Witam wszystkich!
Jestem nowy na forum, a widzę że tutaj są naprawdę ludzie znający się na rzeczy. Proszę Was o pomoc.
Sprawa jest taka,że już dłuższy czas mam zablokowany manager zadań oraz edytor rejestru, teraz doszedł wirus "hi" z facebooka, skanowałem anti-malware ale to nie pomogło. Może ktoś zaradzi, z góry dziękuję za pomoc.
Oto log:
Dostępne tylko dla zarejestrowanych użytkowników
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
-
- Posty: 23
- Rejestracja: 22 sie 2011, 23:56
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
Wirus SALITY >http://forum.hotfix.pl/bezpieczenstwo/instrukcja-usuwania-wirusa-sality-t8005.html
eśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze wg podanego wyżej linku.
Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) Użyj Sality Killer -->Dostępne tylko dla zarejestrowanych użytkowników
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > Dostępne tylko dla zarejestrowanych użytkowników
2) Użyj Sality Remover/rmsality>Dostępne tylko dla zarejestrowanych użytkowników
Link zapasowy >Dostępne tylko dla zarejestrowanych użytkowników
3) Użyj >http://www.hotfix.pl/instrukcja-uzytkowania-dr-web-cureit--a193.htm
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>Dostępne tylko dla zarejestrowanych użytkowników
4) wszystkie skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
6) Uruchom OTL i w dolne białe pole wklej to:
Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
7) wtedy dasz nowe logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy).
F.
eśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze wg podanego wyżej linku.
Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) Użyj Sality Killer -->Dostępne tylko dla zarejestrowanych użytkowników
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > Dostępne tylko dla zarejestrowanych użytkowników
2) Użyj Sality Remover/rmsality>Dostępne tylko dla zarejestrowanych użytkowników
Link zapasowy >Dostępne tylko dla zarejestrowanych użytkowników
3) Użyj >http://www.hotfix.pl/instrukcja-uzytkowania-dr-web-cureit--a193.htm
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>Dostępne tylko dla zarejestrowanych użytkowników
4) wszystkie skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
6) Uruchom OTL i w dolne białe pole wklej to:
Kod: Zaznacz cały
:OTL
MOD - [2011-08-22 19:36:01 | 000,382,464 | ---- | M] () -- D:\WINDOWS\update.7.1\svchostdriver.exe
SRV - [2011-08-22 19:36:01 | 000,382,464 | ---- | M] () [Auto | Running] -- D:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
DRV - File not found [Kernel | On_Demand | Running] -- -- (abp470n5)
O2 - BHO: (no name) - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - No CLSID value found.
O4 - HKLM..\Run: [CleanRegPath] File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O9 - Extra 'Tools' menuitem : @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Reg Error: Value error. File not found
[2011-08-22 19:36:02 | 000,000,000 | -H-D | C] -- D:\WINDOWS\update.7.1
[2011-08-22 19:32:26 | 000,000,000 | -H-D | C] -- D:\WINDOWS\update.2
[2011-08-22 19:32:26 | 000,000,000 | ---D | C] -- D:\WINDOWS\ufa
[2011-08-22 19:32:26 | 000,000,000 | ---D | C] -- D:\WINDOWS\phoenix
[2011-08-22 19:29:50 | 000,000,000 | -H-D | C] -- D:\WINDOWS\update.5.0
[2011-08-22 19:24:56 | 000,000,000 | -H-D | C] -- D:\WINDOWS\update.1
[2011-08-22 19:38:27 | 000,000,734 | ---- | M] () -- D:\WINDOWS\System32\drivers\etc\hîsts
[2011-08-22 19:32:25 | 005,589,370 | ---- | C] () -- D:\WINDOWS\phoenix.rar
[2011-08-22 19:32:25 | 000,182,617 | ---- | C] () -- D:\WINDOWS\ufa.rar
[2011-08-22 19:32:24 | 001,075,284 | ---- | C] () -- D:\WINDOWS\rpcminer.rar
[2011-08-22 19:28:47 | 004,636,907 | ---- | C] () -- D:\WINDOWS\geoiplist
[2011-08-22 19:28:46 | 000,904,792 | ---- | C] () -- D:\WINDOWS\geoiplist.rar
[2011-08-22 19:28:46 | 000,246,272 | ---- | C] () -- D:\WINDOWS\unrar.exe
[2011-08-22 19:26:27 | 000,000,199 | ---- | C] () -- D:\WINDOWS\info1
[2011-08-22 19:25:35 | 000,000,000 | ---- | C] () -- D:\WINDOWS\loader2.exe_ok
:Commands
[emptyflash]
[emptytemp]
Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
7) wtedy dasz nowe logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy).
F.
-
- Posty: 23
- Rejestracja: 22 sie 2011, 23:56
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
Zrobiłem wszystko ale kurcze jest chyba dalej lipa, tzn facebook ruszył, ale sality chyba dalej jest.
extras: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
extras: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
ale sality chyba dalej jest.
Jeśli jest dalej wykrywany, to wszystko zaczynaj od początku.
Zmianie ulega tylko punkt 6 z mojego poprzedniego postu:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
DRV - File not found [Kernel | On_Demand | Running] -- -- (abp470n5)
O34 - HKLM BootExecute: (rmslt.nt) - File not found
:Files
D:\Documents and Settings\Tomek T\Ustawienia lokalne\Temp\windphfw.exe
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
:Commands
[Reboot]
Kliknij w Wykonaj Script
F.
-
- Posty: 23
- Rejestracja: 22 sie 2011, 23:56
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
Filutka, dziękuje Ci za pomoc. Edytor rejestru działa i Menadżer zadań tez odpalił. Są jeszcze jakieś wirusy ale po pełnym skanowaniu w Dr Web (wykrył 10 robaków) to nie nie mogę ich usunąć za pomocą tego programu. Po kliknięciu na lecz lub usuń nic się nie dzieje. Ale generalnie jest dobrze. Wkrótce wrzucę logi. Jeszcze raz bardzo dziękuje:)
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
Są jeszcze jakieś wirusy ale po pełnym skanowaniu w Dr Web (wykrył 10 robaków)
Oby nie SALITY/SECTOR!
Gdzie to wykrywa?
F.
-
- Posty: 23
- Rejestracja: 22 sie 2011, 23:56
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
Oto skan z OTLA. Kurcze, nie działają mi takie strony jak galeria zdjęć z albumów użytkowników na google, wyświetla się strona białe tło i napisy w dziwnej czcionce, nie wyświetla połowy zdjęć. I parę innych stron nie działa jak należy. Co robić?
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Ostatnio zmieniony 12 lis 2011, 13:04 przez me@djohnsc, łącznie zmieniany 2 razy.
Powód: Logi proszę wklejać na wklej.org /przeniosłem log
Powód: Logi proszę wklejać na wklej.org /przeniosłem log
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
1) Użyj >USBFix (>Download >>Telecharger >> Zapisz plik >> ... )
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.
2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
F.
Kliknij w nim na:DELETION.
Daj raport z tego usuwania.
2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
O33 - MountPoints2\{7e4cfafc-f28e-11df-9832-4d6564696130}\Shell\AUtoPLAy\coMmand - "" = H:\yoxsft.exe
O33 - MountPoints2\{7e4cfafc-f28e-11df-9832-4d6564696130}\Shell\AutoRun\command - "" = H:\yoxsft.exe
O33 - MountPoints2\{7e4cfafc-f28e-11df-9832-4d6564696130}\Shell\exPLore\coMmAND - "" = H:\yoxsft.exe
O33 - MountPoints2\{7e4cfafc-f28e-11df-9832-4d6564696130}\Shell\OpEn\commanD - "" = H:\yoxsft.exe
O33 - MountPoints2\{af21ec31-9769-11e0-a2b5-4d6564696130}\Shell\AuTOplaY\CommanD - "" = H:\juxutf.exe
O33 - MountPoints2\{af21ec31-9769-11e0-a2b5-4d6564696130}\Shell\AutoRun\command - "" = H:\juxutf.exe
O33 - MountPoints2\{af21ec31-9769-11e0-a2b5-4d6564696130}\Shell\explore\ComMand - "" = H:\juxutf.exe
O33 - MountPoints2\{af21ec31-9769-11e0-a2b5-4d6564696130}\Shell\OpEN\CoMmAnd - "" = H:\juxutf.exe
O4 - HKLM..\Run: [CleanRegPath] File not found
O4 - HKLM..\Run: [nwiz] File not found
:Commands
[emptyflash]
[emptytemp]
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
F.
-
- Posty: 23
- Rejestracja: 22 sie 2011, 23:56
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
Skan z UxbFIX:
Dostępne tylko dla zarejestrowanych użytkowników
-- 12 lis 2011, 16:29 --
Jednak dalej widzę, że Picasa Web Albums nie działa poprawnie.
-- 12 lis 2011, 16:31 --
Jednak dalej widzę, że Picasa Web Albums nie działa poprawnie.
Dostępne tylko dla zarejestrowanych użytkowników
-- 12 lis 2011, 16:29 --
Jednak dalej widzę, że Picasa Web Albums nie działa poprawnie.
-- 12 lis 2011, 16:31 --
Jednak dalej widzę, że Picasa Web Albums nie działa poprawnie.
Ostatnio zmieniony 12 lis 2011, 17:18 przez cosik_ktosik, łącznie zmieniany 1 raz.
Powód: Log przeniosłem
Powód: Log przeniosłem
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Zablokowany edytor rejestru oraz manager zadań i wirus "hi"
Usunięte, co miało być usunięte.
W USBFix kliknij na przycisk UNINSTALL
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
W takim razie napisz do Moderatora, by przesunął Twój temat do bardziej odpowiedniego działu Forum, skoro to nie jest wina infekcji.
F.
W USBFix kliknij na przycisk UNINSTALL
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednak dalej widzę, że Picasa Web Albums nie działa poprawnie.
W takim razie napisz do Moderatora, by przesunął Twój temat do bardziej odpowiedniego działu Forum, skoro to nie jest wina infekcji.
F.
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 7 gości