Poniżej logi:
OTLhttp://wklej.to/ALj9a
OTL Extra http://wklej.to/VWA9J
Gmer 1http://wklej.to/xFGY1
Gmer 2http://wklej.to/HDXdN
Aktualizacje na programosy.pl:
VUPlayer • Zero Install • Zero Install Portable • tinyMediaManager Portable • tinyMediaManager • Ubisoft Connect • GetFLV • Kaspersky Rescue Disk • Vim
-
- Ogłoszenie:
Paskudztwo w win xp
5 posty(ów) • Strona 1 z 1
Paskudztwo w win xp
przez eustachyxxx 12 Sty 2016, 19:57
Poniżej logi:
OTLhttp://wklej.to/ALj9a
OTL Extra http://wklej.to/VWA9J
Gmer 1http://wklej.to/xFGY1
Gmer 2http://wklej.to/HDXdN
- eustachyxxx
- ~user
- Posty: 2
- Dołączenie: 12 Sty 2016, 19:45
Paskudztwo w win xp
przez ordynat 12 Sty 2016, 21:35
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpggl.sys -- (amsint32)
To usługa jednej z wersji SALITY/SECTOR, wirusa zarażającego wszystkie pliki *.exe.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2016-01-11 22:26:25 | 000,407,471 | -HS- | C] () -- C:\Documents and Settings\EWA PAWEŁ\Dane aplikacji\Svchost.exe
O4 - HKCU..\Run: [Svchost.exe] C:\Documents and Settings\EWA PAWEŁ\Dane aplikacji\Svchost.exe ()
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpggl.sys -- (amsint32)
:Files
C:\Documents and Settings\EWA PAWEŁ\Dane aplikacji\Mrdkdw.exe
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt.
================================================
Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >http://www.fixitpc.pl/topic/102-plyty-startowe-ze-skanerami/
Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) Użyj Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk
2) Użyj Sality Remover/rmsality>http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html
Link zapasowy >http://www.mediafire.com/?7lu3v8crhc9s8zc
3) Użyj Dr.Webcureit >http://www.freedrweb.com/download+cureit/?nc=t&lng=pl
(>>kliknij na: pobierz program Dr.WebCureIt i wyślij statystyki
>zaznacz: I accept Dr.Web License Agreement.
>kliknij: Continue)
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.mediafire.com/download/xj18w8qqnk5nsjc/dcureit.com
4) wszystkie skany powtarzaj wielokrotnie po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
6) Zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Addition.txt"
.
- ordynat
- ~user
- Posty: 4765
- Dołączenie: 02 Kwi 2010, 11:18
- Pochwały: 866
Paskudztwo w win xp
przez eustachyxxx 12 Sty 2016, 22:25
Ponowny skan z OTL http://wklej.to/V0mVA mam wrażenie, że nic się nie zmieniło...
Tu jeszcze raport po wykonaniu skryptu http://wklej.to/HcLYC
Skan z FRST http://wklej.to/TUnDe
a tu drugi skan http://wklej.to/u7JLS
Dr. Webcureit nie mogę ściągnąć z żadnego linku, narzędzie do usuwania raz się włączyły i zaraz wyłączył tak jakby nic się nie stało a widzę, po logach że robal nadal siedzi...
Nie mam jak wypalić płytki, tak jak mówiłem najchętniej bym go sformatował, ale nie mam w tej chwili jak...
Tu jeszcze raport po wykonaniu skryptu http://wklej.to/HcLYC
Skan z FRST http://wklej.to/TUnDe
a tu drugi skan http://wklej.to/u7JLS
Dr. Webcureit nie mogę ściągnąć z żadnego linku, narzędzie do usuwania raz się włączyły i zaraz wyłączył tak jakby nic się nie stało a widzę, po logach że robal nadal siedzi...
Nie mam jak wypalić płytki, tak jak mówiłem najchętniej bym go sformatował, ale nie mam w tej chwili jak...
- eustachyxxx
- ~user
- Posty: 2
- Dołączenie: 12 Sty 2016, 19:45
-
Paskudztwo w win xp
przez ordynat 13 Sty 2016, 01:31
D:\aomdaa.exe
Ten plik oznacza, że wirus SALITY dostał się na dysk twardy z zarażonego pendrive'a.
W chwili robienia logów ten pendrive nie był podpięty.
Otwórz Notatnik i wklej w nim:
D:\aomdaa.exe
C:\Documents and Settings\EWA PAWEŁ\Dane aplikacji\Svchost.exe
R3 amsint32; \??\C:\WINDOWS\system32\drivers\fpggl.sys [X]
S3 ApfiltrService; system32\DRIVERS\Apfiltr.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X]
S2 XAudioService; %SystemRoot%\system32\DRIVERS\xaudio.exe [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-796845957-1532298954-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-796845957-1532298954-682003330-1003\...\Run: [Svchost.exe] => C:\Documents and Settings\EWA PAWEŁ\Dane aplikacji\Mrdkdw.exe [0 ] ()
HKU\S-1-5-21-796845957-1532298954-682003330-1003\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-796845957-1532298954-682003330-1003\...\Policies\system: [DisableRegistryTools] 1
AlternateShell:
C:\Documents and Settings\EWA PAWEŁ\Dane aplikacji\Mrdkdw.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Svchost.exe
StandardProfile\AuthorizedApplications: [C:\WINDOWS\SOUNDMAN.EXE] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\ALCMTR.EXE] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\RTHDCPL.EXE] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [D:\aomdaa.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\Program Files\Synaptics\SynTP\SynTPEnh.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\PLFSetL.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\Atiptaxx.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\Program Files\Google\Chrome\Application\chrome.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\EWA PAWEŁ\Pulpit\OTL.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\EWA PAWEŁ\Pulpit\rkill.exe] => Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\explorer.exe] => C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec
StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\ntvdm.exe] => Enabled:ipsec
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Na pewno sytuacja się nie poprawi, dopóki SALITY będzie działał.
Staraj się ściągać i używać skanerów z rozszerzeniem *.com, bo z rozszerzeniem *.exe są natychmiast zarażane.
Poza tym pliki przed chwilą wyleczone są też natychmiast zarażane, dlatego skany muszą być wykonywane wielokrotnie, dotąd, aż nic już nie będzie wykrywane.
Nic tu innego nie da się wymyśleć.
Usuwanie SALITY trwa zwykle od kilku dni do kilku tygodni (licząc, że każdego dnia skanery skanują przez 20 godzin.
.
.
- ordynat
- ~user
- Posty: 4765
- Dołączenie: 02 Kwi 2010, 11:18
- Pochwały: 866
-
Paskudztwo w win xp
przez milka80 14 Sty 2016, 11:41
Straszne dziadostwo z tego, męczyłem się 3miechy, żeby się tego pozbyć:/
5 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 3 gości