pawel315

Witaj.
No Sality wygląda na usuniętego. Brawo
Jeszcze tylko odblokujemy tryb awaryjny w tym celu pobirez to ->http://www29.zippysh...82765/file.html
Na pliku kliknij prawym przyciskiem myszy i wybierz opcję "Scal" potwierdzając import do rejestru.
Ale ja masz na pendrive jakieś instalki programów i inne pliki wykonywalne ( *.exe, *.com, *.dll i innne to uważaj bo może się zainfekować ponownie ) A teraz usuwamy te "mniejsze" infekcje
Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\wupdmgr.exe -- (Windows updata)
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)
SRV - [2011-06-26 07:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)
DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\Ja\USTAWI~1\Temp\5689.sys -- (5689)
DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\Ja\USTAWI~1\Temp\3122.sys -- (3122)
DRV - [2012-07-07 17:53:13 | 000,033,824 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\oreans32.sys -- (oreans32)
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoInternetOpenWith = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O33 - MountPoints2\{789fdbf8-9f37-11e0-a6f4-001e8cca864d}\Shell\Auto\command - "" = F:\wupdmgr.exe
O33 - MountPoints2\{789fdbf8-9f37-11e0-a6f4-001e8cca864d}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wupdmgr.exe

:Files
D:\AutoRun.inf
C:\AutoRun.inf
C:\WINDOWS\System32\drivers\vfycnav.sys
C:\Documents and Settings\All Users\Dane aplikacji\xgjvryrjbxyejmq
C:\Documents and Settings\Admin\Dane aplikacji\System32
C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00000B37000B73698DB91C90
C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00015033000B73690CDF108C
C:\Documents and Settings\All Users\Dane aplikacji\qonecttejkpzkpi
C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\wincvflk.exe
C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\winqtwgo.exe

:Commands
[emptytemp]

Kliknij Wykonaj skrypt daj log z usuwania.
Następnie:

• Daj nowe logi z OTL'a ( przypadku trudności z wykonaniem skrypu zrób to w trybie awaryjnym )

I prosiłbym Ciebie o wklejaniu logów do tagów [code=auto:0]

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gppsir.sys -- (abp470n5)

No to jest Win32:Sality zapraszam do tego tematu ->/Infekcje-w-plikach-wykonywalnych-Ciezkie-do-usuniecia-przypadki-t52284/
tymi skanerami lecz tyle razy, aż nie będą nic wykrywały, potem daj nowe logi OTL'a ( bo infekcji tu mnóstwo )

Musisz zrobić logi programem OTL bo te są z HiJackThis'a

daj logi z OTL'a to Ci pomogę

moim zdaniem - bierz AVG

to wykluczmy te infekcje najpierw
Daj logi z OTL'a ->http://www.forum.twe...ami-t37796.html
I tak przy okazji zapraszam do lektury infekcje w plikach wykonywalnych

To co napisałeś to pusty wpis w OTL'u a jak nie uda Ci się z OTL to pobierz jakiś skaner z tematu polecane skanery antyvirusowe i przeskanuj.
A i jeszcze mała podpowiedź usuń jutro wpis z Autostartu o nazwie: rt(coś tam) .lnk i nie powinno być wira

No to się bardzo cieszę
Jeszcze tylko w OTL'u kliknij "Sprzątanie"
i wykonaj kroki końcowe ->/Czynnosci-ktore-finalizuja-temat-t52069/

Witaj.
Ja tu tylko widzę coś al'a UKASH
Odinstaluj:

SweetPacks bundle uninstaller
SweetPacks for Internet Explorer

Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10009&barid={2DA2E2BD-31BB-11E2-8AC3-642737DFA80C}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10009&barid={2DA2E2BD-31BB-11E2-8AC3-642737DFA80C}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10009&barid={2DA2E2BD-31BB-11E2-8AC3-642737DFA80C}
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10009&barid={2DA2E2BD-31BB-11E2-8AC3-642737DFA80C}
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)
O4 - HKCU..\Run: [Bnncnd] C:\Users\Media\AppData\Roaming\Bnncnd.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Files
C:\Users\Media\wgsdgsdgdsgsd.exe
C:\Users\Media\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\dsgsdgdsgdsgw.pad

:Commands
[emptytemp]

Kliknij Wykonaj skrypt daj log z usuwania.
Następnie:

• Powiedz czy problem minął

jak nie ma problemu to na koniec ->/Czynnosci-ktore-finalizuja-temat-t52069/
i
Pozdrawiam

no i jak już możesz zainstalować ?
plik hosts zresetowany?
daj nowe logi z OTL';a dla pewności

Jest brontok i restarty to jego wina

Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej:

:processes
killallprosesses
:OTL
O4 - HKLM..\Run: [Bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe ()
O4 - HKLM..\Run: [Driver Genius]  File not found
O4 - HKU\S-1-5-21-3924788141-2291843016-61265498-1000..\Run: [Tok-Cirrhatus] C:\Users\Piotrek\AppData\Local\smss.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-3924788141-2291843016-61265498-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKU\S-1-5-21-3924788141-2291843016-61265498-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-3924788141-2291843016-61265498-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()

:Files
C:\Users\Piotrek\AppData\Local\Bron*
C:\Users\Piotrek\AppData\Local\Loc.Mail.Bron.Tok
C:\Users\Piotrek\AppData\Local\Ok-SendMail-Bron-tok
C:\Windows\eksplorasi.exe
C:\Users\Piotrek\AppData\Local\*.exe

:Commands
[emptytemp]

Kliknij Wykonaj skrypt daj log z usuwania.
1. Następnie:

• Odbuduj plik hosts tym -> http://go.microsoft.com/?linkid=9668866
• Daj nowe logi z OTL'a i sprawdź czy przeszło a w razie problemow wykonaj to w trybie awaryjnym

Gdy próbuje pobrać GMER tak jak jest napisane w 4 punkcie, komputer uruchamia się ponownie. Zaraz dodam loga.

to w trybie awaryjnym wykonaj i logi z OTL'a w normalnym

Dziś mamy podejrzenia infekcji plików wykonywalnych ->/Zasady-zakladania-tematow-z-logami-t37796/
logi z OTL'a daj

Witaj.
Odinstaluj:

Spybot - Search & Destroy

Uruchom OTL w okienku Własne opcje skanowania/skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-49222168-3748582721-573154696-1003..\Run: [BrowserChoice] "C:\Windows\System32\browserchoice.exe" /run File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-49222168-3748582721-573154696-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Commands
[emptytemp]

Kliknij Wykonaj skrypt daj log z usuwania.
1. Następnie:

• W OTL'u kliknij "Sprzątanie"
• Dodatkowo dwa skany z tego tamatu wykonaj Mbam i KVRT i dajesz z tego logi ->/Lista-polecanych-skanerow-antywirusowych-t52057/