Problem z instalatorem LAN Helpera - wykrywany jako wirus

[vegan]

Generalnie chodzi o udostępnianie połączenia internetowego bez wkładania w gniazda PCI karty sieciowej. Problem w tym, że kłopot jest taki trochę nietypowy. Zarówno Kaspersky jak i Comodo zachowują się w ten sposób (w przypadku tego drugiego to wszelkie kasowane z pen drive`a instalatory przeróżnych programów wykrywane były jako wirusy). Połączenie internetowe ma być udostępnione z komputera mojego brata. I nie wiem czy warto wspominać też o tym, że ostatnio, gdy dochodzi do 99,9 % pobierania pliku to ono dalej nie postępuje. Internet mam w Playu, ale to tak na pograniczu o tym wspominam. Zastanawia mnie czy jednak nadwrażliwa czujność antywirusów nie robi tutaj niepotrzebnego zamieszania.
Wiem, że można wysyłać przeróżne pliki na stronę novirusthanks, ale to takie mozolne będzie. Samych stron, z których ściągane były wszelkie instalatory dokładnie nie pamiętam, ale to były strony typu programosy.pl, instalki{usun}.pl, softonic.pl itp. itd. Wszelkie toolbary nie są zainstalowane w jakiejkolwiek przeglądarce, gdyż sam na to nie pozwoliłem. Co ciekawe instalator LAN Helpera nie był żadnym asystentem pobierania (podobnie jak i cała reszta).
Czy wymieniony wyżej sposób, choć wiążący się ze żmudnym siedzeniem i sprawdzaniem każdego exe, jest tu jedynym w związku z tym?

[XMan]

Wrzuć wymagane logi.

Obowiązkowe logi:
OTL.txt i Extras.txt --> http://www.hotfix.pl/obsluga-programu-otl-a143.htm
TDSSKiller --> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm

Logi/raporty wklejasz na:
Dostępne tylko dla zarejestrowanych użytkowników
a na forum podajesz tylko linki do nich.

[vegan]

Wklejam logi.

Log OTL: Dostępne tylko dla zarejestrowanych użytkowników
Log Extras: Dostępne tylko dla zarejestrowanych użytkowników
Log TDSS Killer: Dostępne tylko dla zarejestrowanych użytkowników

Co do ostatniego to na razie niczego nie usuwałem. Wolę się poradzić jak coś.

[filutka78]

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\jninon.sys -- (amsint32)

To usługa jednej z wersji SALITY/SECTOR, wirusa zarażającego wszystkie pliki *.exe.
Postępuj zgodnie z opisem > http://forum.hotfix.pl/bezpieczenstwo/instrukcja-usuwania-wirusa-sality-t8005.html

Wszystkie skany z podpiętym pendrive, bo to z niego masz SALITY.

Jak już żaden skaner nie będzie nic wykrywał, to:
1) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
2) wtedy dasz logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy).

F.

[vegan]

Mam 2 pendrive`y, więc podpiąć oba? Dodam, że jeden jest Kingstona a drugi Emteca.

[djarta]

Tak, oba.

[vegan]

Odkryłem przez ten czas, że wirus pochodził z karty pamięci, jaka była w telefonie komórkowym. Gdy tylko podłączyłem go do komputera poprzez USB to od razu wyskoczył mi ten dziwny błąd, jaki można było dostrzec na moich poprzednich screenach (w jednym z ostatnio zakładanych przeze mnie tematów są). Żaden pendrive tego nie powoduje, cho swoich nie używam od tamtej pory wcale. Karty pamięci nie chciało wykrywa, gdy odpalony był Dr Web LiveCD z płyty. Co do samej karty pamięci to udam się do kogoś, kto zna się na tych sprawach. Kartę pamięci w telefonie też raczej zalicza się do drivers. Na pendrive`ach kompletni niczego nie wykryło.
Mimo wszystko postanowiłem pokażą najnowsze logi wykonane OTL.exe. Oto i one:
OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Czy teraz już SALITY/SECTOR nie jest w ogóle wykrywany?

Czy Tryb Awaryjny (F8 przed startem Systemu) działa?

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\jgomn.sys -- (amsint32)

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowe logi z OTL - oba:
W pole Własne opcje skanowania/Scrypt wklej:

type C:\autorun.inf /C
type D:\autorun.inf /C

Procesy - brak
Moduły - brak
Sterowniki - brak
zaznacz: Rejestr-skan dodatkowy
zaznacz w okienku przy "Pomiń pliki Microsoftu"
zaznacz w okienku przy "Pomiń znane dobre pliki"
brak zaznaczenia przy "Infekcja LOP"
brak zaznaczenia przy "Infekcja Purity".

Kliknij Skanuj

F.

[vegan]

Wczoraj po północy znalazłem dopiero chwilę wolnego czasu na wykonanie powyższych skryptów. Najpierw chciałem postanowiłem zająć się tym pierwszym. Przez 15 minut nie wyskoczył komunikat o tym, żeby zrestartować komputer, więc sam postanowiłem go zresetować, ale nie dało to wyżej opisanego skutku. Z tego co zauważyłem to w lewy dolnym rogu OTL było widać "killing proccesses". Czemu ten skrypt ma właściwie służyć? Zniwelowaniu jakichś ewentualnych pozostałości po Win32.Sality? Jeśli tak to czy trzeba naprawdę długo czekać, aż dojdzie do oczekiwanego rezultatu? Ostatnimi czasy muszę wiele rzeczy planować i stąd takie pytania.

[filutka78]

Czemu ten skrypt ma właściwie służyć? Zniwelowaniu jakichś ewentualnych pozostałości po Win32.Sality?

Tak, o to chodzi: usunięcie usługi SALITY, oraz oczyszczenie klucza Rejestru zarażonego przez SALITY.

Wykonaj następne zalecenia.

F.