Prosze o sprawdzenie log!

[prusaki]

Objawy zainfekowania:
restart systemu przy kazdej próbie pobrania jakiegokolwiek pliku niezaleznie od przeglądarki
pobieranie dochodzi do 99% i nie dochodzi do 100% przez co plików nie da się uruchomić
zaniedbalam ochronę przed wirusami

Wykonywane działania:
przez aresa udalo mi sie pobrac chrome i firefoxa
wgralam servicepack 3
zaktualizowane wszystko przez widows update
skanowanie sality killer trwa
wkleiłam te wygenerowane logi tutaj, ponieważ mam problem z obsługą strony wklej.org
jestem kompletnym laikiem i proszę o pomoc
co mam zrobic dalej?
Nie obrażę się jeśli będzie to opisane krok po kroku jak dla blondynki

Logi:

[prusaki]

skanuję komp salitycleaner tylko nie bardzo wiem w ktorym miejscu ukaze sie informacja, ze dosyc skanowania?

postępuję zgodnie z tą instrukcją:
"Pobierz SalityKiller. Wykonaj nim skan do skutku, tzn. po pierwszy przebiegu musi być powtórzony tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. Dopiero wtedy:

Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg i potwierdź import do rejestru.

Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

Zrób nowe logi: OTL z opcji Skanuj (ma powstać ponownie plik Extras) + GMER + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller. "

tylko dla kogoś tak zielonego ta instrukcja to hieroglify...
proszę o pomoc!

[prusaki]

aktualizacje systemu przez Update również były zablokowane
odblokowałam je umieszczając na pulpicie plik "xp-security-updates.reg"
przy nastepnym wyszukiwaniu aktualizacji nie wyskoczyły już żadne błędy
ale nadal przy pobieraniu dużej częsci programów występuje usterka
w google chrome notoryczne komunikaty o braku certyfikatów
fire fox najlepiej sobie radzi w tych warunkach, ale chce to uporządkowac jak nalezy.
z góry dzięki za pomoc

[tachion]

Rozumiem że wstawiłeś logi,ale nie rozumiem po co szukasz rozwiązań pisząc że ich i tak nie rozumiesz chociaż je wykonujesz.

Sality tu zagościł na pewno widać to po martwym wpisie R3 amsint32; \??\C:\WINDOWS\system32\drivers\mjkkv.sys [X]

Teraz nie wiem właściwie na czym stoimy. Wykonaj logi jeszcze raz i je wstaw,nie wykonując poza nimi już żadnych działań.

[prusaki]

tak, to był Sality.

Wklejam to co mam i proszę mi napisać co robic dalej?

Czy mogę zrobic cos jeszcze, co np. przyspieszy pracę przęglądarek?

Wielkie dzięki za każdą pomoc i poświęcony mi czas.

*Odkryłam coś czego nie było przed skanowaniem tym SalityKillerem. Nie mogę teraz otworzyc zadnego z trzech dysków. wyskakuje komunikat. Caption Hello world!
powoli mnie to załamuje.

[tachion]

Nie tylko Sality tu zagościł,widoczne jeszcze obiekty to Brontok i Adware.

Przechodzimy do działań.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

CloseProcesses:
HKU\S-1-5-21-842925246-1214440339-839522115-1001\...\Run: [MSConfig] => C:\Documents and Settings\hwdp\luraromi.exe [41271296 2014-11-05] (Audacity Team)
HKU\S-1-5-21-842925246-1214440339-839522115-1001\...\Run: [toudu] => C:\Documents and Settings\hwdp\toudu.exe
HKU\S-1-5-21-842925246-1214440339-839522115-1001\...\Run: [Tok-Cirrhatus] => "C:\Documents and Settings\hwdp\Ustawienia lokalne\Dane aplikacji\smss.exe"
HKU\S-1-5-21-842925246-1214440339-839522115-1001\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-842925246-1214440339-839522115-1001\...\Policies\Explorer: [NoFolderOptions] 1
HKU\S-1-5-21-842925246-1214440339-839522115-1001\...\MountPoints2: {d143e793-9b58-11e3-9fde-00138f85137a} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL touDu.Exe
HKU\S-1-5-21-842925246-1214440339-839522115-1001\...\MountPoints2: {d143e794-9b58-11e3-9fde-00138f85137a} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tOUdU.ExE
Lsa: [Authentication Packages] msv1_0 nwprovau
AlternateShell:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1398553930&from=cor&uid=SAMSUNGXSP1654N_S0GEJ10L236748&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://go.microsoft.com/fwlink/?linkid=39204
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1414743820421
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1414793028203
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab
DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab
FF Plugin: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=3 -> C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll No File
FF Plugin: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=9 -> C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll No File
FF Extension: Sup-SW - C:\Documents and Settings\hwdp\Dane aplikacji\Mozilla\Firefox\Profiles\zzl1s9of.default\Extensions\{f2456568-e603-43db-8838-ffa7c4a685c7} [2014-11-05]
FF Extension: Download Manager (S3) - C:\Documents and Settings\hwdp\Dane aplikacji\Mozilla\Firefox\Profiles\zzl1s9of.default\Extensions\[email protected] [2014-11-05]
CHR Plugin: (Default Plug-in) - default_plugin No File
S2 pricemeterliveUpdate; C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-04-27] (PriceMeter)
S3 pricemeterliveUpdatem; C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-04-27] (PriceMeter)
R3 amsint32; \??\C:\WINDOWS\system32\drivers\mjkkv.sys [X]
S4 aswSP; No ImagePath
C:\WINDOWS\$
C:\WINDOWS\msdownld.tmp
C:\Documents and Settings\hwdp\Ustawienia lokalne\Dane aplikacji\Update.10.Bron.Tok.bin
C:\Documents and Settings\hwdp\Ustawienia lokalne\Dane aplikacji\Bron.tok.A10.em.bin
C:\8aa30c3b798fe83264ecaf
C:\WINDOWS\UC.PIF
C:\WINDOWS\RAR.PIF
C:\WINDOWS\PKZIP.PIF
C:\WINDOWS\PKUNZIP.PIF
C:\WINDOWS\NOCLOSE.PIF
C:\WINDOWS\LHA.PIF
C:\WINDOWS\ARJ.PIF
C:\Documents and Settings\hwdp\napraw.bat
C:\Documents and Settings\hwdp\toudu.scr
C:\Documents and Settings\hwdp\rugeb.exe
C:\Documents and Settings\hwdp\luraromi.exe
C:\WINDOWS\WMSysPr9.prx
C:\WINDOWS\system32\roboot.exe
Task: C:\WINDOWS\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\pricemetertask.job => C:\Documents and Settings\hwdp\Ustawienia lokalne\Dane aplikacji\PriceMeter\TEMP\pricemeter.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\pricemeterwatcher.job => C:\Documents and Settings\hwdp\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeterw.exe <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
CMD: netsh firewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Price Metar
Update for PriceMeter
WiseEnhance

Ściągnij fix i z prawo kliku myszki scal wprowadzając wpis do rejestru.

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom komputer ponownie.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń
Pokaż raport z niego.

Podłącz wszelkie urządzenia przenośne typu pendrive do portu usb.

Ściągnij program UsbFix

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom i podaj nowy log z niego klikając w opcję listing.

[prusaki]

To jest zdaje się raport.

Odinstalowanie nie wiem jak wykonać. w opcji dodaj/usun programy nie wystepują takie nazwy.

no i nie mogę ściągnąć tego fixa.

Co dalej?

Teraz zaczął wyskakiwac mi błąd z jakąś aplikacją Raubbaus.
W pewnym momencie te wszystkie skanowania i SalityKiller sprawiły, że komputer chodził przyzwoicie.
Ale za kazdym kolejnym włączeniem wyskakuje nowy błąd. Raubbaus wyskakuje tak często, że nie zdąrzam dopisac zdania.

[tachion]

Jak nie możesz ściągnąć fixa ?

Ewentualnie uruchom UsbFix i klik Vaccinate,włóż nośnik wymienny do portu usb i klik listing.

Nie podałeś mi raportu z adwcleaner.

[prusaki]

no nie mogłam
wyskakiwał błąd tak jak przy ściąganiu czegokolwiek innego.
jak nie włączałam do dwa dni to udało się ściągnąć.
scalic? jak scalic i z czym to scalic ?
nie robiłam juz kolejnych kroków kiedy stanęłam na poprzednim i nie wiem co robic dalej.

[nikita]

scalic? jak scalic i z czym to scalic ?

Pliki .reg można scalić z rejestrem systemowym, czyli po prostu... dodać wartości w nich zdefiniowane do rejestru. Chyba że te wartości są ujemne to dodaje się do rejestru odjęcie, co daje odjęcie - jak w matematyce

Ściągnij fix i z prawo kliku myszki scal wprowadzając wpis do rejestru.

Zapisujesz plik .reg np. na pulpit, klikasz prawym przyciskiem myszki i wybierasz "Scal". Potwierdzasz zmiany i gotowe.

PS
Chyba dlatego nie określa się tego "dodaniem" a "scaleniem"...

[prusaki]

scalanie zakończone
pomimo, że wstępnie było zablokowane przez administratora, taki komunikat wyskoczył, udało mi się to odblokowac i scalic

tu jest raport z AdwCleaner

teraz zaczynam prace z UsbFix ale zacina sie i wyłącza
może inna wersję ściągnę...

i co dalej?

[prusaki]

UsbFix zacina się przy próbie rozpoczęcia jakiegokolwiek działania

czy jest jakiś inny program podobny którym mogę zastąpic UsbFix ?

[tachion]

Sprawdź czy działa tryb awaryjny i z jego poziomu spróbuj,jeśli nie działa zastosujemy poprawkę.

Listing wykonaj z podłączonym do portu usb nośnikiem wymiennym.

[prusaki]

niestety nie udało mi się nadal otworzyc UsbFix nawet z trybu awaryjnego
dysków nadal nie mogę otworzyć i nadal wyskakuje mi błąd jakieś biblioteki 325 {?}

[tachion]

Szczerze powiedziawszy można się jeszcze trochę tu bawić ale najlepszym wyjściem po tej infekcji byłoby zrobić format i zainstalować system na nowo. A najlepiej zainstalować Windows 7.

Zrób ewentualnie jeszcze raz wszystkie logi.