[Pomoc] OTL - sality?

[arteekk]

Witam. Obawiam się, że mam na kompie sality. Wszystko zaczęło się od ściągnięcia klienta pewnej gry. Po wypakowaniu nie chciał włączyć się menadżer zadań i edytor rejestru. Naprawiłem to, lecz obawiam się ze sality siedzi w moim kompie. Daje logi otl, szczególnie o pomoc prosze fr3sha, ale jak ktoś się zna to może pomóc oczywiście plusiki. Oto logi http://speedy.sh/tP3HD/Extras.Txt and http://www.speedyshare.com/7hkGt/OTL.Txt Proszę o jak najszybszą pomoc dam 3 limity !

[Fr3shMak3r]

Niestety twoje obawy się potwierdziły .

Menedżer zadań i regedit nadal masz off

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

 

Niestety sytuacja jest tragiczna .

Sality siedzi i ma się u ciebie dobrze :

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mmrmsn.sys -- (amsint32)
C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\mdqvp.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\DOCUME~1\Damian\USTAWI~1\Temp\winascilh.exe" = C:\DOCUME~1\Damian\USTAWI~1\Temp\winascilh.exe:*:Enabled:ipsec
"C:\DOCUME~1\Damian\USTAWI~1\Temp\winbyjb.exe" = C:\DOCUME~1\Damian\USTAWI~1\Temp\winbyjb.exe:*:Enabled:ipsec
"C:\DOCUME~1\Damian\USTAWI~1\Temp\heun.exe" = C:\DOCUME~1\Damian\USTAWI~1\Temp\heun.exe:*:Enabled:ipsec
"C:\DOCUME~1\Damian\USTAWI~1\Temp\winoaomx.exe" = C:\DOCUME~1\Damian\USTAWI~1\Temp\winoaomx.exe:*:Enabled:ipsec
"C:\DOCUME~1\Damian\USTAWI~1\Temp\wincupsy.exe" = C:\DOCUME~1\Damian\USTAWI~1\Temp\wincupsy.exe:*:Enabled:ipsec
"C:\WINDOWS\system32\NeroCheck.exe" = C:\WINDOWS\system32\NeroCheck.exe:*:Enabled:ipsec -- (Ahead Software Gmbh)
"C:\Documents and Settings\Damian\Moje dokumenty\Cs\eVelion\eVelion\config.exe" = C:\Documents and Settings\Damian\Moje dokumenty\Cs\eVelion\eVelion\config.exe:*:Enabled:ipsec -- ()
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)
"C:\DOCUME~1\Damian\USTAWI~1\Temp\mdqvp.exe" = C:\DOCUME~1\Damian\USTAWI~1\Temp\mdqvp.exe:*:Enabled:ipsec -- ()
"C:\DOCUME~1\Damian\USTAWI~1\Temp\winkptlop.exe" = C:\DOCUME~1\Damian\USTAWI~1\Temp\winkptlop.exe:*:Enabled:ipsec -- ()
"C:\DOCUME~1\Damian\USTAWI~1\Temp\winbcvoso.exe" = C:\DOCUME~1\Damian\USTAWI~1\Temp\winbcvoso.exe:*:Enabled:ipsec -- 
[2013-04-30 09:29:59 | 000,103,140 | RHS- | C] () -- C:\jqrre.exe
[2013-04-30 09:29:14 | 000,000,277 | RHS- | C] () -- C:\autorun.inf

Na tego typu infekcje najlepszym pomysłem byłby format , ale możemy spróbować powalczyć .

Zawsze pisze czy wolisz walczyć czy format bo nie jeden miał do mnie pretensje że to tyle czasu zajeło ,a format byłby lepszy .

Więc wybieraj :

-Format

-Czy walczymy .

[arteekk]

Chciałbym powalczyć, bo korzystam z komputera z bratem a teraz nie ma go w domu i ma chyba jakieś potrzebne dokumenty. ;/

[Fr3shMak3r]

Wstępne leczenie .

 

1.Wyłącz przywracanie systemu na wszystkich dyskach .

 

2 .Pobierz SalityKiller i skanuj ,aż do skutku aż będzie 0 wykrytych .

 

3. Po leczeniu pokazujesz log OTL i dodatkowo obowiązkowo log GMER.

Tylko przed tworzeniem loga GMER usuń sterownik emulatora napędów wirtualnych bo on fałszuje wyniki z GMER

DRV - [2012-12-19 23:00:31 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

Tutaj masz jak usunąć :

http://www.MPCpc.pl/forum-6/announcement-2-wa%C5%BCne-oprogramowanie-emuluj%C4%85ce-nap%C4%99dy/

[Intesive]

Akurat gdy mam sality musiałem dostać bana - dziekuje.

 

@topic tylko mm problem bo nie moge ściągnąć, gdy próbuje kliknąć pobierz to albo nic sie nie dzieje albo pobiera sie 700kb i dalej nie idzie. --> pisze z konta kolegi >.<

 

@edit juz skanuje

[Fr3shMak3r]

Co za pech

Jak pobierasz SalityKiller to tak występuje .

Hmm to tak właśnie Sality skutecznie blokuje .

Wejdź w wiersz polecenia i wpisz :

 

netsh firewall reset
netsh winsock reset

I wtedy spróbuj pobrać .

[Intesive]

Juz skanuje wersja 13.4.0 czyli nie najnowsza, długo to sie bedzie skanowało?

[Fr3shMak3r]

To zależy od ilości zarażonych plików .

Po leczeniu tylko zrób screena .

Najnowsza to 1.3.6.0 ,ale jeśli wykrywa zarażone pliki i leczy to już nie przerywaj .

[Intesive]

Cały czas sie skanuje, ja uciekam na 20/30 minut z domu. I pytanie czy instalacja nakładkowa windowsa nie pomoże?

[Fr3shMak3r]

Chodzi ci w sensie że podmiana tych plików za pomocą ponownej instalacji bez formatowania ?

Raczej nie pomoże bo wystarczy że wejdziesz w obojętnie jaką partycje i już zabawa się zaczyna .

Gdyż pliki Sality ,nadal leżą na dyskach i uruchomią się poprzez autodtwarzanie .

[Intesive]

Jak salitykiller nie pomoże to robię format, pytanie czy moge zgrać na pendrive niektóre pliki ? Czy zaraza nie przejdzie na pendrive?

[Fr3shMak3r]

Możesz tylko poprzenosić zdjęcia , filmy , muzykę oraz jakieś dokumenty np . jakieś prace w formie prezentacji czy pliku tekstowego .

Pamiętaj nie wolno ci przenosić żadnych instalek , programów ,gier ,ani żadnych plików z rozszerzeniem .exe , .dll i .src!!!

[Intesive]

ok. Zdjęcie z salitikillera iv.pl/viewer.php?file=18103910663867760546.jpg jeszcze raz skanowac?

[Fr3shMak3r]

Pisałem żebyś skanował ,aż będzie 0 wykrytych .

Potem wykonujesz powyższe czynności które ci podałem .

[Intesive]

Skanuje teraz ta nowszą wersją i skanuje sie juz 30minut ponad i kawałek dopiero ...

 

Teraz wykryło 7 i jeszcze raz skanuje.

[Intesive]

Tutaj logi z otl zaraz zrobie z gmer. Otl - speedy.sh/asGKG/OTL.Txt a tutaj extras - speedy.sh/cqsgs/Extras.Txt . Zaraz zrobie z gmer

[Intesive]

Probuje zrobic tym gmerem i jak właczam dysk C to wyskakuje komunikat Hello World! I tylko ok do klikniecia i nie da sie właczyc >.<

[Fr3shMak3r]

Hello World!

Uruchomiłeś ponownie Sality poprzez wejście na dysk .

Możemy spróbować skuteczniejszej metody ,ale to już z płyty LiveCD poprzez leczenie plików ( nie z Windowsa)

Bo pliki systemowe które są uruchomione są zarażone i ciężko będzie je wyleczyć za pomocą SalityKiller .

To jak z płyty bootowalnej ze skanerem wolisz ?

[Intesive]

Czyli? Bo mało zrozumiałem co mam zrobić?

[Fr3shMak3r]

Z czystego komputera wypalić na płytkę obraz .iso ze skanerem i z poziomu BIOSA leczyć system .

[Intesive]

Jak bym miał czysty komputer... Z tego co teraz widze to normalnie komp działa, tyle ze nie da sie włączyć dysku. Czyli nic innego nie pomoże? Gdzieś na necie czytalem zeby ściągnąć drweb cureit i przeskanowac.

[Fr3shMak3r]

Jeśli dasz rade ,ale Sality pewnie nałożył blokady na AV .

Jeśli ci się uda to owszem ,ale jak nie to poprostu męcz się z SalityKillerem .

Jak mówiłem najlepsza opcja to jest wypalenie bootowalnej płytki ze skanerem na czystym komputerze i tak leczyć system .

By pliki systemowe nie były uruchomione ..

[Intesive]

Czyli mam np ściągnąć drweb cureit i wypalić na płycie i wrzucić do mojego kompa i skanować ta.? Na telefonie nie wypale, pokombinuje cos z tym i jak sie nie uda to format. Chyba tylko tyle zostało? Dzieki Ci za poświęcony czas naprawdę.

[Fr3shMak3r]

Wypalić na zdrowym komputerze plik .iso.

Uruchomić komputer i w BIOSIE przestawić bootowanie w pierwszej kolejności na CD-ROM .

Włożyć płytkę do napędu i tam już sobie poradzisz ( jeśli umiesz język angielski :p)

Podam ci najlepsze skanery bootowalne :

 

Kaspersky Rescue Disc :

http://support.kaspersky.com/4162

 

Dr. Web LiveCD

ftp://ftp.drweb.com/pub/drweb/livecd/

[Intesive]

Musze ogarnac laptopa brata, wypalić to alcoholem? A w biosie gdzie to ustawić? Bo nigdy sie w to nie bawiłem.