VIRY.CZ

Skuste ho spustit v nudzovom rezime. Ak nepojde, tak preskocte na navod 2 .

Tak mám za sebou denní piplání s odstraněním W32/Sality.aa (vzal jsem si to osobně a reinstall PC beru jako zklamání ).
Pomohlo nakonec toto :
Odstranit všechny položky po spuštění z registrů pomocí programu ccleaner. Tento program je virem automaticky uzavírán. Já jsem nic jiného poruce neměl a regedit samozřejmě taktéž nepremává, takže jsem nakonec ccleaner spustil asi tak 20x a tím jsem měl dostatek času tyto položky smazat, nežli vir všechny procesy ccleaneru sejme. Dále samozřejmě vypnout nástroj obnovení systému a pročistit tempy a všechny uložiště pro dočasné soubory.
Dále jsem na toho šmejda pustil combofix, který odstranil dost bordelu okolo, co si Sality sosne z netu a hned po něm jsem na něj pustil SmitFraud, který samotný vir odstranil. Celou akci jsem dokonal AVP, který vyléčil všechny nakažené soubory. Pomocí UPM jsem vyčistil bordely v procesech a pozůstatky viru ve službách.
Nouzový režim mi začal fungovat až po úplném odstranění viru. Původně nouzák házel modrou smrt a tu házelo i několik programů na viry ve widnows, takže každou chvíli restart :-/.

Zdar Max

Neviem co to robi v tejto teme.

Ak ste ten vir nicil sam, bez pomoci radcu, obdivuhodne Len mam urcite pochybnosti, ci je naozaj vsetko v poriadku a ci dana situacia nie je chvilkova.

Ccleaner viry nenici

V této diskusy je to proto, jelikož jde o stejného vira.

Vím, co ccleaner dělá a také jsem jasně popisoval, že jsem ho použil jen k úpravě registrů, reps. k vymazání hodnot v run klíčích, aby se část infikovaných souborů nespouštěla (SmitFraud totiž infikované soubory neodstranil, ale jen myslím služby a driver v systému, jenž byl oním virem).

Takže jsem smazal hodnoty v run klíčích, dále jsem použil combofix a v zápětí SmitFraud, což odpravilo část vira aj. havět. Už fungoval i nouzák. Dále jsem použil AVP, ten se postaral o hodně a část souborů vyléčil, nebo odstranil. Vše se už zdálo být ok, tak jsem sem hodil info o postupu.

Dále jsem se tam snažil nainstalit Nod32 a vše ještě jednou projet. Nainstaloval se, ale choval se divně a nešel rezidentní štít. Zaktualizoval jsem ho (musel jsem stáhnout komerční verzi, ke které je dodáván 30 denní trial key, protože se vždy info o aktualizačním serveru smazalo). Proscanoval PC, našel ještě několik infikovaných souborů, ale ty jen ležely na disku a nespouštěli se.
Další šíření viru se už nekonalo, ale nod32 stále bez rezidentního štítu. Použil jsem několik antyspyware programů a nakonec pomohl starý dobrý mwav(detekoval jsem, že tam něco je) a mbam(našel a odstranil to, co mwav taktéž viděl), jenž našly asi 4 drobnůstky, nějaký adware, trojan apod. Nod32 ovšem stále nic, ani reinstall nepomohl, resp. nešel odinstalovat. Musel jsem ručně smazat službu, restartnout PC a odinstalovat ho. UPM nehlásil nic divného, v procesech jsem nemohl najít žádnou chybku. Rootkit nikde.

Napadlo mně, že když žádný sw nic nehlásí a nic nemůže najít, tak to bude čistě asi jen v nodovi. Naladil jsem RegSeeker a ještě růčo promazal registry od noda, vyhledával jsem hodnoty a klíče s názvem : eset, ekrnl, smart security, egui.
Nakonec se podařilo -> našel jsem mj. nějaké klíče pro GPO. Zdá se tedy, že bylo asi nastaveno GPO proti Nodovi (šmejdskej vir).

Takže tedy ve finále :
combofix
SmitFraud
avp
mbam
nod32

Všechny testy teď prošly ok (při zaktualizovaném sw), z toho také usuzuji, že je PC naprosto čistý.

Samozřejmě jsem mohl ještě použít HijackThis, nebo jiné další logovací nástroje, ale to většinou používám až v krajním případě (raději pustím nějaký test a dělám si svoje věci, než spouštět logování a zaneprazdňovat se v pracovní době zkoumáním logů).

Za tuto úspěšnou akci samozřejmě můžou zdejší pomocníci (toto fórum mne kdysi seznámilo s většinou nástrojů, kterou už delší dobu používám, a samozřejmně občas ještě na nějakou novinku narazím). Takže děkuji za toto forum a posílám záslužnou dotující sms

Zdar Max

Ccleaner maze len vetve, ktore odkazuju na neplatne objekty. Ak sa v nich nachadza odkaz na neaky infikovany subor, tak to ponecha .

Takze, super, ze ste si pomohol sam... A uz tu nebudeme spamovat.

Za sms v mene fora, dakujeme!

Promiň, ale ještě si neodpustím jeden komentář. Už jsem řekl, že moc dobře vím, co vše umí ccleaner a zkus si najet "Nástroje" -> "Start", zde jsou ony hodnoty v "run" klíčích, které jsem promazal.
Samozřejmě se primárně zaměřuje na čistění registrů mazáním neplatných odkazů, ale umí toho krapet více .
Zdar Max

Ja viem presne co vie. Len som to z Vasej komunikacie nepochopil ako ste to myslel.

Ja by som napriklad nikdy cez ccleaner nic po startu nemazal. Uz len z toho dovodu, ze neposkytuje konpletny prehlad vsetkych spustenych a zavedenych programov v RUN.

no pánové to ste tedy borci a sem vděčný pc rozumím ale tohle byla práce když sem kouknul že mám 360 souborů infikovaných a jeste k tomu důležitá data mlátil sem hlavou o stůl.

Ale máte pravdu a funguje to dokonale stačí číst a hned sem byl chytřejší a u tohoto viru sem byl vyřízený ale o hodinu později sem měl úsměv na tváři ,právě že díky tomuto fóru.čest vaší práci a sem váš obdivovatel ste jedničky ba co ,ste top sem zavázán a vaše banery(weby mám dva) skončí na mých stránkách protože jak tady radíte nemáte konkurenci.

Hodně úspěchů vašemu webu a práci kterou děláte velmi dobře.

Dobrý den,
ale pro jistotu si založte vlastní topic a vložte log ze rsitu, ať víte, jestli je opravdu vše v pořádku