[Problem]Internet i Komputer

[Maximus™]

Cześć, mam pewien problem, otóż gdy pobieram różne pliki .exe .msi i tak dalej to przy 99% po chwili mi pisze "nieznany błąd sieci" nie wiem co robić ponieważ mam to od kilku miesięcy, nie mam żadnego antyvirusa ponieważ jeszcze go nie kupiłem, proszę was o pomoc dam limit.

 

PS.Oto mój net-log może wam się przyda :

Download:

 

http://www.speedyshare.com/KEHuW/net-log.rar

Skan:

 

http://virusscan.jotti.org/pl/scanresult/dbe0838f943a2e0513d677b439110eca8ae84930

[Janusz.]

wątpię żeby to była wina internetu. fresh pisał w jednym temacie że sality zmienia coś w firewallu i uniemożliwia pobieranie plików.

wrzuć log otl

[Velociraptorus]

nie mam żadnego antyvirusa ponieważ jeszcze go nie kupiłem,

Nie no żenada. W dobie obecnego śmiecia w internecie Ty nie masz żadnego antywirusa? A to trzeba go kupić, żeby go mieć? Jest masa darmowych i nawet dobrych antywirów do codziennego stosowania.

 

Zrób logi OTL, ewentualnie formata jak już będzie za późno na odwirusowywanie komputera i potem przy nowym systemie obowiązkowo jakikolwiek antywirus, przykładowo zwykły Avast Free.

[Fr3shMak3r]

W NetLogu widac wirusa Sality .:

  TCP    0.0.0.0:6321           0.0.0.0:0              NASťUCHIWANIE    5456
  [winlscpo.exe]

  TCP    0.0.0.0:17072          0.0.0.0:0              NASťUCHIWANIE    8036
  [winwyiyko.exe]

 

Te 2 podejrzane protokoły są niepokojące , bo właśnie one sugerują wirusa Sality .

Niestety sytuacja jest tragiczna , bo to Sality zaraża i niszczy pliki wykonywalne na wszystkich dyskach .

Ta infekcja ma silne kwalifikacje na format całego dysku .

Możemy też powalczyc z tą infekcją ,ale nie gwarantuje że w 100 % wyleczymy system od Sality .

Wrzuc jeszcze loga OTL bo muszę zobaczyc jaka sytuacja jest .

[Maximus™]

Trzymajcie :

Download:

 

http://www.speedyshare.com/CTcHj/Pulpit.rar

Skan:

 

http://virusscan.jotti.org/pl/scanresult/62f0c17fdcf7f399ef3d9e1bf3c23ea6564d0b70

PS.Ale inne pliki na luzie mogę pobierać.

[Fr3shMak3r]

Sytuacja jest tragiczna tyle powiem .

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\skloj.sys -- (amsint32)
PRC - [2013-05-10 09:28:21 | 000,051,370 | ---- | M] () -- C:\Documents and Settings\Zachary.ZACHARY-I-KASIA\Ustawienia lokalne\Temp\winaxaeag.exe
PRC - [2013-05-10 09:24:12 | 000,012,970 | ---- | M] () -- C:\Documents and Settings\Zachary.ZACHARY-I-KASIA\Ustawienia lokalne\Temp\winfjgrwi.exe
"C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winrhdud.exe" = C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winrhdud.exe:*:Enabled:ipsec
"C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\sdxlsr.exe" = C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\sdxlsr.exe:*:Enabled:ipsec
"C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\yosdb.exe" = C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\yosdb.exe:*:Enabled:ipsec
"C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winoqexja.exe" = C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winoqexja.exe:*:Enabled:ipsec
"C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winbdvt.exe" = C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winbdvt.exe:*:Enabled:ipsec
"C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winfbwl.exe" = C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winfbwl.exe:*:Enabled:ipsec

 

W TEMPACH masz tyle autoryzacji że szkoda gadac ..

Dodatkowo Sality przeniosłeś z jakiegoś urządzenia przenośnego typu : Karta pamięci , pendrive , dysk zewnętrzny :

O33 - MountPoints2\{606f9c2b-a474-11e2-a97c-26620aaa3361}\Shell\AutoplAy\cOmMAnd - "" = J:\bklq.pif
O33 - MountPoints2\{606f9c2b-a474-11e2-a97c-26620aaa3361}\Shell\AutoRun\command - "" = J:\bklq.pif
O33 - MountPoints2\{606f9c2b-a474-11e2-a97c-26620aaa3361}\Shell\explOre\COmmAND - "" = J:\bklq.pif
O33 - MountPoints2\{606f9c2b-a474-11e2-a97c-26620aaa3361}\Shell\oPeN\COmMand - "" = J:\bklq.pif
O33 - MountPoints2\{73c1b95a-9b73-11e2-a954-f2e6f7908fea}\Shell\AutoplAy\cOmMAnd - "" = J:\bklq.pif
O33 - MountPoints2\{73c1b95a-9b73-11e2-a954-f2e6f7908fea}\Shell\AutoRun\command - "" = J:\bklq.pif
O33 - MountPoints2\{73c1b95a-9b73-11e2-a954-f2e6f7908fea}\Shell\explOre\COmmAND - "" = J:\bklq.pif
O33 - MountPoints2\{73c1b95a-9b73-11e2-a954-f2e6f7908fea}\Shell\oPeN\COmMand - "" = J:\bklq.pif
O33 - MountPoints2\{bf83a92e-a8f8-11e2-a9a6-b2b62bcac0bd}\Shell\AutOplAy\CoMMand - "" = J:\lhejrx.pif
O33 - MountPoints2\{bf83a92e-a8f8-11e2-a9a6-b2b62bcac0bd}\Shell\AutoRun\command - "" = J:\lhejrx.pif
O33 - MountPoints2\{bf83a92e-a8f8-11e2-a9a6-b2b62bcac0bd}\Shell\eXPlore\CommaND - "" = J:\lhejrx.pif
O33 - MountPoints2\{bf83a92e-a8f8-11e2-a9a6-b2b62bcac0bd}\Shell\open\CommanD - "" = J:\lhejrx.pif

 

Potwierdzają to ślady podpinania zainfekowanych dysków przenośnych w mountpoints2 .

Powiem ci tak jest tragicznie , ale jeśli się decydujesz na leczenie systemu to :

 

1. Wyłącz przywracanie systemu na wszystkich dyskach .

 

2. Uruchom OTL i w Oknie Własne Opcje Skanowania :

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\skloj.sys -- (amsint32)
MOD - [2013-05-10 09:28:21 | 000,051,370 | ---- | M] () -- C:\Documents and Settings\Zachary.ZACHARY-I-KASIA\Ustawienia lokalne\Temp\winaxaeag.exe
MOD - [2013-05-10 09:24:12 | 000,012,970 | ---- | M] () -- C:\Documents and Settings\Zachary.ZACHARY-I-KASIA\Ustawienia lokalne\Temp\winfjgrwi.exe

:Files
netsh firewall reset /C

:Commands
[emptytemp]

I klik na wykonaj skrypt zatwierdź restart i pokazujesz log z usuwania .

 

3. Pobierz SalityKiller i Zmień rozszerzenie z .exe na .com <-- Bardzo ważne .

I skanuj aż do skutku aż będzie 0 wykrytych .

 

4. Po leczeniu pokazujesz nowy log OTL .

[Maximus™]

A jak wyłączyć nr 1 ? bo nie wiem.

[Janusz.]

PPM na mój komputer --> właściwości ---> przywracanie systemu i zaznacz wyłącz przywracanie systemu na wszystkich dyskach

[Maximus™]

Okej zrobiłem tak jak fr3sh napisał mi, 2 razy usuwałem i oto rezultaty :

Download:

 

http://www.speedyshare.com/xQNmq/OTL.rar

Skan:

 

http://virusscan.jotti.org/pl/scanresult/fefb57428b4d05fac8a5467cb053ae632fd1acae

A tutaj taki screen z tego :

[Fr3shMak3r]

Sytuacja jest porażająca ponad 1000 zainfekowanych plików .

Niestety SalityKiller nie przerwał cyklu zarażania .

 

Uruchom OTL i w Oknie Własne Opcje Skanowania

 

 

:OTL
MOD - [2013-05-10 15:15:21 | 000,051,370 | ---- | M] () -- C:\Documents and Settings\Zachary.ZACHARY-I-KASIA\Ustawienia lokalne\Temp\winblwwck.exe
MOD - [2013-05-10 15:11:33 | 000,012,970 | ---- | M] () -- C:\Documents and Settings\Zachary.ZACHARY-I-KASIA\Ustawienia lokalne\Temp\winggybg.exe
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\skloj.sys -- (amsint32)
:Commands
[emptytemp]
 

I klik na wykonaj skrypt .

Teraz po wykonaniu skryptu nie uruchamiaj żadnego pliku wykonywalnego !

Od razu po restarcie jeszcze raz zapuśc skan SalityKillerem .

Niewykluczone że pliki systemowe też są zainfekowane ..

[Maximus™]

@Fr3sh

A coś mi to pomoże gdy znów go zapuszczę? czy dalej będę go miał.

[Fr3shMak3r]

Ciężko mi akurat to powiedziec .

Ten skrypt ma wyeliminowac Sterownik + Pliki pracujące w TEMPACH Sality .

Jeśli uruchomisz wystarczy 1 plik zarażony sterownik na swoje miejsce powraca i znów rozpoczyna się cykl zarażania .

I w tym przypadku byc może tak się dzieje bo pliki systemowe które są zainfekowane uruchamiają się wraz ze startem komputera .

Najlepszą opcją jest leczenie systemu z poziomu płyty bootowalnej ze skanerem np. Kaspersky LAB , Dr.Web .

Bo wtedy nie są załadowane pliki systemowe .

[Maximus™]

Teraz jestem w 10,5% zadowolony ponieważ spójrz na rezultaty :

Download:

 

http://www.speedyshare.com/67VQn/OTL.rar

Skan:

 

http://virusscan.jotti.org/pl/scanresult/20a510b71439764d6a8681cf28d230aeeb50068a

Screen :

Zelo !

[Fr3shMak3r]

W logu też pięknie widzę .

Nie widac śladów Sality ( po za wpisami mountpoints2 w rejestrze) ,ale zaraz to usuniemy.

Zabrakło 2 loga Extras bo nie zaznaczyłeś w OTL skan rejestr dodatkowy na użyj filtrowania .

Też bardzo ważny log bo ma podreślac czy nadal istnieją blokady w rejestrze nałożone przez Sality oraz autoryzacje ipsec .

Dostarcz log Extras zaznacz tylko Skan rejestr dodatkowy na użyj filtrowania .

[Maximus™]

Proszę o to co prosiłeś :

Download:

 

http://www.speedyshare.com/EUaA9/Extras.rar

Skan:

 

http://virusscan.jotti.org/pl/scanresult/416d6ffe2f0b611a0f1a8584d234638a2f14eb71

Mam nadzieje że nic nie będzie .

[Fr3shMak3r]

Blokady zdjęte .

Autoryzacje Ipsec nadal są ,ale to już nie oznacza że Sality nadal w toku .

To mogą byc pozostałości po Sality .

 

1. Uruchom OTL i w Oknie Własne Opcje Skanowania :

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandnetndis.sys -- (andnetndis)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandnetmodem.sys -- (ANDNetModem)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandnetdiag.sys -- (AndNetDiag)

:Files
C:\ayfxyd.pif
C:\krtta.pif

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winggybg.exe" =-
"C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winqqbpb.exe" =-
"C:\DOCUME~1\ZACHAR~1.ZAC\USTAWI~1\Temp\winggybg.exe" =-

:Commands
[emptytemp]

I klik na wykonaj skrypt zatwierdź restart i pokazujesz log z usuwania + nowy log OTL i Extras !

 

 

 

Otwórz Notatnik i wklej w nim :

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 

Zapisz jaki FIX.reg

W prawokliku z Opcji Scal potwierdź import do rejestru

[Maximus™]

Proszę to PRZED scaleniem :

 

http://www.speedyshare.com/MgXHA/OTL-i-Extras.rar

 

http://virusscan.jotti.org/pl/scanresult/a8b880afb3949c5bffb59a98b6ea9a6ffad4ea5b

Co dalej ?

[Fr3shMak3r]

Zaimportowales to do rejestru co ci kazalem ?

Dodatkowo sprawdz czy dziala tryb awaryjny.

[Maximus™]

Tak tak już proszę :

 

http://www.speedyshare.com/gGqQd/Pulpit.rar

 

http://virusscan.jotti.org/pl/scanresult/76fce2b4f1779807a8f2fb64dd16c50cbc0f110a

[Fr3shMak3r]

Ok juz Extras jest ok po zaimportowaniu .

Nie odpowiedziales czy tryb awaryjny dziala.

[Maximus™]

A jak sprawdzić mój mistrzu

[Fr3shMak3r]

F8 caly czas klikasz jak uruchamiasz komputer .

I tryb awaryjny wybierasz.

[Maximus™]

Tryb awaryjny jest wyłączony.

[Fr3shMak3r]

Czyli nie dziala .
Klucz SafeBoot uszkodzony albo usuniety calkowicie z rejestru .
Pobierz Sality reg keys

support.kaspersky.com/downloads/utils/sality_regkeys.zip

I wybierz plik pod swoj system w twoim przypadku bedzie XP.
I w prawokliku z opcji scal potwierdz import do rejestru i dopiero zobacz

[Maximus™]

Scaliłem i jak zobaczyć? bo jak daje f8 to mam jakieś "Tryb Awaryjny" itd.