ordynat

1) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2012-03-14 00:08:10 | 000,346,624 | ---- | C] () -- C:Documents and SettingsOmenUstawienia lokalneDane aplikacjikvgegafc.exe

:Reg
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
"c:program filesrelevantknowledgerlvknlg.exe"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Użyj >Adw-cleaner (ściągnij na Pulpit i kliknij w nim Deletion
Pokaż raport z niego C:AdwCleaner[S1].txt.

3) Zrób nowy log z OTL, ale zaznacz w OTL okienko "Wszyscy użytkownicy"

.

Skoro NOD nic nie wykrywa, to to mulenie pewnie tylko przypadkowo zbiegło się w czasie z "fixnod".
A na mulenie jeszcze nikt nie wymyślił lekarstwa (poza kupnem nowego komputera).

.

PRC - [2011-08-07 19:46:44 | 002,614,784 | ---- | M] (Microsoft Corporation) -- C:Windowsexplorer.exe

Nie sądzę, by ten plik trzeba było podmienić. Data ostatniej modyfikacji jest zbyt odległa.

Tylko kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2012-02-03 13:15:33 | 000,000,023 | ---- | C] () -- C:UsersAcerAppDataRoamingC76AC7.dat
O4 - HKLM..Run: [Copy Handler] File not found
O4 - HKCU..Run: [] File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Script.
.

W logach nie widzę żadnej infekcji.
W logu Extras widać błędy spowodowane nieprawidłowym działaniem usług Systemowych - ale to już nie moja sprawa, ja zajmuję się wyłącznie wirusami.

Kosmetyka:

1) Użyj >Ad-Remover i kliknij w nim Clean (uruchom z prawokliku "jako Administrator)

2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKCU\..\URLSearchHook: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Program Files\DVDVideoSoft\prxtbDVD2.dll (Conduit Ltd.)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Program Files\DVDVideoSoft\prxtbDVD2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Program Files\DVDVideoSoft\prxtbDVD2.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - C:\Program Files\DVDVideoSoft\prxtbDVD2.dll (Conduit Ltd.)
O4 - HKLM..\Run: [] File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Script.

.

Tak, tradycyjne usuwanie SALITY/SECTOR jest długotrwałe, i trzeba je wielokrotnie powtarzać, bo wirus może zarażać pliki dopiero co wyleczone - nic na to nie poradzę.

czy mogę przenieść niektóre pliki na pendrive

Na penie nie może się znaleźć żaden plik *.exe oraz żaden plik *.scr.
Inne możesz spokojnie przenieść.
Oczywiście przed przenoszeniem musisz użyć USBFix, by z pena usunął "Recycler'a".

.

Ludzie kochani - od kiedy to na Sality/Sector stosuje się MBAM albo Spybot?
To tak, jakby z szabelką iść na czołgi.
Nie ta klasa.

Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >http://www.fixitpc.p...e-ze-skanerami/

Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) Użyj Sality Killer -->http://support.kaspe.../?qid=208279886
Link zapasowy, gdyby wirus zablokował stronę narzędzia: >[hide] http://www.speedysha...alityKiller.com[/hide]
2) Użyj Sality Remover/rmsality>http://www.softpedia...oad-105925.html
Link zapasowy >[hide]http://www.zshare.ne...19025638c1dcfd/[/hide]
3) Użyj >http://www.dobreprog...dows,12976.html
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>[hide] http://www.mediafire...kg9tf0n8975j71g[/hide]
4) wszystkie skany powtarzaj wielokrotnie po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
6) wtedy dasz nowe logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy).

.

ten toolbar to chyba forumowy jakiś macie wbudowany

Możliwe. Tylko dlaczego u mnie nie ma takiego toolbaru, mimo iż też jestem czasami na tym Forum?


OK, infekcji już nie ma.

Kroki końcowe:
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie zniknie ComboFix i TDSSKiller.


KVRT - przed odinstalowaniem trzeba w nim wyłączyć samoochronę.
Dr.Web - usuwa się tak jak każdy inny plik - ręcznie.

EDIT:
Rzeczywiście, u mnie też się pojawia Wibya na dole strony.
Widocznie tak musi być .
.

Nie widzę tu żadnej infekcji.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O2 - BHO: () - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll File not found
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (Pasek &Crawler) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll File not found
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-1454471165-1343024091-682003330-1003\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found.
O3 - HKU\S-1-5-21-1454471165-1343024091-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1454471165-1343024091-682003330-1003\..\Toolbar\WebBrowser: (Pasek &Crawler) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll File not found
O3 - HKU\S-1-5-21-1454471165-1343024091-682003330-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [TNOD UP] C:\Program Files\TNod User & Password Finder\TNODUP.exe File not found
O4 - HKU\S-1-5-21-1454471165-1343024091-682003330-1003..\Run: [] File not found
[2010-12-24 20:15:07 | 000,002,424 | ---- | M] () -- C:\Documents and Settings\arek\Dane aplikacji\Mozilla\Firefox\Profiles\k16rlsym.default\searchplugins\askcom.xml
[2011-07-24 14:49:24 | 000,000,925 | ---- | M] () -- C:\Documents and Settings\arek\Dane aplikacji\Mozilla\Firefox\Profiles\k16rlsym.default\searchplugins\conduit.xml
[2011-08-10 08:57:11 | 000,001,276 | ---- | M] () -- C:\Documents and Settings\arek\Dane aplikacji\Mozilla\Firefox\Profiles\k16rlsym.default\searchplugins\search-the-web.xml
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
IE - HKU\S-1-5-21-1454471165-1343024091-682003330-1003\..\URLSearchHook: - Reg Error: Key error. File not found

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

.

Nie widzę tu żadnej infekcji, więc jeśli Twój Antivirus też nic nie wykrywa, to znaczy, że jest czysto.

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - D:\Programy\ArcaVir\WebExtensions\ie\ArcaIEExt.dll File not found
O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - D:\Programy\ArcaVir\WebExtensions\ie\ArcaIEExt.dll File not found

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script.
.

[2011/10/29 23:38:08 | 000,000,170 | ---- | C] () -- C:\windows\{51CFEDA0-F55D-9F94-1958-EC471DC

Znasz to?

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2011/10/28 23:13:36 | 000,000,000 | ---D | C] -- C:\windows\ufa
[2011/10/28 23:13:36 | 000,000,000 | ---D | C] -- C:\windows\rpcminer
[2011/10/28 23:13:36 | 000,000,000 | ---D | C] -- C:\windows\phoenix
[2011/10/28 22:58:53 | 000,000,000 | -H-D | C] -- C:\windows\update.5.0
[2011/10/28 17:30:38 | 000,000,000 | -H-D | C] -- C:\windows\update.3
[2011/10/28 16:47:11 | 000,000,000 | ---D | C] -- C:\windows\av_ico
[2011/10/28 12:07:41 | 000,000,000 | -H-D | C] -- C:\windows\update.2
[2011/10/28 12:03:30 | 000,000,000 | -H-D | C] -- C:\windows\update.1
[2011/10/28 12:03:23 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-9-0-lnk
[2011/10/28 12:03:23 | 000,000,000 | -H-D | C] -- C:\windows\update.tray-9-0
[2011/10/28 17:17:13 | 000,000,734 | ---- | M] () -- C:\windows\SysNative\drivers\etc\hîsts
[2011/10/28 11:51:49 | 001,198,080 | ---- | M] (Cronosoft) -- C:\windows\services32.exe
[2011/10/28 23:13:35 | 005,589,370 | ---- | C] () -- C:\windows\phoenix.rar
[2011/10/28 23:13:35 | 001,075,284 | ---- | C] () -- C:\windows\rpcminer.rar
[2011/10/28 23:13:35 | 000,182,617 | ---- | C] () -- C:\windows\ufa.rar
[2011/10/28 17:17:58 | 004,636,907 | ---- | C] () -- C:\windows\geoiplist
[2011/10/28 17:17:57 | 000,904,792 | ---- | C] () -- C:\windows\geoiplist.rar
[2011/10/28 17:17:57 | 000,246,272 | ---- | C] () -- C:\windows\unrar.exe
[2011/10/28 12:07:41 | 000,000,134 | ---- | C] () -- C:\windows\info1
[2011/10/28 12:05:22 | 000,000,000 | ---- | C] () -- C:\windows\loader2.exe_ok
[2011/10/28 12:05:20 | 000,258,048 | ---- | C] () -- C:\windows\sysdriver32_.exe

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

.

Aż taki "oblatany" to nie jestem.
Ogólnie:

[2011-10-15 01:12:51 | 000,036,292 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat to wpis daty instalacji infekcji

O4 - Startup: C:\Documents and Settings\Quba\Menu Start\Programy\Autostart\windate.exe () - ten wpis uruchamia plik infekcji samoczynnie wraz ze startem Systemu

MOD - [2011-10-16 15:00:38 | 000,514,321 | ---- | M] () -- C:\Documents and Settings\Quba\Menu Start\Programy\Autostart\windate.exe ten wpis uruchamia cały moduł infekcji wraz ze startem Systemu.
.

EDIT:
Dopiero teraz zauważyłem, że otrzymałeś już pomoc na forum "fixitpc", więc niepotrzebnie tu zawracałeś głowę.
.

W nowym logu OTL nie widzę już niczego podejrzanego.

Zobaczymy jeszcze, czy Dr.Web coś wykryje ...

.

A czy jest różnica w korzystaniu z Avasta w wersji 4.8 gdy jest wersja 6.

Sygnatury wirusów są aktualizowane, ale problem w tym, że wersja 4.8 ma niezałataną lukę w sobie, którą mogą wykorzystywać "wirusy".
Gdy odkryto tę lukę, to trzeba było szybko wymienić Avasty, zanim luka zostanie wykorzystana. Avast nigdy tej luki nie zlikwidował, bo uznał, że lepiej jest zainstalować wersję 5.0.418.0 niż łatać starą wersję.
>>http://www.bezpieczenstwosystemow.pl/index.php?topic=6674.30

.

Ja mam Avasta od wielu lat, i nigdy nie miałem z nim problemów.
Sam Antivirus nic nie znaczy, jeśli Użytkownik jest nieostrożny.
.

Uruchom OTL i w dolne białe pole wklej to:

:OTL
[2011-08-20 21:37:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\eJ13602JoFaC13602 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKCU..\Run: [ALLUpdate]  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) 

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.
Pokaż nowy log OTL.txt oraz raport z usuwania.

C:\Documents and Settings\All Users\Dane aplikacji\eJ13602JoFaC13602

Prawdopodobnie OTL nie poradzi sobie z usunięcem tego folderu, więc jeśli po usuwaniu go zauważysz, to spróbujesz usunąć go ręcznie (często to się da usunąć ręcznie).

File not found -- C:\Documents and Settings\Przemek\Pulpit\Stos.rar
File not found -- C:\Documents and Settings\Przemek\Pulpit\prawo.rar
File not found -- C:\Documents and Settings\Przemek\Pulpit\Pierwiastek.asm
File not found -- C:\Documents and Settings\Przemek\Pulpit\kolos.cpp
File not found -- C:\Documents and Settings\Przemek\Pulpit\kolejka.cpp
File not found -- C:\Documents and Settings\Przemek\Pulpit\aisd1.rar

Takie coś usuniesz za pomocą Delete FXP Files >http://www.deletefxpfiles.com/index2.html

Zainstaluj bezpieczniejszą wersję Javy >Java 7 (JRE)
Starą wersję odinstaluj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

.