Prosze o sprawdzenie logów

[juvenis]

extras:
http://wklej.eu/index.php?id=8ebaaa66be
otl:
http://wklej.eu/index.php?id=af6f514c4b
gmer:
http://wklej.eu/index.php?id=b2d1b2473c

[mateo8898]

Odinstaluj toolbary: Conduit Engine, Softonic-Eng7 Toolbar

Z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Deletion i podaj utworzony log.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
O33 - MountPoints2\{f9e77a78-ad38-11df-9b55-0080c6e9ea65}\Shell\AutoRun\command - "" = F:\nekpukne\\\sveinapusti.exe
O33 - MountPoints2\{f9e77a78-ad38-11df-9b55-0080c6e9ea65}\Shell\explore\command - "" = F:\nekpukne\\\sveinapusti.exe
O33 - MountPoints2\{f9e77a78-ad38-11df-9b55-0080c6e9ea65}\Shell\Install\command - "" = F:\nekpukne\\\sveinapusti.exe
O33 - MountPoints2\{f9e77a78-ad38-11df-9b55-0080c6e9ea65}\Shell\open\command - "" = F:\nekpukne\\\sveinapusti.exe
O33 - MountPoints2\{6b8534dd-a94b-11df-9b45-0080c6e9ea65}\Shell\AutoRun\command - "" = F:\i00dvoym.exe
O33 - MountPoints2\{6b8534dd-a94b-11df-9b45-0080c6e9ea65}\Shell\open\Command - "" = F:\i00dvoym.exe
O33 - MountPoints2\{d7b2911e-3b19-11de-87ab-806d6172696f}\Shell - "" = AutoRun
[2011-03-14 09:59:58 | 000,017,878 | -H-- | M] () -- C:\WINDOWS\System32\vcmgcd32.dl_

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Zrób także pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)

[juvenis]

UsbFix:
http://wklej.eu/index.php?id=6478041ce2
OTL usuwanie:
http://wklej.eu/index.php?id=372db53fad
OTL:
http://wklej.eu/index.php?id=70bb9a1b66
Extras:
http://wklej.eu/index.php?id=58a513c2ed
Dr.Web
http://wklej.eu/index.php?id=20928b9be4

[mateo8898]

Czyli niestety tak jak się spodziewałem, masz Sality. Zastosuj się do tego poradnika viewtopic.php?f=22&t=20698#p111372 (szczepionka + Dr. Web, gdy będzie czysto nowe logi).

[juvenis]

nie wiem czy dobrze robie ale właczyłem SalityKiller.exe a chwile pozniej tego Disable_autorun.reg. tylko ze nie mam Kaspersky Lab. inie wiemczy dobrze to zrobiłem, pomijając Kaspersky Lab robie wszystko według instrukcji. mam pytanie czy dr.web mam pobrac na nowo i zapisać go z rozszezenie .com, i czy on ma byc włączony w czasie działania SalityKiller.exe.

[kominekl]

Krok 4. Czyszczenie rejestrów z zainfekowanych komputerów w sieci domeny:

* pobierz ten plik Sality_RegKeys.zip
* rozpakuj go Sality_RegKeys.zip
* uruchom plik Disable_autorun.reg z archiwum Sality_RegKeys.zip

Jeśli chodzi Ci o ten punkt i Go zrobiłeś to OK. Co do Dr.Web CureIt`a to możesz go użyć, ale myślę, że jednak bezpieczniej będzie pobrać Go ponownie.

[mateo8898]

Zrób kilka skanów SalityKiller dotąd, dopóki nic nie będzie znajdował. Dopiero później zrób skan Dr.Web także tyle razy, aż nic nie znajdzie, najlepiej go pobierz od nowa.

Tym, że nie masz antywira od Kasperskiego (chodzi o ten Kaspersky Lab) to nie zwracaj uwagi na to. Po prostu producent pisze instrukcje pod swój produkt.

[juvenis]

Robiłem skany SalityKillernic nie znajdował, później Dr.Web ale on zawsze cos znajdował a jeden skan to jakieś 12h. jakos dłuzej skanować to chyba bez sensu, wiec zdecyduje sie jednak na format. ale powiedz mi tylko czy moge zgrac pliki .pdf, .txt, jpg, .dwg. Są to dla mnie bardzo ważne pliki wiec nie chcial bym ich starcic a troche tego jest. Prosiłbym o rade i dziekuje za wszelką pomoc.

[mateo8898]

Tak, możesz te pliki skopiować. Jeśli chodzi o format to więcej masz opisane w poradniku usuwania Sality.
Ale zanim go zrobisz, wrzuć jeszcze nowe logi z OTL, może jednak udało się tego syfu pozbyć.

[juvenis]

log otl:
http://wklej.eu/index.php?id=df057035d8
extras:
http://wklej.eu/index.php?id=a4932644f8

[mateo8898]

W miarę dobrze to wygląda, śladów Sality nie widać.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\Documents and Settings\PC\Menu Start\Programy\Autostart\SalityKiller.lnk
C:\Documents and Settings\PC\fswagz.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Zrób jeszcze skan za pomocą Kaspersky Virus Removal Tool viewtopic.php?f=22&t=13967#p88743 (powinien o wiele szybciej skanować niż Dr.Web).

Czy w pakiecie CIS masz zainstalowanego antywira, czy sam firewall???

[juvenis]

otl usuwanie:
http://wklej.eu/index.php?id=db2f51583c
otl:
http://wklej.eu/index.php?id=887dc3cdb3
extras:
http://wklej.eu/index.php?id=b774433046
kaspersky:
http://wklej.eu/index.php?id=feff49d90e
Mam zainstalowanego tylko firewall'a, zreszta z twojej porady.

[mateo8898]

W takim razie przydałoby się doinstalować w pakiecie antywirus Comodo lub osobny program.

Jeszcze jeden plik został, z którym OTL nie dał sobie rady.

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Files to delete:
C:\Documents and Settings\PC\fswagz.exe

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | Taskman

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt + nowe logi z OTL.

[juvenis]

wyskakuje odmowa dostępu error 5 i nieprawidłowe dojście error 6. Nie wiem czemu tak ja w sumie odinstalowałem jakieś programy.

[kominekl]

Spróbuj użyć ponownie Avanger`a (wklej ten sam kod, co wcześniej, w taki sam sposób, jak poprzednio), ale tym razem w trybie awaryjnym, jako administrator.