No Sality wygląda na usuniętego. Brawo
Jeszcze tylko odblokujemy tryb awaryjny w tym celu pobirez to ->http://www29.zippysh...82765/file.html
Na pliku kliknij prawym przyciskiem myszy i wybierz opcję "Scal" potwierdzając import do rejestru.
Ale ja masz na pendrive jakieś instalki programów i inne pliki wykonywalne ( *.exe, *.com, *.dll i innne to uważaj bo może się zainfekować ponownie ) A teraz usuwamy te "mniejsze" infekcje
Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej:
:OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\wupdmgr.exe -- (Windows updata) SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc) SRV - [2011-06-26 07:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart) DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\Ja\USTAWI~1\Temp\5689.sys -- (5689) DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\Ja\USTAWI~1\Temp\3122.sys -- (3122) DRV - [2012-07-07 17:53:13 | 000,033,824 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\oreans32.sys -- (oreans32) O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoInternetOpenWith = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O33 - MountPoints2\{789fdbf8-9f37-11e0-a6f4-001e8cca864d}\Shell\Auto\command - "" = F:\wupdmgr.exe O33 - MountPoints2\{789fdbf8-9f37-11e0-a6f4-001e8cca864d}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wupdmgr.exe :Files D:\AutoRun.inf C:\AutoRun.inf C:\WINDOWS\System32\drivers\vfycnav.sys C:\Documents and Settings\All Users\Dane aplikacji\xgjvryrjbxyejmq C:\Documents and Settings\Admin\Dane aplikacji\System32 C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00000B37000B73698DB91C90 C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00015033000B73690CDF108C C:\Documents and Settings\All Users\Dane aplikacji\qonecttejkpzkpi C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\wincvflk.exe C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\winqtwgo.exe :Commands [emptytemp]Kliknij Wykonaj skrypt daj log z usuwania.
Następnie:
- Daj nowe logi z OTL'a ( przypadku trudności z wykonaniem skrypu zrób to w trybie awaryjnym )