Infekcja Sality, Malware..

[Suwak]

Witam,

Mój komputer został prawdopodobnie zainfekowany Sality. Po skanie Malware bytes wykryło Malware pack.gen, Sality 4 razy i win32 trojan agent. Ten sality siedzi mi w procesach i da się go wyłączyć no i wtedy niektóre programy, gry zaczynąją nie oddawać żadnych błędów ale znam tego wirusa i on jest odnawialny po resecie, nawet po jego usunięciu. Wirusy powodują błędy w grach nagle zaczyna brakować redistributabli, które były i są.. ale dalej pisze że ich niema no i to napewno wina wirusów.. C:\Users\Suwak\AppData\Local\Temp\winhhbfgj.exe to wykryło jako sality. Niewiem też co to jest proces heuixu. Załączam dwa pliki do analizy. Z góry dziękuję!

Extras.Txt

OTL.Txt

[Landuss]

1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKU\S-1-5-21-2361097646-1335871073-520347403-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
[2012-06-17 11:16:55 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Suwak\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
[2012-07-03 09:54:07 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Suwak\AppData\Roaming\mozilla\Firefox\Profiles\79lbkczj.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-2361097646-1335871073-520347403-1000..\Run: [heuixu] C:\Users\Suwak\heuixu.exe (Microsoft)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz daj znać co pokazał SalityKiller.

[Suwak]

No prosze jak miło. Miałem cały zawalony temp, a teraz kilka pliczków

Jeśli chodzi o podpunkt 3 to go nie zrobiłem bo nie miałem w dodaj lub usuń programy tego toolbara przez panel miałem zrobić więc myśle że o ten sposób chodziło.

Chociaż dalej wyskakują błęby z redistributablami to myśle że sality jest wykończony. SalityKiller nic nie wykrył. Miałem 50 procesów, teraz mam 41, zadziwiające.. Załączam nowe pliki do analizy. Z góry dziękuję!

OTL.Txt

[Landuss]

Infekcja wygląda na usuniętą. Gdyby jakieś programy nie działały to po prostu trzeba przeinstalować.

 

Wykonaj kroki końcowe:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.7601.17514)

"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Suwak]

Wykonałem dzisiaj ponowne skanowanie Sality Killer i Malware bytes dla pewności, i sprawa wygląda tak: Malwarebytes kończy już pendriva, dysk skończył i 0 infekcji, ale SalityKiller ma coś takiego:

Executed registry scripts : 1 i to mnie niepokoi bo to za każdym razem sie pojawia a włączałem sk ponad 3 razy i dalej jest. Czy to jakaś pozostałość p osalitym i czy jest szkodliwa? Jedyne co podczas skanowania napisał to : SalityRegCure: Restoring general registry keys

SalityRegCure: Fixing sytem.ini

[Landuss]

Jak dla mnie, to nic niepokojącego. Ostatnie logi wyraźnie pokazały, ze Sality to już historia

[Suwak]

Pozostał problem z grami, gdy jakąś włączam wyskakuje błąd: Microsoft visual C++ runtime library r6002 floating point not loaded ---ścieżka pliku---

Reinstall bibliotek redistributable 2005, 2008, 2010 nic nie dał. Co robić? Z góry dziękuję!

 

Edit@ Git po restarcie działają

Dzięki wielkie za pomoc!

[Suwak]

Sality ponownie odrodził się.. I uszkodził wiele .exe'ów jak wcześniej.. Skan Malware bytes był, 3x Sality killer'em, tylko że sk nie wykrywa w procesach sality a ja go widze i wyłączyłęm w autorunie go, temp wiem że tam siedzi to czyszcze ciągle. Załączam pliki po skanowaniu SalalitymKillerem dotąd aż nie wykrywa Sality.

OTL.Txt

Extras.Txt

[Landuss]

Sality nie zawsze łatwo wyleczyć i często jest tak, że kończy się nawet na formacie. Tu wygląda, że zaprawiłeś się na nowo podpinając zainfekowane urządzenie przenośne np. pendrive.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKCU..\Run: [deovuus] C:\Users\Suwak\deovuus.exe (Microsoft)
 
:Files
autorun.inf /alldrives
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz z USBFix z opcji Listing przy podpiętym urządzeniu przenośnym.

[Suwak]

Te całe foldery w penku passwords, music, videos itp to musi być on. A z loga usbfix widać procesy Sality. Załączam pliki do analizy i najlepiej proszę napisać co zrobić żeby nie formatować penka 4GB, jedynie plik Extras.txt się nie pokazał po skanie, niewiem czy tak miało być. Podpięte są dwa penki jak coś. Z góry dziękuję!

 

Edit@ Sformatowałem 15GB penka narazie bo tylko tego moge.

Edit 2: a tak pozatym to podczas skanów sk i malwarebytes ja miałem te penki ciągle podłączone więc sam niewiem..

UsbFix.txt

OTL.Txt

[Suwak]

Witam!

Mam sality 32 ag, infekcja z pendriva, wykonalem juz skanowanie szczepionami od kasperskiego i AVG, rmsality i sality killer, nic juz nie znajduja.

Dodatkowo mbam znajduje malware.packer.gen i nie potrafi go usunac. Po kolejnych skanowaniach wraca.

Prosze o sprawdzenie logow.

Extras sie nie utworzyl. Ale sprobuje przeskanowac jeszcze raz moze teraz bedzie.

P.S - To drugi komputer, ja jestem bratem usera Suwak. Prosze o nieusuwanie 2 tematu.

mbam-log-2012-08-05 (19-46-11).txt

OTL.Txt

[Landuss]

Urządzenie ma być teraz podpięte. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
G:\*.lnk
G:\heuixu.exe
G:\heuixu.scr
G:\bjif.pif
G:\deovuus.exe
G:\deovuus.scr
F:\*.lnk
F:\mvoqvp.exe
F:\deovuus.exe
F:\deovuus.scr
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Pokazujesz nowy log z USBFix.

[Landuss]

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.

 

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Users\RaZz\kdtoz.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (extras też)

[Suwak]

Proszę.

UsbFix.txt

[Landuss]

Masz usunięte pliki infekcji z pendrivów więc nie powinieneś się już infekować. Jeżeli problemu nie ma to klik w Sprzątanie w OTL. I przypominam o aktualizacjach bo nadal nie zrobiłeś tak jak w poprzednim twoim temacie polecałem.

[Suwak]

Zaaktualizowałem do service pack 1 winde a do prawdopodobnie ostatnich: adobe readera, internet explorer i mozille, tak jak pisałeś. Problem rozwiązany, wielkie dzięki

[Suwak]

Wstawiam nowe logi.

Mam nadzieje ze tym razem o niczym nie zapomnialem.

Extras.Txt

OTL.Txt

[Landuss]

Nic tu więcej nie widać.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Konieczna aktualizacja systemu do Service Pack 1

[Suwak]

Ok. Wykonalem sprzatanie z otl.

Dziekuje za pomoc. Temat można zamknać.