Zainfekowany i wolno działający PC - logi

[Areecki]

Dostałem dzisiaj PC od koleżanki i z tego co widzę jest nieciekawie.
Na razie usunąłem kilka rzeczy z autorun, odisnstalowałem starego antywira i zabieram się za logi
Nie działa rejestr oraz menadżer zadań.
Przy uruchomieniu na okeranie do wyboru WINDOWS pojawają się 3 Windows XP Profeesional
Udąło mi się zainstalować swój internet z play więc do dzieła.

Logi :
1) DDS
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

2) OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Trzeba wywalić potem trochę śmieci z dysku C, bo jest tam nawalone folderów Bóg wie od czego.

[Luk@sz_root]

W OTL w dolne okienko ,, Własne opcje skanowania / skrypt " wklej:

:OTL
SRV - File not found [On_Demand | Stopped] -- -- (ose)
IE - HKU\S-1-5-21-1004336348-838170752-839522115-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
[2010-08-09 22:21:04 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\xxx.XXX-3775108F2CE\Dane aplikacji\Mozilla\Extensions
[2010-08-09 22:21:04 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\xxx.XXX-3775108F2CE\Dane aplikacji\Mozilla\Firefox\Profiles\s66kybyv.default\extensions
[2011-01-31 16:51:32 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Documents and Settings\xxx.XXX-3775108F2CE\Dane aplikacji\Mozilla\Firefox\Profiles\s66kybyv.default\extensions\quickstores@quickstores.de
O4 - HKLM..\Run: [lsass.exe] File not found
O4 - HKU\.DEFAULT..\Run: [Nokia.PCSync] File not found
O4 - HKU\S-1-5-18..\Run: [Nokia.PCSync] File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\D-Link AirPlus.lnk = File not found
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-1004336348-838170752-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-1004336348-838170752-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O33 - MountPoints2\{6cbf77ca-e355-11de-b0de-0023cdb42ef3}\Shell\AuToPLay\ComMand - "" = otyuwa.pif
O33 - MountPoints2\{6cbf77ca-e355-11de-b0de-0023cdb42ef3}\Shell\AutoRun\command - "" = otyuwa.pif
O33 - MountPoints2\{6cbf77ca-e355-11de-b0de-0023cdb42ef3}\Shell\ExplorE\CommaNd - "" = otyuwa.pif
O33 - MountPoints2\{6cbf77ca-e355-11de-b0de-0023cdb42ef3}\Shell\opeN\COmmAnd - "" = otyuwa.pif
O33 - MountPoints2\{75033cb0-a4b0-11df-b1e8-0023cdb42ef3}\Shell\AUtopLAy\cOmmAnD - "" = H:\igag.pif
O33 - MountPoints2\{75033cb0-a4b0-11df-b1e8-0023cdb42ef3}\Shell\AutoRun\command - "" = H:\igag.pif
O33 - MountPoints2\{75033cb0-a4b0-11df-b1e8-0023cdb42ef3}\Shell\eXpLoRe\COmmand - "" = H:\igag.pif
O33 - MountPoints2\{75033cb0-a4b0-11df-b1e8-0023cdb42ef3}\Shell\opEN\cOmmaNd - "" = H:\igag.pif
O33 - MountPoints2\{ad329698-b241-11dd-ae2c-0011957aecfc}\Shell\AutopLay\cOmMaND - "" = H:\eturf.pif
O33 - MountPoints2\{ad329698-b241-11dd-ae2c-0011957aecfc}\Shell\AutoRun\command - "" = H:\eturf.pif
O33 - MountPoints2\{ad329698-b241-11dd-ae2c-0011957aecfc}\Shell\eXPloRe\CommaNd - "" = H:\eturf.pif
O33 - MountPoints2\{ad329698-b241-11dd-ae2c-0011957aecfc}\Shell\opEn\commanD - "" = H:\eturf.pif
O33 - MountPoints2\{ebdd163e-40fb-11e0-b2cb-0023cdb42ef3}\Shell\AutoRun\command - "" = H:\AutoRun.exe -- [2010-05-10 12:48:36 | 000,126,976 | R--- | M] ()
[2011-02-25 17:35:06 | 000,000,308 | -HS- | M] () -- C:\WINDOWS\Tasks\huzn.job
[2011-02-22 18:02:48 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job
[2011-02-24 20:40:14 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At2.job
[2011-02-23 18:02:14 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At3.job
[2011-02-22 18:02:50 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At4.job

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 1
"FirewallOverride" = 1
"UacDisableNotify" = 1

:Commands
[emptytemp]
[clearallrestorepoints]

Kliknij : Wykonaj Skrypt , Zrestartuj komputer
Potem daj raport który wyskoczy po usuwaniu, oraz wykonaj nowy log OTLem

[Areecki]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Dopiero sprawdzająć log z DDS zobaczyłem, że w logu jest SALITY/SECTOR infekujący *.exe:

S3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\lledoh.sys --> c:\windows\system32\drivers\lledoh.sys [?]

(niech ktoś powie, że DDS jest niepotrzebny lub jest starym narzędziem - będzie bida z nim)

Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >http://www.hotfix.pl/instrukcja-obslugi-dr-web-livecd-a338.htm
Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) Użyj Sality Killer -->Dostępne tylko dla zarejestrowanych użytkowników
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > Dostępne tylko dla zarejestrowanych użytkowników
2) rmsality >link nieczynny Link zapasowy (już ze zmienioną nazwą) >Dostępne tylko dla zarejestrowanych użytkowników
3) Użyj Sality Remover>Dostępne tylko dla zarejestrowanych użytkowników
4) Użyj >http://www.hotfix.pl/instrukcja-uzytkowania-dr-web-cureit--a193.htm
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>Dostępne tylko dla zarejestrowanych użytkowników
5) wszystkie skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
6) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
7) Użyj USBFix >http://www.hotfix.pl/uzytkowanie-programu-usbfix-a310.htm
Kliknij w nim na przycisk "DELETION".
Daj raport z tego narzędzia.
8) wtedy dasz nowe logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy).

[Luk@sz_root]

Dopiero sprawdzająć log z DDS zobaczyłem, że w logu jest SALITY/SECTOR infekujący *.exe:

Niom, następnym razem będę sprawdzał log z DDS, dlaczego OTL tego nie zobaczył ?


Areecki

[2011-02-03 20:21:46 | 000,069,632 | RHS- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wmvds320.dll

Sprawdź ten plik na Virustotal lub Jotti.
Ale jak jest już Sality to...

Jest instrukcja usuwania Sality
bezpieczenstwo/instrukcja-usuwania-wirusa-sality-t8005.html

[Areecki]

Miałem sality na swoim komputerze, zaraz napiszę który programik dobrze sobie z nim radził tylko muszę znaleźć post.

-- 26 lut 2011, 15:24 --

Najlepszym programem do Sality okazał się SalityKiller i proponuję
go dodać do poradnika , bo mi praktycznie wyleczył prawie wszystkie pliki .exe.
Oczywiście przydała się zmiana rozszerzenia ---> SalityKiller.com

Odpale go zobaczymy co się stanie.

-- 26 lut 2011, 16:14 --

Sality Killer: 206 wyleczonych
Ściągam następny, tutaj log po nastepnym : za chwile będzie

-- 26 lut 2011, 16:50 --

Dostępne tylko dla zarejestrowanych użytkowników

P.S Jak się nazywa ten program do sprawdzania podzespołów komputera bo tu jest tylko 256 RAM
FF przy jednym z logów się prawie udusił , może warto dokupić ram lub na czas obecny zainstalować np. Google Chrome ?

[djarta]

P.S Jak się nazywa ten program do sprawdzania podzespołów komputera bo tu jest tylko 256 RAM
FF przy jednym z logów się prawie udusił , może warto dokupić ram lub na czas obecny zainstalować np. Google Chrome ?

Everest.
Jeżeli chcesz to dokup, Google Chrome możesz też zainstalować.
Rób dalsze punkty.

[Areecki]

Punk 2 i 3 to ten sam program więc , skanuje do skutku Sality Killer.
Zamiast DR WEB live cd użyje aviry bo kiedyś skanowałem Webem i zajęło to 1 rok świetlny.

-- 26 lut 2011, 17:16 --




A może zainstalować ADBlocka do FF, bo FF + Flash to już masakra jest.
Nie daj boże jak odpalę jeszcze gg.
Podobno jakaś nowa wersja Flasha ciągnie mniej "prądu" z kości ram ...

-- 26 lut 2011, 17:24 --

Jak wstawić log z SalityKiler ?

-- 26 lut 2011, 17:46 --

Dostępne tylko dla zarejestrowanych użytkowników - Sality Killer (

[djarta]

Jest OK.
Rób punkty od 6 do ostatniego.

[Areecki]

Usunąć czy przenieść do kwarantanny ?

-- 27 lut 2011, 19:42 --

Przeniosłem do kwarantanny ...
Pendrivwów właścicielki komputera nie mam, zrobiłem czyszczenie CClenarem.
Komp nadal działa wolno .
Jak minimalizuje przeglądarkę np. to schodzi jak kurtyna na dół , potem pojawiają się ikony pulpitu.
Trwa to jakieś 5 sekund a powinno pół sekundy. Co jest tego przyczyną ? Ram , procesor , dysk ?

-- 27 lut 2011, 19:54 --

Pełny raport Everesta : Dostępne tylko dla zarejestrowanych użytkowników
Zrzut z programu HDtune : post63157.html#p63157

[djarta]

nie zrobiłes tego o co prosilem

[Areecki]

Tryb awaryjny nie chce się załadować ...
Menadżer zadań i rejestr działa.
Avira wykrywa dalej Sality ...
Zrobiłem log w programie o który prosiłeś :
Dostępne tylko dla zarejestrowanych użytkowników
Log z Aviry z ostatnich godzin :
Dostępne tylko dla zarejestrowanych użytkowników

Jeszcze taki proces uruchomił się i pomnożył :
Dostępne tylko dla zarejestrowanych użytkowników

Logi z OTL :
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

-- 28 lut 2011, 15:59 --

Dostępne tylko dla zarejestrowanych użytkowników
Skasowałem, opróżniłem kwarantanne.

[djarta]

(mini usuwanie, następny skrypt będzie rozszerzony)

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - File not found [On_Demand | Stopped] -- -- (NMIndexingService)
SRV - File not found [Auto | Stopped] -- -- (Nero BackItUp Scheduler 3)
O4 - HKLM..\RunOnce: [] File not found

:Services
abp470n5

:Commands
[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Pokaż raport z usuwania.
Wrzuć też nowy log z DDS.

EDIT:
Zrób jeszcze SMART dysku + zakładka Error Scan , odhaczykuj = QUICK SCAN (chyba wiesz jak )