bowie15 Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 Witam. Komputer sąsiada i proszę o nie wypominanie użycia Combofixa - to nie ja. Problemy zaczęły się gdy przestała działać drukarka, a wcześniej NERO 10. Więcej z właściciela nie dało się wycisnąć - nie wie dlaczego nagle ponad 2 miesiące temu zaczął instalować różne antywirusy. Ponowna instalacja drukarki i skanera kończy się błędami fabrycznych programów HP, można tylko zainstalować sterowniki i wtedy działa drukarka, ale programy do obsługi skanera itp nie. Instalator HP mówi, że sa zainstalowane, ale nie można ich uruchomić - brak podłączonego urządzenia HP. Przy kliknięciu prawym klawiszem uruchamia się instalacja Nero 10, klawisz Anuluj kończy komunikat i pojawia się normalne okienko. Na moją sugestię komputer dzisiaj był testowany KAV i był czysty. Następnie kolega użył Combofix, potem dopiero OTL i Gmer - logi w załączeniu. Dodatkowo z historii MSE zapisałem wcześniejsze próby infekcji Sality i jakiegoś trojana. Podejrzewam, że jest w systemie dużo błędów, w połowie dysk był zapełniony plikami z cytuję "plikami txt z aktualizacji", było ich podobno ponad 5000 po dwadzieścia pare MB. Plik z gmera jest obcięty na szerokości, czy wykonać go jeszcze raz? Pozdrawiam log.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... historia MSE.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 Według logów Sality tutaj nadal jest i działa w najlepsze zresztą ComboFix kasował usługę sugerującą tą infekcje: ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) -------\Legacy_AIC32P -------\Service_aic32p Z usuwaniem tej infekcji nie zawsze jest łatwo i nie zawsze da się to zrobić spod działającego systemu, ale spróbować trzeba. 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 4. Zresetuj ustawienia zapory systemowej, Start > Uruchom > cmd i wpisz komendę netsh firewall reset. 5. Wygeneruj do nowy log z OTL opcją Skanuj. Odnośnik do komentarza
bowie15 Opublikowano 22 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2012 W dniu 22.03.2012 o 17:23, Landuss napisał(a): Z usuwaniem tej infekcji nie zawsze jest łatwo i nie zawsze da się to zrobić spod działającego systemu, ale spróbować trzeba. 1. Zrobione, ale już po pierwszym razie znalazł 0 - chyba nie będzie tak prosto 2. Zrobione 3. Zrobione 4. Zrobione 5. W załączeniu Dodatkowo w trakcie skanowania odezwał się MSE że znalazł coś, zresztą po raz kolejny w tej samej lokalizacji. Dałem usuń i folder jest pusty, ale na jak długo? Pozdrawiam OTL1.TxtPobieranie informacji ... Extras2.TxtPobieranie informacji ... historia MSE 2.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 22 Marca 2012 Zgłoś Udostępnij Opublikowano 22 Marca 2012 W takim razie wygląda na to, że infekcja już nie jest aktywna i logi by to potwierdzały. Do usunięcia jest jednak sporo pustych usług. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files netsh firewall reset /C :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\pohci13F.sys -- (pohci13F) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btwusb.sys -- (BTWUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS) DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\btkrnl.sys -- (BTKRNL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btaudio.sys -- (BtAudio) :Commands [reboot] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
bowie15 Opublikowano 23 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2012 Skrypt wykonany, logi w załączeniu. Skan MSE - czysto. Problematyczny Nero 10 odinstalowany i znów pod prawym klawiszem myszy jest to co trzeba. Trochę później wezmę się za drukarkę. Czy coś jeszcze trzeba zrobić aby poprawić ustawienia w rejestrze i systemie? Pozdrawiam OTL3.TxtPobieranie informacji ... Extras3.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 23 Marca 2012 Zgłoś Udostępnij Opublikowano 23 Marca 2012 Według logów wszystko jest w porządku. Można zająć się czynnościami końcowymi. 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Właściciel\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK Odnośnik do komentarza
Rekomendowane odpowiedzi