Zaloguj się

WuEmEs · 07.04.2013, 15:50

Na karcie pamięci pokazuję się skróty folderów zamiast folderów w których mam zdjęcia i filmiki.

Komputer skanowałem Malwarebytes Anti-Malware

Logi:
Log z OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

RSIT

[Aby zobaczyć linki, zarejestruj się tutaj]

Bardzo proszę o pomoc, nie mogę starcić tych plików Sad

**tachion** · 07.04.2013, 16:49

No to klops zainfekowałeś się Salityktóry infekuje pliki wykonywalne,ściągnij program sality killer

[Aby zobaczyć linki, zarejestruj się tutaj]

I uruchom,wykonuj nim skan dopóki nie będziesz miał informacji zero zainfekowanych

Po wszystkim zrób jeszcze raz skan w OTLi podaj mi log z OTLjak i Extras

WuEmEs · 08.04.2013, 18:21

Chyba cały dzień mi skanowało ale w końcu wszystkie zostały usunięte sality.

Log z OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Proszę o dalsze wskazówki Wink

**tachion** · 08.04.2013, 20:22

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX2K.SYS -- (UNDPX2K)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX2A.SYS -- (UNDPX2A)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX1K.SYS -- (UNDPX1K)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPR3K.SYS -- (UNDPR3K)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\qklsn.sys -- (amsint32)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 3

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 3

O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found

O9 - Extra ''Tools'' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found

O33 - MountPoints2\{566154c2-98a5-11e2-a4a6-806d6172696f}\Shell - "" = AutoRun

O33 - MountPoints2\{566154c2-98a5-11e2-a4a6-806d6172696f}\Shell\AutoRun\command - "" = E:\Run.exe

:Files

AUTORUN.INF /alldrives

$RECYCLE.BIN /alldrives

RECYCLER /alldrives

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-2

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-1

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-31

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin

:Commands

[RESETHOSTS]

[clearallrestorepoints]

[EMPTYTEMP]

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL

WuEmEs · 08.04.2013, 21:32

Nie mogę odpalić systemu w trybie awaryjnym ;c. Wyskakuje jakiś bład na niebieskim tle.

Dodano: 08 kwie 2013, 22:32

Ale pliki się pojawiły półprzezroczyste na karcie pamięci, na której wcześniej były tylko skróty .

**tachion** · 08.04.2013, 21:40

Hmm tak myślałem że może się tak stać,ściągnij SafeBootWinXPi prawym przyciskiem myszki kliknij scal ,wpisy zostaną dodane do rejestru,uruchom ponownie i spróbuj jeszcze raz

[Aby zobaczyć linki, zarejestruj się tutaj]

Napisz jeszcze czy miałeś czytnik z kartą w komputerze jak wykonywałeś skan sality killerem?

WuEmEs · 08.04.2013, 21:51

Tak, mam wbudowane czytniki. Program poprostu się włączył i zaczął skanowanie partycji C i D w czarnym okienku. Cały dzień mi skanował, chyba milion tych wirusów wykrył, potem odpaliłem go jeszcze raz i infekcji już nie było.

**tachion** · 08.04.2013, 22:17

Ściągnij dodatkowo program USBVaccinezaznacz wszystko i zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

i wykonaj tą reszte

WuEmEs · 08.04.2013, 22:26

Wkleiłem skrytp, ale przy Moving file RECYCLER się zawiesza .

**tachion** · 08.04.2013, 22:44

Dziwne to wklej bez tego tak:

Kod:
:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX2K.SYS -- (UNDPX2K)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX2A.SYS -- (UNDPX2A)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX1K.SYS -- (UNDPX1K)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPR3K.SYS -- (UNDPR3K)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\qklsn.sys -- (amsint32)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 3

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 3

O9 - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found

O9 - Extra ''Tools'' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found

O33 - MountPoints2\{566154c2-98a5-11e2-a4a6-806d6172696f}\Shell - "" = AutoRun

O33 - MountPoints2\{566154c2-98a5-11e2-a4a6-806d6172696f}\Shell\AutoRun\command - "" = E:\Run.exe

:Files

AUTORUN.INF /alldrives

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-2

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-1

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-31

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin

:Commands

[RESETHOSTS]

[clearallrestorepoints]

[EMPTYTEMP]

Rozumiem że tryb awaryjny już działa ?

WuEmEs · 08.04.2013, 22:53

Kod:
All processes killed

========== OTL ==========

Error: No service named UNDPX2K was found to stop!

Service\Driver key UNDPX2K not found.

File C:\WINDOWS\system32\drivers\UNDPX2K.SYS not found.

Error: No service named UNDPX2A was found to stop!

Service\Driver key UNDPX2A not found.

File C:\WINDOWS\system32\drivers\UNDPX2A.SYS not found.

Error: No service named UNDPX1K was found to stop!

Service\Driver key UNDPX1K not found.

File C:\WINDOWS\system32\drivers\UNDPX1K.SYS not found.

Error: No service named UNDPR3K was found to stop!

Service\Driver key UNDPR3K not found.

File C:\WINDOWS\system32\drivers\UNDPR3K.SYS not found.

Error: No service named amsint32 was found to stop!

Service\Driver key amsint32 not found.

File C:\WINDOWS\system32\drivers\qklsn.sys not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{40525A66-DB98-480D-BCF9-7AF88C1AF438}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40525A66-DB98-480D-BCF9-7AF88C1AF438}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{40525A66-DB98-480D-BCF9-7AF88C1AF438}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40525A66-DB98-480D-BCF9-7AF88C1AF438}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{566154c2-98a5-11e2-a4a6-806d6172696f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{566154c2-98a5-11e2-a4a6-806d6172696f}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{566154c2-98a5-11e2-a4a6-806d6172696f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{566154c2-98a5-11e2-a4a6-806d6172696f}\ not found.

File E:\Run.exe not found.

========== FILES ==========

AUTORUN.INF not found in C:\

AUTORUN.INF not found in D:\

I:\autorun.inf moved successfully.

$RECYCLE.BIN not found in C:\

$RECYCLE.BIN not found in D:\

$RECYCLE.BIN not found in I:\

RECYCLER not found in C:\

D:\RECYCLER\S-1-5-21-1078081533-1645522239-1801674531-1003\Dd26.XviD-MoH folder moved successfully.

D:\RECYCLER\S-1-5-21-1078081533-1645522239-1801674531-1003\Dd25.DvDRip-FxM folder moved successfully.

D:\RECYCLER\S-1-5-21-1078081533-1645522239-1801674531-1003\Dd24.XviD folder moved successfully.

D:\RECYCLER\S-1-5-21-1078081533-1645522239-1801674531-1003 folder moved successfully.

D:\RECYCLER folder moved successfully.

RECYCLER not found in I:\

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-2 folder moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-1 folder moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok folder moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok folder moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-31 folder moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin moved successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

Unable to stop System Restore Service. Error code 1722. Restore points not cleared.

Restore point Set: OTL Restore Point

[EMPTYTEMP]

User: Administrator

->Temp folder emptied: 286299523 bytes

->Temporary Internet Files folder emptied: 556741 bytes

->FireFox cache emptied: 23760234 bytes

->Flash cache emptied: 10801 bytes

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService

->Temp folder emptied: 66284 bytes

->Temporary Internet Files folder emptied: 33228 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 25375300 bytes

RecycleBin emptied: 0 bytes

Total Files Cleaned = 321,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 04082013_232514

Files\Folders moved on Reboot...

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\8wpr4sg8.default\startupCache\startupCache.4.little moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\8wpr4sg8.default\Cache\4\7B\177EEd01 moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\8wpr4sg8.default\Cache\_CACHE_001_ moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\8wpr4sg8.default\Cache\_CACHE_002_ moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\8wpr4sg8.default\Cache\_CACHE_003_ moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\8wpr4sg8.default\Cache\_CACHE_MAP_ moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\8wpr4sg8.default\_CACHE_CLEAN_ moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Dodano: 08 kwie 2013, 23:51

Zapomniałem żeby to na awaryjnym zrobić. To coś skomplikuje ?

Dodano: 08 kwie 2013, 23:53

Znowu nie widać folderów

**tachion** · 08.04.2013, 22:57

Skan jeszcze raz otl i pokaż log

WuEmEs · 08.04.2013, 22:58

dobra pojawiły się

**tachion** · 08.04.2013, 23:19

Ale i tak zrób ten skan.
A tak na marginesie były 2 infekcje sality jak i brontok

Aha i też jest jedna niewiadoma czy mbam lub avg czegoś nie wykasował więc jak czegoś nie będzie to będzie w kwarantannie bo jest tak jak pisałem infekcja plików czyli złośliwy kod został doklejony do wybranych typów plików w tym przypadku exe i scr

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie