E:\new_skills_effect.rar

[05/08/2011 - 13:43:28 | A | 4364926] E:\Launcher.rar

[05/08/2011 - 15:19:50 | A | 390412] E:\Paker.rar

[07/08/2011 - 13:20:54 | A | 24077] E:\ProMT2.zip

[07/08/2011 - 13:36:16 | D ] E:\TV

[07/08/2011 - 10:47:30 | A | 11408750] E:\MoberMod v12.exe

[07/08/2011 - 13:22:42 | D ] E:\Torrius

[15/07/2011 - 20:23:32 | A | 154100562] E:\6 skille ProMt2 by JestemArcher.rar

[07/08/2011 - 13:36:20 | A | 76288] E:\TVUninst0.exe

[07/08/2011 - 13:36:20 | A | 1420] E:\TVUninst0.dat

[07/08/2011 - 14:04:10 | D ] E:\torrent

[11/09/2011 - 18:53:32 | D ] E:\DivineWorld

[27/08/2011 - 20:19:52 | A | 0] E:\ProMT2-2.exe

[18/07/2011 - 18:06:54 | A | 799959204] E:\New_Klient_XenoXmt2_by_Pawemol.rar

[07/08/2011 - 13:22:22 | A | 5385824] E:\TorriusSetup012_[gta.net.pl].exe

[07/08/2011 - 14:02:58 | A | 403320] E:\BitTorrent-7.2.1.exe

[07/08/2011 - 14:03:20 | A | 469668] E:\spolszczenieBittorent_[www.programosy.pl].zip

[13/09/2011 - 15:17:54 | D ] E:\222

[06/09/2011 - 17:41:28 | D ] E:\patcher

[19/08/2011 - 21:10:18 | A | 7079839] E:\Metin2Mod_ml_18052011.exe

[07/08/2011 - 14:35:40 | D ] E:\BitComet

[07/08/2011 - 18:06:06 | D ] E:\download

[25/01/2010 - 11:45:50 | A | 110592] E:\artpclnt.dll

[07/08/2011 - 14:34:42 | A | 9859528] E:\BitComet_1.28_x86_setup.exe

[07/08/2011 - 14:48:02 | A | 13816] E:\Stake_Land_2010_720p_BDRip_x264_AC3_dxva-HDLiTE.torrent

[19/08/2011 - 19:28:26 | A | 0] E:\Metin2Mod_2010SF_090820112.exe

[28/08/2011 - 20:31:40 | D ] E:\BGM

[07/08/2011 - 17:30:40 | A | 10032] E:\login.php

[23/08/2011 - 21:09:32 | A | 25517056] E:\ChomikBox.msi

[09/08/2011 - 18:56:40 | A | 3820544] E:\hamachi.msi

[31/08/2011 - 19:53:42 | A | 748323080] E:\Klient ElectraMt2.rar

[10/09/2011 - 17:51:52 | A | 798845606] E:\Mexortis.exe

[28/09/2011 - 15:30:42 | A | 559617531] E:\Setup.exe

[23/08/2011 - 22:35:04 | A | 52922] E:\ja-[Filtr wulgaryzmów]e-co-za-debil-pl-ffffff.jpeg

[12/03/2010 - 10:38:18 | D ] E:\CS1.6_v7_by_Lukasz

[06/09/2011 - 16:43:42 | A | 589939009] E:\Die.Hard.1.Szklana.Pulapka.1988.DVDRip.DUB.PL.x(V)x.vob.wmv

[23/09/2011 - 16:39:52 | AH | 14336] E:\photothumb.db

[24/09/2011 - 12:36:48 | D ] E:\cs2

[09/08/2011 - 18:57:48 | D ] E:\hamak

[09/08/2011 - 11:59:44 | A | 17762672] E:\navicat9011_mysql_master.exe

[24/08/2011 - 01:09:52 | A | 1056498] E:\iGoDSetup195PP01818.exe

[10/08/2011 - 20:37:32 | A | 1734438] E:\locale_tr.rar

[11/08/2011 - 09:09:46 | D ] E:\yrtyrt

[21/08/2011 - 15:08:16 | A | 16381148] E:\Metin2Mod_2010SF_09082011.exe

[30/08/2011 - 10:46:58 | A | 759702288] E:\Ethana.exe

[24/08/2011 - 01:53:20 | D ] E:\,moje filmy

[28/09/2011 - 16:02:08 | A | 582656] E:\OTL.exe

[11/08/2011 - 18:36:56 | A | 56534] E:\[bitNova.info]szklana_pulapka_die_hard__1988__dvdrip_lektor_pl.torrent

[24/08/2011 - 13:47:08 | A | 914082753] E:\CavalosMT2.exe

[24/08/2011 - 10:50:42 | A | 314177167] E:\counterstrike1.6.exe

[27/08/2011 - 18:51:56 | A | 24329] E:\ja-[Filtr wulgaryzmów]e-co-za-debil-1.jpeg

[12/09/2011 - 18:00:00 | RA | 918569410] E:\Klient_XenoXMT2_stan_03.09.2011r.rar

[19/08/2011 - 17:06:52 | D ] E:\aol_paka_recznie

[24/09/2011 - 11:30:22 | A | 1698] E:\20100630176.h.jpg

[10/09/2011 - 14:03:38 | D ] E:\FGC Wallhack v7

[08/09/2011 - 15:25:28 | A | 12176775] E:\Metin2Mod_2010SF_08092011.exe

[28/09/2011 - 15:55:14 | R | 4232763] E:\ComboFix.exe

[10/09/2011 - 14:13:36 | D ] E:\Mp-Hacks Ghetto sXe 1.0

[12/09/2011 - 18:22:00 | D ] E:\XenoX_MT2_Klient(nowy patch 03.09.2011r)

[26/09/2011 - 19:41:32 | A | 1967365] E:\Sylwia Grzeszczak - Sen o przysz-o-ci.mp3

[28/09/2011 - 16:01:40 | A | 1577515] E:\UsbFix.exe

[21/03/2011 - 18:14:45 | A | 3818448] H:\19 nelly - just a dream.mp3 [mp3].mp3

[13/09/2011 - 15:06:35 | A | 12019280] H:\3nityDVDBurner2-0.exe

[11/02/2010 - 17:12:13 | A | 3303162] H:\alexandra burke & flo rida - bad boys.mp31265901182_[mp3.teledyski.info].mp3

[21/05/2010 - 11:01:59 | A | 2723466] H:\Ania- Piosenka ksiezycowa.mp3

[13/09/2011 - 18:16:57 | D ] H:\Aurora MPEG To DVD Burner

[13/09/2011 - 15:32:54 | A | 7455901] H:\AuroraMovieBurner.exe

[10/09/2011 - 18:48:28 | A | 905281] H:\avi-to-dvd.exe

[22/03/2010 - 20:07:26 | A | 2866396] H:\cascada - dangerous.mp31269281269_[mp3.teledyski.info].mp3

[31/08/2011 - 20:01:03 | D ] H:\cavalos

[07/08/2011 - 18:08:25 | A | 10543] H:\Die.Hard.1.1988.PL.AC3.DVDRip.RMVB.part1.rar

[13/02/2011 - 11:51:50 | RD ] H:\Filmy

[23/09/2011 - 10:26:26 | D ] H:\hhhhh

[10/09/2011 - 17:28:42 | A | 908576] H:\jxpiinstall.exe

[23/09/2011 - 16:07:19 | A | 77057] H:\kkkkkk.jpeg

[11/09/2011 - 09:47:36 | A | 455252] H:\kolorado-usa-canyon-arizona-grand-rzeka.jpeg

[27/06/2007 - 15:24:44 | A | 4638578] H:\Lombard - Przezyj to sam.mp3

[14/06/2011 - 18:15:10 | RSH | 103140] H:\ltjovw.exe

[07/03/2011 - 21:20:26 | A | 1395200] H:\marta projekt.doc

[18/07/2011 - 18:11:52 | D ] H:\Metin2

[12/06/2011 - 15:52:16 | A | 639678323] H:\Metin2_PL_20110421.exe

[16/06/2010 - 17:24:45 | RD ] H:\moja muzyka

[23/08/2011 - 21:15:07 | D ] H:\Moje Filmy

[19/06/2011 - 13:56:43 | RD ] H:\Moje obrazy

[13/09/2011 - 17:33:09 | D ] H:\nero

[07/09/2011 - 19:22:38 | A | 147577] H:\Obraz(1).jpeg

[07/09/2011 - 19:22:34 | A | 159851] H:\Obraz.jpeg

[07/09/2011 - 19:22:38 | A | 147577] H:\Obraz.jpeg111111111111111111111111111111

[05/09/2011 - 18:36:36 | D ] H:\openoffice

[28/09/2011 - 14:41:05 | ASH | 803209216] H:\pagefile.sys

[11/02/2010 - 17:05:54 | A | 4040861] H:\peja - szczescie.mp31265900707_[mp3.teledyski.info].mp3

[23/09/2011 - 16:17:17 | D ] H:\PhotoScape

[23/09/2011 - 16:39:57 | AH | 23552] H:\photothumb.db

[31/08/2011 - 11:22:22 | D ] H:\powerdvd

[13/09/2011 - 18:20:19 | D ] H:\Program Files

[19/06/2011 - 14:00:29 | D ] H:\Pulpit

[22/03/2010 - 10:45:35 | SHD ] H:\RECYCLER

[19/09/2011 - 16:28:46 | A | 58948168] H:\setup_av_free.exe

[10/09/2011 - 18:42:13 | A | 428048] H:\Setup_MoviesToDVD.exe

[13/09/2011 - 18:19:40 | A | 8517061] H:\SmartDCB.exe

[23/09/2011 - 16:15:41 | A | 286072] H:\SoftonicDownloader_for_photoscape.exe

[19/08/2008 - 10:30:54 | SHD ] H:\System Volume Information

[08/09/2011 - 19:35:38 | ASH | 6144] H:\Thumbs.db

[28/09/2011 - 15:41:54 | D ] H:\Tiveria

[02/09/2011 - 20:13:16 | A | 485896] H:\VideoConverterSetup.exe

[13/09/2011 - 20:24:37 | A | 19788784] H:\vsoConvertXtoDVD4_setup.exe

[22/03/2011 - 10:28:57 | A | 1902968] H:\walc angielski- Dla Elizy.mp3

 

################## | E.O.F |

[picasso]

Jszcze dodaj logi z OTL i GMER. I proszę korzystaj z funkcji Załączniki do w celu ich dodania.

 

Partycje C, D, E, H = ile dysków fizycznych?

[mateusz9493]

dodałem załącznik do logu Otl chodzi o ten?

 

Edit. przy robieniu loga GMEREM to normalne że komp sie wyłączył jakbym go zresetował???

Extras.Txt

OTL.Txt

Edytowane 28 Września 2011 przez picasso
Posty połączone. //picasso

[picasso]

Tak, ten OTL.

 

 

przy robieniu loga GMEREM to normalne że komp sie wyłączył jakbym go zresetował???

 

A to dlatego, bo nie wykonałeś wszystkich zaleceń, w Twoim systemie działają sterowniki emulacji napędów wirtualnych:

 

DRV - [2007-07-24 22:21:20 | 000,223,128 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi)
DRV - [2007-07-24 22:20:04 | 000,664,064 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Zostało wyraźnie powiedziane w instrukcji tworzenia raportu z GMER, że należy się tego pozbyć na czas diagnostyki, wykonując ważne ogłoszenie: KLIK. Czyli: deinstalacja programu do robienia wirtuali + użycie narzędzia SPTDinst w celu usunięcia sterownika SPTD + restart systemu = dopiero teraz można uruchomić GMER.

 

 

 

.

[mateusz9493]

troszke nie zrozumiałem ten aplet usuwania programów to dodaj lub usun programy ??? bo nie moge znaleść

[picasso]

Tak, Dodaj / Usuń programy. Program może mieć też deinstalator w Menu Start.

[mateusz9493]

skasowałem te stpb za pomoca regedit i za pomoca stpb coś tam to wszytko??

[picasso]

Zresetuj komputer i przejdź do wytwarzania raportu z GMER.

[mateusz9493]

własnie zrobiłem loga GMER

GMEM.txt

[picasso]

Pytania:

- ponawiam: partycje C, D, E, H = ile dysków fizycznych?

- kiedy były format? w jaki sposób robiłeś format tylu partycji i czym (jakim narzędziem)?

- "nie zgrywałem instalek" = Po pierwsze, nie jest nawet wiadome od kiedy jest Sality a od kiedy o nim się dowiedziałeś, a w owej "luce wiedzy" mogłeś kopiować pliki wykonywalne gdzieś, nawet nie wiedząc, że wirusa backupujesz. Po drugie 4 razy format, transformuję pytanie = czy wykonywałeś kopię zapasową czegokolwiek z obojętnej partycji, a po formacie wstawiałeś ponownie (np. profil Firefox, pobieranie torrent, inne "downloady"?

- co / gdzie / w czym wykrywa aktualnie Sality?

 

Otóż co ja teraz widzę w logach:

- Używany ComboFix, nie wiem z jakiej racji. To jest narzędzie poziomu ekspert, którego się nie używa w domu (!).

- System w ogóle nie aktualizowany (brak SP3).

- System nie wygląda jak po formacie, ma zbyt dużo "starych cech" i śmietnik (stąd też powyższe pytania). Otóż są tu foldery / pliki ze starszymi datami sugerujące, że je wstawiono. Jest tu zainstalowany przestarzały Avast. Tego z pewnością nie należy spodziewać się po formacie. Skąd brałeś jego instalkę? Obecność tak starego antywirusa nasuwa skojarzenia: albo jednak (wbrew temu co mówisz) zbackupowałeś coś z systemu przed formatem i użyłeś stary instalator pieczołowicie zgromadzony, albo jest to sztuczny modyfikowany Windows ze zintegrowanym antywirusem, albo wizytujesz nieodpowiednie strony pobierania, albo tu nie było wcale formatu.

- Również, nie widzę w logach wcale, by wirus był aktywny, gdyż nie ma ani jego sterownika, ani polis bokujących. Są owszem ukryte pliki stworzone przez Sality, a leżące w głównych katalogach dysków, ale brak innych części.

 

 

---

Wstępnie usunę to co widzę (adware, wpisy puste i te ukryte pliki):

 

1. Odinstaluj śmieci adware / paski narzędziowe (całkowity brak uwagi przy instalacjach, nie odznaczasz śmieci w instalatorach):

 

• Otwórz menedżer rozszerzeń Firefox i odinstaluj: BitTorrentBar Community Toolbar, Conduit Engine, DealPly, Facemoods, MediaBar, HyperCam Toolbar, Mario Forever Toolbar, ooVoo Video Chat Community Toolbar, Searchqu Toolbar, SweetIM Toolbar for Firefox, ToggleEN Community Toolbar, Winamp Toolbar.
  
• Przejdź do Dodaj / Usuń programy i wyszukaj do deinstalacji te wyliczane powyżej (BitTorrentBar Toolbar, facemoods Toolbar, HyperCam Toolbar, Windows Searchqu Toolbar, SweetIM Toolbar, ToggleEN Toolbar, DealPly, Conduit Engine).
  

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
Recycled /alldrives
C:\yudrf.exe
D:\gamymb.exe
H:\ltjovw.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
 
:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\A&A\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKCU..\Run: [ChomikBox] C:\Program Files\ChomikBox\chomikbox.exe File not found
O4 - HKCU..\Run: [Kookos] E:\Kookos\kookos.exe silent File not found
O8 - Extra context menu item: &Download All using 4shared Desktop - E:\metin\4shared Desktop\down_all.htm File not found
O8 - Extra context menu item: &Download using 4shared Desktop - E:\metin\4shared Desktop\down_link.htm File not found
O16 - DPF: DirectAnimation Java Classes "file://C:\WINDOWS\Java\classes\dajava.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt (a nie Skanuj!). Co nastąpi: system będzie restartował, po restarcie powinien automatycznie otworzyć się log z wynikami usuwania.

 

3. Wygeneruj nowe logi do oceny: OTL z opcji Skanuj + USBFix z opcji Listing + AD-Remover z opcji Scan. Dołącz także log z wynikami usuwania uzyskany w punkcie 2.

 

 

 

 

.

[mateusz9493]

Dyski potem sprawdze bo siedze narazie na laptopie...

Narzędziem GParted format nie pamietam kiedy robiłem

Nie robiłem kopi zapasowych tylko filmy muzyka i zdjęcia wgrywałem na płyty i pen drive te z rozszerzeniami exe nie wgrywałem na pendrive

Co do avasta poprostu dysk systemowy © nie formatowałem gdyż nie mam płyty z windowsem i nie wiem gdzie nabyć.

[picasso]

Co do avasta poprostu dysk systemowy © nie formatowałem gdyż nie mam płyty z windowsem i nie wiem gdzie nabyć.

 

Czyli kłamstewko się wkradło, bo mówiłeś:

 

- Mówisz "dysków", czyli jakich dysków? Czy to oznacza: wszystkich partycji i wszystkich dysków fizycznych mających styczność z chorym systemem?

 

Tak wszytkich partycji .

 

A teraz wychodzi na to, że wcale nie formatowałeś wszystkich partycji. Wedle tego co mówisz, zrobiłeś format wszystkiego z wyjątkiem partycji, która ma największy obszar zarażania przez Sality. Sality "wraca po formatowaniu" = w obliczu takich faktów jako oczywisty podejrzany źródła genów wirusa jawi się po prostu sam system Windows.

Postawmy sprawę jasno: jeśli jest infekcja Sality leczona nieskutecznie, gdy się wykonuje format, to całego dysku wraz z partycją systemową, a nie wybierasz do formatu tylko te dalsze partycje, a zostawiasz cały Windows pełen plików wykonywalnych (!).

 

Nie masz płyty z Windowsem = to w jaki sposób aktualny system zainstalowano? Była płyta i "przepadła", płyta pożyczona, system preinstalowany na HDD przez producenta?

 

 

Nie robiłem kopi zapasowych tylko filmy muzyka i zdjęcia wgrywałem na płyty i pen drive te z rozszerzeniami exe nie wgrywałem na pendrive

 

Pendrive niepewny. Skoro był podpinany pod chory system, to na nim mogły się samoczynnie zreplikować ukryte pliki Sality. Również możliwe, że to ten pendrive jest źródłem infekcji. Ów pendrive i płyty CD należy przeskanować antywirusem....

 

 

 

 

.

[mateusz9493]

Przepraszam jeśli cię zmyliłem bo nie wiedziałem że dysk systemowy trzeba też formatować.

Edit. gdyż sformatuje dysk systemowy to wiadomo komputer już nie odpali gdyż wszystko usunie te pliki z WINDOWS

[picasso]

Edit. gdyż sformatuje dysk systemowy to wiadomo komputer już nie odpali gdyż wszystko usunie te pliki z WINDOWS

 

Oczywiście, format partycji systemowej jest związany z nową instalacją Windows z płyty instalacyjnej XP. Ponawiam pytanie:

 

 

Nie masz płyty z Windowsem = to w jaki sposób aktualny system zainstalowano? Była płyta i "przepadła", płyta pożyczona, system preinstalowany na HDD przez producenta?

 

Nie odpowiedziałeś też na to:

 

- co / gdzie / w czym wykrywa aktualnie Sality?

 

 

 

.

[mateusz9493]

Hmm niewiem poszukam może znajde a jeszcze jedno bo jak sformatuje all partycje to komputer wyłączy sie błyskawicznie??? gdy podczas wkładania płyty to ja chyba nie otworze nagrywarki gdyż kompa wogóle nie włącze to jak mam wsadzić tą płyte???

[picasso]

Nie rozumiem pytania. Albo albo:

- Umieszczasz w napędzie płytę instalacyjną XP i resetujesz komputer, płyta się uruchamia i tam jest opcja format + instalacja XP. Po formacie C resztę partycji można sformatować spod nowo zainstalowanego Windows przez Mój komputer.

- Umieszczasz w napędzie płytę GParted (o którym tu wspominasz) i resetujesz komputer, płyta się uruchamia i robisz format wszystkich partycji po kolei, włącznie z partycją systemową. Następnie wymieniasz w napędzie płyty podstawiając płytę instalacyjną XP i instalujesz Windows.

 

Pytam po raz trzeci:

 

- co / gdzie / w czym wykrywa aktualnie Sality?

 

 

 

.

[mateusz9493]

W Antyvirusie Avast wykrywa sality

W komputerze w partycjach C, D pare wirusów dostało sie na E ale usunąłem I na H był jeden

Ten GParted to ściągnąlem z netta..

[picasso]

Ten GParted to ściągnąlem z netta..

 

O co Ci tutaj chodzi? To, że pobrałeś z internetu jest oczywiste.

[mateusz9493]

Skoro mówisz że mam w napedzie umiescic tą plytke to mam nagrać na plyte ten program???

[picasso]

Skoro mówisz że mam w napedzie umiescic tą plytke to mam nagrać na plyte ten program???

 

To jaką Ty wersję GParted pobierałeś? Ja mam na myśli GParted LiveCD, obraz płyty w formacie ISO, który należy nagrać na CD. Poza tym, mówimy tu o GParted a nie ma jeszcze widoków na płytę instalacyjną Windows XP. Poszukaj tej płyty / pożycz od kogoś. I zgłoś się tu dopiero wtedy, gdy będzie wiadome czy płyta jest czy nie, by było jasne dla mnie co robić.

 

 

 

.

Edytowane 30 Października 2011 przez picasso
30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso