Win32/sality ; Windows 7; Dziwne Cuda/Cudeńka

[Keasr223]

Witam mam na kompie syf pod nazwą sality nie wiem czy większość problemów spowodował on czy też jeszcze coś innego, od jakiegoś czasu mam problem z aktualizacją większości programów/gier przykładowo wot ściąga się bez problemu cała gra ale podczas instalacji 99% wyskakuje błąd, lol etap 1/2 99%, 33%. I błąd po pewnym czasie albo ciągłe skanowanie plików, na youtubie dzieją się inne cyrki , filmy ładują się po kilka sekund od razu (mam dość szybki internet) potem buforowanie okropnie długo i rusza i tak ciągłe ładuje po 10 s w odstępach albo po załadowaniu pierwszych 10s pixele na filmie wariują. Podczas ściągania plików z neta potrafi się zacinać na kilkunastu % i trzeba (wznawiać/zaczynać od nowa). Jeżeli ktoś się spotkał kiedyś z takim cyrkiem i potrafi pomóc z góry dzięki.

 

P.s co do sality wykrył mi go eset nod i dodał do kwarantanny i nie wiem czy jest już raczej nie szkodliwy czy grasuje nadal po kompie. I taka informacja programy się nie chcą sciągać/updatować ale działają (np. przyniosłem na penie od kumpla lola i zaskoczył bez problemu).

 

@Edit chciałem dodać ss'sy ale nie mogę ich z uploadować ...

[Janusz.]

do póki Picasso z forum MPCpc nie odpowie ja nic nie mogę zrobić. strasznie dziwna ta infekcja. jak chce to możesz obserwować temat 

www.MPCpc.pl/topic/22490-problemy-po-infekcji-sality/

[Janusz.]

znowu błąd ;___; mała literówka przy tej komendzie ;_; netsh winsock reset

ten setup co go masz w nodzie to chodzi ci o "F:/Setup.exe" ?

[Keasr223]

A tak w między czasie , mam 2 peny jak ostatnio podłączyłem jeden to tam wykryło mi sality (przynosiłem lola od kumpla , komp już wcześniej miał te dziwne objawy) co z nimi ? idzie je jakoś podłączyć i przeskanować/wyczyścić bez ryzyka infekcji kompa ?

 

@Edit skończyło się skanowanie tym sality killerem i wyszło  :

 

Completed

Infected files :                   0

Infected processes:          0

Infected threadss:             0

Cured files:                       0

Will be cured on reboot :   0

Executed registry scripts: 1

Aby kontynuować, ...

@Edit 2 hmm mógłbyś mi powiedzieć dlaczego na pulpicie po skanie tym killerem utworzyły się 2 pliki ? desktop.ini desktop.ini na jednym jest kutka i są to pliki uktryte , co z nimi zrobić ? boję się otwierać .

[Janusz.]

w "Własne opcje skanowania" wklej

:OTL

 

O4:[b]64bit:[/b] - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey File not found
O4 - HKU\S-1-5-21-3023959594-1001576489-3562245605-1001..\Run: [LiveSupport] "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not foundO18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype-ie-addon-data - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
O18 - Protocol\Handler\ms-help - No CLSID value found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O33 - MountPoints2\{5c2baa73-b588-11e3-9636-ac728951450e}\Shell\AutoRun\command - "" = F:\setup.exe -- [2012-11-10 20:30:57 | 000,214,616 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\{5c2baa73-b588-11e3-9636-ac728951450e}\Shell\configure\command - "" = F:\setup.exe -- [2012-11-10 20:30:57 | 000,214,616 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\{5c2baa73-b588-11e3-9636-ac728951450e}\Shell\install\command - "" = F:\setup.exe -- [2012-11-10 20:30:57 | 000,214,616 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\{5c2baa73-b588-11e3-9636-ac728951450e}\Shell - "" = AutoRun
[2014-04-06 21:19:01 | 000,000,564 | ---- | M] () -- C:\windows\tasks\PCDoctorBackgroundMonitorTask.job
[2014-04-07 17:01:52 | 000,000,422 | ---- | M] () -- C:\windows\tasks\SystemToolsDailyTest.jo

:Command
[emptytemp]

i kliknij "wykonaj skrypt"

[2014-04-08 12:56:25 | 000,000,000 | ---- | M] () -- C:\Users\Rafal\Desktop\SalityRemover_downloader-9XjHB4ZP.exe.3j81x0f.partial pobierałeś coś do usuwania Sality?

[Keasr223]

Tak próbowałem samemu grzebać i nawet używałem wcześniej sality killer ale bez zmian, sality remover nawet się włączyć nie chciał :/

[Keasr223]

Taka mała informacja w trybie awaryjnym z obsługą sieci normalnie mogę ściągać pliki

 

Temat do zamknięcia, sprawa się wyjaśniła ostatnim zainfekowanym syfem był antywirus , serdecznie dziękuje DnaloPub, dobrze że są jeszcze tacy pomocni ludzie.

[Keasr223]

Doktorku zrobione !, Cio teraz:D?

[Janusz.]

mogłeś nas uprzedzić że coś takiego używałeś. jak zrobisz tego fixa otwórz wiesz poleceń (start>uruchom cmd) i wpisz neths winsock reset. zrestartuj komputer.

[Janusz.]

Nod nic nie wykrywa? możesz pobierać pliki? 

[Keasr223]

Ehh bez zmian, nadal to samo, nie chce pobierać .exe. Włączyłem lola dla testu i to samo nadal.

@Edit ogólnie nod wykrył go raz na pendrive i dodał do kwarantanny tak to go nie wykrywa. Nawet skanowałem wszystko ostatnio nodem łącznie z partycją startową(czy jakoś tak) i nic.

 

@Edit 2 No nic zrobie jeszcze raz te logi otl może coś tam zostało

[Nezvik]

1. Wyłącz przywracanie na wszystkich dyskach (zostaw wyłączone)

2. Pobierz Dr. Web Cureit (jeśli nie pobierze .exe zapisz z rozszerzeniem .com) i wykonaj pełny skan na wszystkich dyskach, wylecz co się da resztę usuń.

3. Wykonaj dodatkowe logi programem SREng. 

[Keasr223]

Log Dr.Web : http://wklej.org/id/1327891/

http://wklej.org/id/1327536/

Log z combofixa

Logi SRE: http://wklej.org/id/1327290/

Okej, wyłączyłem przywracanie (właściwie to sprawdziłem bo było wyłączone), ściągam już i ustawie przed wyjściem do szkoły wrócę to wrzucę logi.

 

@Edit 1 skan esetem nic nie wykrył.

 

@Edit 2 znalazłem działającego SRE(Nic co ściągam nie chce działać ścina na 99% i jak się uda pobrać po wznowieniu/ponownym zaczęciu zawsze brakuje jakiemuś plikowi coś tam i nie chce się załączać ) zaraz je dodam

 

@Edit 3 skan z web curreita zrobie przed 14 jeżeli uda się ściągnąć go tym razem ..

 

@Edit 4 nie mogę ściągać plików z netu w ogóle bo albo 99 % i błąd albo brakuje im plików ale przejechałem combofixem i log po usunięciu taki jak na początku postu. Po combofixie działanie bez zmian , jeszcze jutro może w szkole albo u kumpla załatawie tego dr.web cureit'a

 

@Edit 5 dr.web wykrył jedną infekcje i wyleczył ale wraz nie działa , log z dr.weba zamieszczam u góry posta

[Keasr223]

@ref

[Keasr223]

A coś może blokować to pobieranie oprócz sality ?

[Keasr223]

Hmm po wpisaniu tego skryptu komputer z automatu się zrestartował (wyskoczyło info że tak się stanie) , i uruchomił się ponownie i teraz mam zrobić to co napisałeś ? Aha jeszcze wyskoczyły logi jakieś, aha i przepraszam za komplikację :/.

 

 

[Janusz.]

Sality to wirus polimorficzny. blokuje pobieranie plików (zatrzymują się na 99%) infekuje i niszczy pliki wykonywalne (dll, exe itd). zrób logi otl. TUTAJ znajdziesz poradnik jak je zrobić (ważne abyś zaznaczył wszystko tak jak jest podane na ss! w innym wypadku nie będziemy mogli usunąć tego wirusa! ) logi które wygeneruje OTL wklej na wklej.org.

[Janusz.]

Zapewne są tam jakieś inne infekcje wirusy które blokują pobieranie ale w logach nic nie widać. może @rafor4 będzie miał jakiś pomysł.

[Nezvik]

@up Uprzedziłeś mnie.
 
Dodaj logi programu OTL zgodnie z instrukcją (wrzuć zawartość na wklej.org zamiast speedyshare).
 
http://www.mpcforum.pl/topic/679592-tutlogi-co-i-jak/
 

Jeśli OTL nie będzie chciał się włączyć zmień nazwę na inną losową np. "fasfastrsta".
Jeśli nie możesz pobrać OTL spróbuj pobrać któryś z tych linków (linki ze strony producenta - brak skanu):
 

http://oldtimer.geekstogo.com/OTL.com

 

http://oldtimer.geekstogo.com/OTL.scr

[Janusz.]

no to dobrze że się zresetował, tak miało być :P wstaw fixloga który wyświetlił ci się po odpaleniu kompa i użyj tej komendy którą ci podałem neths winsock reset 

[Keasr223]

http://wklej.org/id/1326444/

Coś chyba nie tak wyszło z tym fixem, czy te errorki tak mają być ?

[Janusz.]

w tym pliku są zawarte informacje skąd ma pobrać ikony do np. "Mój komputer" zapewne otl zaznaczył żeby pokazywał pliki ukryte. jak chcesz to odznacz to w opcjach folderów. zaraz wstawię fixa którego wykonasz w otl'u.

[Janusz.]

Nie rozumiem tego.. w logach nie ma nic od sality ale nadal coś blokuje. 

wyczyść wszystkie punkty przywracania systemu. ppm na mój komputer>właściwości>przywracanie systemu zaznaczasz "Wyłącz przywracanie systemu na wszystkich dyskach" klikasz zastosuj potem wyskoczy informacja o tym że dane z przywracania zostaną usunięte itd itd klikasz ok potem odznaczasz "Wyłącz przywracanie..." i klikasz zastosuj>ok. zeskanuj jeszcze raz SalityKillerem (tym którego ci podesłałem) i swoim antywirusem. 

[Keasr223]

Ok czekam , skanowałem jeszcze raz otl bo wcześniej dwóch opcji nie zaznaczyłem.

 

OTL.Txt

Extras.Txt

[Keasr223]

Wynik sality killera ten sam

Executed registry script 1 , reszta 0 .

 

@Edit miałem jakąś ochrone na dysku c włączoną , wyłączyłem zerknę teraz co się dzieje.// Nic to nie zmieniło.

Na dziś styknie tego jutro coś pomyślę jeszcze jak wrócę ze szkoły jak masz pomysł jeszcze jakiś to napisz jutro będę testował

 

p.s Jak miałem w kwarantannie 5 plików i pisało tam " Czy chcesz usunąć pliki poddane kwarantannie " to ja usunąłem je z kwarantanny czy całkowicie ?

[Janusz.]

mój błąd. wstawiłem :OTL za code i nie zaznaczyłeś tego :P

:OTL
O4:[b]64bit:[/b] - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey File not found
O4 - HKU\S-1-5-21-3023959594-1001576489-3562245605-1001..\Run: [LiveSupport] "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not foundO18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype-ie-addon-data - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
O18 - Protocol\Handler\ms-help - No CLSID value found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O33 - MountPoints2\{5c2baa73-b588-11e3-9636-ac728951450e}\Shell\AutoRun\command - "" = F:\setup.exe -- [2012-11-10 20:30:57 | 000,214,616 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\{5c2baa73-b588-11e3-9636-ac728951450e}\Shell\configure\command - "" = F:\setup.exe -- [2012-11-10 20:30:57 | 000,214,616 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\{5c2baa73-b588-11e3-9636-ac728951450e}\Shell\install\command - "" = F:\setup.exe -- [2012-11-10 20:30:57 | 000,214,616 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\{5c2baa73-b588-11e3-9636-ac728951450e}\Shell - "" = AutoRun
[2014-04-06 21:19:01 | 000,000,564 | ---- | M] () -- C:\windows\tasks\PCDoctorBackgroundMonitorTask.job
[2014-04-07 17:01:52 | 000,000,422 | ---- | M] () -- C:\windows\tasks\SystemToolsDailyTest.jo

:Command
[emptytemp]

teraz powinno być dobrze :x