Błędy Microsoft Visual C++ Runtime Library - Zablokowany menedżer zadań

[JustMe]

Mam kilka problemów:

- Po zalogowaniu się na moje konto pokazuje mi się ten błąd który zacytowałem w temacie (obrazek)

- Nie mogę używać menadżera zadań. Próbowałem to przestawić w gpedit.Ustawiłem w zakładce opcje klawiszy Ctrl+Alt+Delete na włączone, ale to nic nie zmieniło.

- Za każdym razem kiedy chcę uruchomić skype'a po ponownym włączeniu komputera program nie działa. Tak samo jest z aplikacją ganymede, która obsługuje bilard na stronie wp.pl

[picasso]

Niestety, ale objawy wskazują na okropnego wirusa Sality niszczącego wszystkie pliki wykonywalne na wszystkich dyskach. Infekcja ma silne kwalifkacje na format całego dysku, wszystkich partycji, w zależności jak daleko niszczenie już się posunęło. Aplikacje nie działają, bo są zaprawione wirusem. Infekcja dba także o blokady menedżera zadań i regedit (dopóki wirus jest czynny, jest niemożliwa rekonfiguracja, polisy się odtwarzają). Do kompletu objawów jeszcze powinieneś mieć usterkę Trybu awaryjnego, tzn. natychmiastowy BSOD przy próbie wejścia w ten tryb (infekcja kasuje z rejestru klucz Trybu awaryjnego).

 

Poproszę o logi stwierdzające stan systemu: OTL + GMER. Temat zaś przenoszę do działu dedykowanego infekcjom ...

 

 

.

[JustMe]

To nieciekawie jak będe musiał wszystko usunąć

OTL.Txt

gmer.txt

[picasso]

Log z GMER zrobiony w złych warunkach, tzn. działa emulacja napędów wirtualnych (KLIK). To nie jest pełny log z OTL, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"), który przedstawiłby i autoryzacje zapory, choć jest właściwie wiadome co tam będzie widać ....

 

Logi to formalność, wirusa dowodują te usługi (to jest pozorne "not found", wirus ładuje się metodą para-rootkit) oraz procesy pracujące z katalogu tymczasowego:

 

========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (amsint32)
DRV - File not found [Kernel | On_Demand | Running] --  -- (abp470n5)
 
========== Processes (SafeList) ==========
 
PRC - [2012-03-12 21:59:48 | 000,049,664 | ---- | M] () -- C:\Documents and Settings\Marcin\Ustawienia lokalne\Temp\winsgva.exe
PRC - [2012-03-12 21:55:19 | 000,012,970 | ---- | M] () -- C:\Documents and Settings\Marcin\Ustawienia lokalne\Temp\asovf.exe

 

No i blokady (menedżer zadań + regedit + opcje folderów). Przypuszczalna droga nabycia to przenośne urządzenie, na dysku H jest ukryty plik autorun.inf, który pewnie ma definicje odwołujące się do plików wirusowych:

 

O32 - AutoRun File - [2012-01-19 18:19:31 | 000,000,321 | RHS- | M] () - H:\autorun.inf -- [ NTFS ]

 

Poza tym, bałagan w systemie (odpadki / adware), ale to w tym momencie mało istotne przy widmie ewentualnego formatu. Na format musisz być już przygotowany psychicznie, a z dysku nie wolno w żadnym wypadku skopiować wykonywalnych, wrócisz do punktu wyjścia (pliki rozniosą wirusa po formacie). Należy też zaznaczyć, że ewentualny format tyczy wszystkich partycji:

 

Drive C: | 48,83 Gb Total Space | 5,47 Gb Free Space | 11,21% Space Free | Partition Type: NTFS
Drive E: | 244,14 Gb Total Space | 10,80 Gb Free Space | 4,43% Space Free | Partition Type: NTFS
Drive F: | 172,78 Gb Total Space | 17,09 Gb Free Space | 9,89% Space Free | Partition Type: NTFS
Drive H: | 93,16 Gb Total Space | 71,66 Gb Free Space | 76,92% Space Free | Partition Type: NTFS

 

Wirus ma w nosie podziały wg partycji, idzie po całości, wszędzie gdzie są pliki wykonywalne.

 

 

---

Wstępna próba leczenia:

 

1. Pobierz SalityKiller. Wykonaj nim skan do skutku, powtarzany tyle razy, ile będzie potrzebne, by uzyskać zwrot zero zainfekowanych. Gdy uzyskasz czysty odczyt:

 

2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

4. Zresetuj reguły zapory, Start > Uruchom > cmd i wpisz komendę netsh firewall reset.

 

5. Wygeneruj do oceny nowy log z OTL opcją Skanuj (przypominam o Extras) + nowy log z GMER.

 

 

 

.

[JustMe]

1. Pojawił się jeszcze niedawno nowy błąd tuż przed wyłączeniem komputera, jeszcze na pulpicie ukazuje się błąd netsh.exe. Niestety dokładnie nie wiem co jest napisane w komunikacie.

 

2. Dodaję jeszcze prawidłowy log OTL i GMER. Otl wykonałem tuż po uruchomieniu SalityKiller'a, a GMER skończył szukać przed chwilką.

 

3. SalityKiller działa już od 13 godzin. Skanuje drugi dysk oznaczony jako "H"

 

4. Przed chwilką zakończyłem skanowanie SalityKiller'em (dodaję zrzut ekranu)

 

 

http://img6.imageshack.us/img6/5057/zrzutzeskanowania.png

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Wyniki przetwarzania w SalityKiller porażające, ponad 18 tysięcy zainfekowanych plików. I niestety ale SalityKiller nie przerwał cyklu, wirus jest nadal czynny i infekuje kolejne pliki, niezmiennie w procesach delikwenci z Temp, sterowniki Sality i polisy:

 

========== Processes (SafeList) ==========
 
PRC - [2012-03-13 10:59:04 | 000,049,664 | ---- | M] () -- C:\Documents and Settings\Piotrek\Ustawienia lokalne\Temp\winwlox.exe
PRC - [2012-03-13 10:54:15 | 000,012,970 | ---- | M] () -- C:\Documents and Settings\Piotrek\Ustawienia lokalne\Temp\winnobmxe.exe
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Running] --  -- (amsint32)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (abp470n5)
 
 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NofolderOptions = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

 

Pojawił się też nowy element, podpinano jakiś zainfekowany dysk G (w "Koszu" tego dysku driver.exe):

 

O33 - MountPoints2\{4c5bb1be-8678-11de-99ab-002354a24a04}\Shell\AutoRun\command - "" = G:\RECYCLER\CONTENTS\driver.exe
O33 - MountPoints2\{4c5bb1be-8678-11de-99ab-002354a24a04}\Shell\open\command - "" = G:\RECYCLER\CONTENTS\driver.exe
O33 - MountPoints2\{7ea4135c-d7c4-11de-9b48-002354a24a04}\Shell\AutoRun\command - "" = G:\RECYCLER\CONTENTS\driver.exe
O33 - MountPoints2\{7ea4135c-d7c4-11de-9b48-002354a24a04}\Shell\open\command - "" = G:\RECYCLER\CONTENTS\driver.exe
O33 - MountPoints2\{a8384b7d-05f7-11e0-a093-002354a24a04}\Shell\AutoRun\command - "" = G:\RECYCLER\CONTENTS\driver.exe
O33 - MountPoints2\{a8384b7d-05f7-11e0-a093-002354a24a04}\Shell\open\command - "" = G:\RECYCLER\CONTENTS\driver.exe

 

Musisz powtórzyć wszystkie czynności od początku (punkty 1 do 5) ... Przy kolejnym niepowodzeniu zostaje już tylko jako forma czyszczenia bootowalna płyta (np. Kaspersky Rescue Disk), a najlepiej byłoby zrobić format całego dysku (zbyt dużo zainfekowanych plików, brak gwarancji, że system kiedykolwiek uzyska pożądany stan). Urządzenie G też musi być wyczyszczone przed formatem, bo rozniesie infekcję przy kolejnym podpięciu.

 

 

 

 

.

 

 

[JustMe]

1. SalityKiller'a włączałem dzisiaj trzy razy zrzut z ostatniego skanowania dołączam do posta

 

2. Dołączam również OTL,EXTRAS+GMER

 

 

 

 

3. Jeszcze mam pytanie dotyczące ewentualnego formatu. Czy będę musiał również usunąć filmy, zdjęcia, muzykę itp. Czy głównie chodzi o pliki systemowe, a resztę będę mógł zgrać na płyty, pendrive'a, ewentualnie dysk z laptopa mojego taty, który w tej chwili jest także podłączony do tego komputera i widnieje jako dysk "h"

 

4. A propos tego dysku to czy mogę go sformatować nie mając płyty z windowsem xp ? Jest na nim zainstalowana vista. Dysk został wymieniony w serwisie, ponieważ laptop nie chciał się uruchamiać, tzn podczas okna logowania windowsa proces ładowania zacinał się. W serwisie powiedziano mojemu ojcu że winą są luty [!] nie wiem dokładnie co miał na myśli serwisant, bo mnie przy tym nie było, ale wygląda na to że dysk jest sprawny tylko trzeba go sformatować. Proszę o radę co mam zrobić z tym dyskiem. Skanowałem go programem HD Tune z którego dodaję zrzut.

 

OTL.Txt

Extras.Txt

[picasso]

SalityKiller'a włączałem dzisiaj trzy razy zrzut z ostatniego skanowania dołączam do posta

 

21 zainfekowanych + zero Cured, ale te zainfekowane to widzę, że częściowo (obrazek jest urwany) mają kierunek na katalog Przywracania systemu (System Volume Information), a to izolowana sfera i z tego nie odtworzy się nic, dopóki nie zacznie się cofać stanu systemu przy wykorzystaniu zainfekowanego punktu.

 

 

2. Dołączam również OTL,EXTRAS+GMER

 

Gdzie ten log z GMER? Zaś aktualny log z OTL wygląda lepiej. Jest tylko jeden z dwóch sterowników Sality i to w stanie "Stopped", brak w procesach tych kozaków z Temp, ale polisy nadal widzę. Może damy radę.

 

 

3. Jeszcze mam pytanie dotyczące ewentualnego formatu. Czy będę musiał również usunąć filmy, zdjęcia, muzykę itp. Czy głównie chodzi o pliki systemowe, a resztę będę mógł zgrać na płyty, pendrive'a, ewentualnie dysk z laptopa mojego taty, który w tej chwili jest także podłączony do tego komputera i widnieje jako dysk "h"

 

Z dysku można ocalić tylko i wyłącznie pliki niewykonywalne (czyli owszem fotki, video i audio). Pod żadnym pozorem nie wolno jednak przekopiować żadnego pliku EXE / DLL / SYS. Żadnych instalatorów, katalogów aplikacji, sterowników. A ten dysk "H" to ma geny Sality, leży na nim ukryty plik autorun.inf (i nie wiadomo co jeszcze):

 

O32 - AutoRun File - [2012-01-19 18:19:31 | 000,000,321 | RHS- | M] () - H:\autorun.inf -- [ NTFS ]

 

Poza tym, mówisz o jakimś "pendrive", a tu z logów OTL wynika, że jakiś niezdrowy pendrive był w obrotach. Urządzenie to musi też być wyczyszczone.

 

 

4. A propos tego dysku to czy mogę go sformatować nie mając płyty z windowsem xp ? Jest na nim zainstalowana vista. Dysk został wymieniony w serwisie, ponieważ laptop nie chciał się uruchamiać, tzn podczas okna logowania windowsa proces ładowania zacinał się. W serwisie powiedziano mojemu ojcu że winą są luty [!] nie wiem dokładnie co miał na myśli serwisant, bo mnie przy tym nie było, ale wygląda na to że dysk jest sprawny tylko trzeba go sformatować. Proszę o radę co mam zrobić z tym dyskiem. Skanowałem go programem HD Tune z którego dodaję zrzut.

 

Tu mowa o "H"? Tutaj nie rozumiem do czego zmierzasz, skoro mówisz, że dysk wymieniono. Jaki to ma mieć związek z bieżącą sytuacją, skoro dysk inny? A diagnostyka dysku to odrębnie w dziale Hardware.

 

 

 

---

Na teraz czyszczenie nadal widocznych składników Sality / odpadków "not found" (w tym resztówki konfiguracji Google Chrome) / adware, plus import blokady wykonawczej na autorun.inf. Rekonstrukcją ubytku usługi Distributed Transaction Coordinator zajmę się potem:

 

SRV - File not found [On_Demand | Stopped] --  -- (MSDTC)

 

 

1. Wyłącz Przywracanie systemu (co wyczyści System Volume Information): KLIK. I nie włączaj tej opcji, dopóki nie ukończymy czyszczenia.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
del /q H:\autorun.inf /C
rd /s /q C:\Recycler /C
rd /s /q E:\Recycler /C
rd /s /q F:\Recycler /C
rd /s /q H:\Recycler /C
C:\Program Files\StartSearch plugin
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml
C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\o43wcn9l.default\searchplugins\iMeshWebSearch.xml
C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\o43wcn9l.default\searchplugins\startsear.xml
C:\Documents and Settings\All Users\Dane aplikacji\1B261
C:\Documents and Settings\All Users\Dane aplikacji\353E
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\Marcin\Dane aplikacji\Babylon
C:\Documents and Settings\Marcin\Dane aplikacji\mediabarim
C:\Documents and Settings\Marcin\Dane aplikacji\OpenCandy
C:\Documents and Settings\Marcin\Dane aplikacji\PriceGong
%USERPROFILE%\Ustawienia lokalne\Dane aplikacji\Google
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{175F7EA5-16A3-4557-90BB-1441ABAACF8C}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{175F7EA5-16A3-4557-90BB-1441ABAACF8C}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"=""
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (amsint32)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (LLRING0)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (LGVMODEM)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (lgmdobex)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (lgmdmgmt)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (lgmdmdm)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (lgmdmdfl)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (lgmdbus)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (lgbusenum)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (LgBttPort)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GPU-Z)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (ALSysIO)
SRV - File not found [On_Demand | Stopped] --  -- (getPlusHelper)
SRV - [2009-03-20 14:56:57 | 000,357,182 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\reset.exe -- (.EsetTrialReset)
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NofolderOptions = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 1 
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\SYSTEM\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\SYSTEM\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\SYSTEM\OLE DB\msdaipp.dll File not found
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://search.imesh.com/web?src=ffb&systemid=1&q="
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otrzymasz log z wynikami usuwania.

 

3. Poprzez Dodaj / Usuń Programy odinstaluj adware DealPly oraz LiveVDO plugin 1.3 (przyczyna przejęcia preferencji przeglądarek przez startsear.ch).

 

4. Podepnij wszystkie pendrive, którymi dysponujesz, max ile się da na raz. Wykonaj dostosowany skan w OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\*.*

E:\*.*
F:\*.*
H:\*.*
X:\*.*

 

Pod X podstawiasz literę pod jaką widać pendrive w "Mój komputer", linie sobie powiel tyle razy ile pendrive będzie. Klik w Skanuj (a nie Wykonaj skrypt!). Ponadto dostarcz log z AdwCleaner z opcji Search.

 

 

 

 

.

[JustMe]

Doszedłem do punktu nr 3. i pojawił się kolejny błąd

 

Kontynuować dalej i się tym nie przejmować ?

 

Kontynuowałem. Podpiąłem dwa pendrive'y. Jeszcze mam dwa, ale tamte są w tej chwili przy laptopie i nie mam od nich dostępu, bo laptopa nie ma w domu

 

Gdy chcę usunąć aplikację gamedesire to również pokazuje mi się ten sam komunikat.

 

Gmer'a nie mogę dodać "brak uprawnień do tego typu plików" czy coś w tym stylu

OTL.Txt

Extras.Txt

AdwCleanerR1.txt

[picasso]

Sality czynny, usługa Sality nie puszcza i status Running, wróciły procesy do Tempów, cykl zarażania w toku. Zaś te pendrivy to siedlisko infekcji (kolekcja ukrytych plików i to chyba jest źródło Sality) i mimo, że zablokowałam wykonywanie autorun.inf, przeniosły na system nowe obiekty.

 

 

Doszedłem do punktu nr 3. i pojawił się kolejny błąd (....) Gdy chcę usunąć aplikację gamedesire to również pokazuje mi się ten sam komunikat.

 

Uszkodzona przez Sality instalacja. Takich kwiatków w systemie będzie więcej. O ile DealPly załatwi AdwCleaner (widzi go), to już resztę musisz nadinstalować nakładkowo, by przebić pliki instalacyjne...

 

 

Gmer'a nie mogę dodać "brak uprawnień do tego typu plików" czy coś w tym stylu

 

Kłopoty z czytaniem . Zasady działu oraz Pomoc forum wyraźnie precyzują dozwolone formaty w Załącznikach. Tylko *.TXT a próbujesz wstawić *.LOG.

 

 

 

---

1. Powtarzaj skan w SalityKiller, do skutku, zatocz tyle rund ile potrzeba.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
autorun.inf /alldrives
H:\ncfpea.exe 
G:\pdvrl.exe
G:\New Folder.exe
G:\SSVICHOSST.exe
G:\lhoo.exe
G:\copy.exe
G:\host.exe
G:\oxrwpa.exe
G:\ckltc.pif
I:\bjmdn.pif
I:\tujqcp.exe
I:\vqegpq.pif
I:\New Folder.exe
I:\iysv.pif
I:\cpri.cmd
I:\SSVICHOSST.exe
C:\windows\SSVICHOSST.exe
C:\windows\System32\autorun.ini 
 
:OTL
DRV - File not found [Kernel | On_Demand | Running] --  -- (amsint32)
O4 - HKU\S-1-5-21-1409082233-573735546-725345543-1004..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NofolderOptions = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (SSVICHOSST.exe) - C:\windows\System32\SSVICHOSST.exe ()
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. W AdwCleaner zastosuj opcję Delete.

 

4. Ponownie dostosowany skan w OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\*.*
E:\*.*
F:\*.*
G:\*.*
H:\*.*
I:\*.*
hklm\Software\Microsoft\Active Setup\Installed Components|SSVICHOSST.exe /RS

 

Klik w Skanuj. Dorzuć log z GMER....

 

 

 

.

[JustMe]

1. Niestety ale nie mogę uruchomić Salitykiller'a reinstalowałem go i nadal nic. Na sekundkę wyświetla się okno i po chwili znika.

[picasso]

Zaimportuj plik rekonstruuujący Tryb awaryjny (SafeBootWinXP.reg) i spróbuj wejść ten tryb, by ponowić próbę ...

[JustMe]

"Edycja rejestru została wyłączona przed administratora sieci"

 

Jeszcze dołączam zaległy log z gmer'a.

gmer1.txt

[picasso]

Ten plik można też zaimportować wprost z linii komend poleceniem REG IMPORT C:\...\SafeBootWinXP.reg, ale modyfikacja może się nie utrzymać przy czynnym Sality. Zmień kolejność wykonania zadań, czyli najpierw skrypt OTL a po tym SalityKiller.

[JustMe]

1. Skrypt wykonany

 

2. Niestety nie mogę uruchomić linii komend. Tak samo jest z SalityKiller'em. Okienko na chwilkę się pojawia i znika.

[picasso]

A w jaki sposób uruchamiasz tę linię komend? Start > Uruchom > cmd?

[JustMe]

Dokładnie tak.

[picasso]

Pokaż co się wykonało ze skryptu, czyli zrealizuj punkt 4 (nowy log z OTL na podanych warunkach dostosowanych).

[JustMe]

Oto i są logi

OTL.Txt

Extras.Txt

[picasso]

Nie jest dobrze. Te same typy obiektów na urządzeniach / w systemie oraz nowe ...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
F:\autorun.inf
F:\vruat.pif
G:\autorun.inf
G:\wgfhsb.pif
G:\New Folder.exe
G:\SSVICHOSST.exe
H:\admx.exe
H:\autorun.inf
I:\autorun.inf
I:\bjmdn.pif
I:\tujqcp.exe
I:\vqegpq.pif
I:\New Folder.exe
I:\iysv.pif
I:\cpri.cmd
I:\SSVICHOSST.exe
C:\windows\System32\autorun.ini
C:\windows\System32\SSVICHOSST.exe
C:\windows\SSVICHOSST.exe
C:\Documents and Settings\Piotrek\Pulpit\Pulpit.exe
C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Dane aplikacji.exe
C:\Documents and Settings\Piotrek\Moje dokumenty\Moje dokumenty.exe
C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\Autostart.exe
C:\Documents and Settings\Piotrek\Menu Start\Programy\Programy.exe
C:\Documents and Settings\Piotrek\Dane aplikacji\Dane aplikacji.exe
C:\Documents and Settings\Piotrek\autorun.inf
C:\Documents and Settings\Piotrek\SSVICHOSST.exe
C:\Documents and Settings\Piotrek\New Folder.exe
RECYCLER /alldrives
 
:OTL
DRV - File not found [Kernel | On_Demand | Running] --  -- (amsint32)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (abp470n5)
O4 - HKU\S-1-5-21-1409082233-573735546-725345543-1004..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NofolderOptions = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-21-1409082233-573735546-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (SSVICHOSST.exe) - C:\windows\System32\SSVICHOSST.exe ()
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Log z wynikami usuwania zachowaj, gdyż go zaprezentujesz w punkcie 4.

 

2. Zainstaluj Panda USB Vaccine i w niej (o ile Sality jej nie załatwi) natychmiast wdróż blokady na wszystkich pendrive przejeżdżając je opcją USB Vaccination. Akcja ta ma w zamiarze porobić na urządzeniach falsyfikaty autorun.inf, by zablokować tworzenie autorun.inf Sality. Poza tym, między wykonaniem skryptu w punkcie 1 a punktem 2 z Pandą Sality już może wygenerowac nowe autorun.inf i Panda tu jest obliczona do przesunięcia owych plików, by zrobić miejsce na falsyfikaty.

 

3. Podejmij się próby z SalityKiller.

 

4. Wygeneruj nowy log z OTL opcją Skanuj na warunki:

 

C:\*.*

E:\*.*
F:\*.*
G:\*.*
H:\*.*
I:\*.*

 

 

 

.

[JustMe]

3. SalityKiller nadal nie chce się uruchomić.

OTL.Txt

Extras.Txt

[picasso]

Na urządzeniach (F, G, H, I) nadal generują się pliki Sality, nie powstały też pliki blokujące autorun.inf Pandy (zawsze mają 16 bajtów), Panda jedynie wykonała zmianę nazwy poprzednich (obiekty z kreskami w nazwie AUTORUN_.INF), są pliki autorun.inf wirusa:

 

[2012-03-16 17:51:18 | 000,000,245 | RHS- | M] () -- F:\autorun.inf
[2012-03-16 17:51:18 | 000,103,140 | RHS- | M] () -- F:\qjrjm.exe
[2012-03-16 17:50:04 | 000,103,140 | RHS- | M] () -- F:\ycdm.pif
[2012-03-16 17:44:18 | 000,172,543 | RHS- | M] (Microsoft Corporation) -- G:\lduv.exe
[2012-03-16 17:51:20 | 000,000,327 | -H-- | M] () -- G:\autorun.inf
[2012-03-16 17:51:20 | 000,103,140 | RHS- | M] () -- G:\tuei.exe
[2012-03-16 17:51:20 | 000,000,327 | RHS- | M] () -- G:\AUTORUN_.INF
[2012-03-16 17:51:18 | 000,000,342 | RHS- | M] () -- H:\autorun.inf
[2012-03-16 17:51:18 | 000,103,140 | RHS- | M] () -- H:\mnuvld.pif
[2012-03-16 17:50:04 | 000,103,140 | RHS- | M] () -- H:\xume.pif
[2012-03-16 17:51:20 | 000,000,344 | -H-- | M] () -- I:\autorun.inf
[2012-03-16 17:51:40 | 000,103,140 | RHS- | M] () -- I:\jygmm.pif
[2012-03-16 17:51:40 | 000,172,543 | RHS- | M] (Microsoft Corporation) -- I:\duewe.cmd
[2012-03-16 17:51:20 | 000,000,344 | RHS- | M] () -- I:\AUTORUN_.INF

 

Bez SalityKiller to tu będzie ciężko, tzn. zadanie jest awykonalne. Nadciąga format ...

 

1. Ponownie uruchom Panda USB Vaccine i ponów proces USB Vaccination dla każdego pendrive z osobna.

 

2. Na innym komputerze zrób płytę Kaspersky Rescue Disk i zastartuj z niej na chory komputer.

 

3. Wykonaj za pomocą Kasperskiego pełny skan wszystkich dysków (w konfiguracji skanera musisz zaznaczyć dyski, domyślnie skaner jest ustawiony na "ekspres", co tu jest niepożądane). Zapisz raport z tego na dysku C (nie pomyl sobie ścieżek, nie zapisuj w "pamięci" płyty, bo raport będzie nietrwały).

 

4. Restart do Windows i wygeneruj nowy log z OTL na te same warunki co poprzednio. dostarcz i log z Kasperskiego, a że to będzie prawdopodobnie wielki plik, przeklej jego zawartość na wklej.org i podaj tu link.

 

 

 

.

[JustMe]

Zaczynam się zastanawiać czy to w tej chwili w ogóle ma sens. Mam parę pytań. Czy jak pozbędziemy się tego wirusa to wszystko wróci do normy ? Tzn. programy zaczną działać normalnie i skończą się wszechobecne błędy ? Czy podłączone pendrive są już bezpieczne czy nadal są nośnikami wirusa ? Jeśli nadal są to jak się go pozbędę gdy zrobię format ? Pytam, bo na pewno będą mi potrzebne do przenoszenia danych.

[picasso]

Czy jak pozbędziemy się tego wirusa to wszystko wróci do normy ? Tzn. programy zaczną działać normalnie i skończą się wszechobecne błędy ?

 

To nie jest pewne. Wyleczenie z wirusa nie daje gwarancji naprawy plików. Może się okazać konieczne przeinstalowane programów, a także nadpis plików Windows.

 

 

Czy podłączone pendrive są już bezpieczne czy nadal są nośnikami wirusa ?

 

Przecież wyraźnie mówię: "Na urządzeniach (F, G, H, I) nadal generują się pliki Sality". Te wszystkie dyski mają geny Sality.

 

 

Jeśli nadal są to jak się go pozbędę gdy zrobię format ?

 

Format spod komputera, na którym działa Sality, może nie pomóc, tzn. od razu po sformatowaniu mogą zostać wygenerowane pliki Sality na tych dyskach. A dysków tych nie podpinaj do przeformatowania na inny komputer, bo zarazisz za ich pomocą kolejny system.

 

 

 

.

[JustMe]

Dobra no to nie kombinuje już. Spróbuje jutro u kolegi wypalić płytkę z Kasperskym i zrobić skan.