Problem - Sality

[radioactive15]

Witam ponownie.

Dzisiaj przy włączaniu laptopa siostry napotkałem komunikaty o zarażeniu systemu wirusem Sality.

Nie wiem jak to się stało,ale mniejsza z tym.

Gdyby nie fakt że po restarcie komputera wysiadł tryb awaryjny,to bym już sobie poradził.

Przy ładowaniu trybu awaryjnego występuje Blue Screen:

 

Po włączeniu drugi raz laptopa nastąpiła ukryta infekcja sterownika pod proces explorer.exe.

Kaspersky potraktował to jako zagrożenie i zamknął proces oraz zablokował,Menadżer zadań jak zwykle off przy Sality,Nie mam nawet jak zrobić skanu OTL oraz Gmer.

 

Z góry dziękuje za pomoc.

[radioactive15]

Ok,poradziłem sobie jakoś,nagrałem Dr Web Live CD.

Zainfekowało mi około 600 plików wykonywalnych,po wyleczeniu explorer włączył się normalnie i chyba wszystko wróciło do normy.

Pojechałem jeszcze SalityKiller,przywrócił mi rejestr i menadżer zadań.Daje logi do sprawdzenia.

Extras.Txt

Gmer.txt

OTL.Txt

[Landuss]

Sality ma to do siebie że całkowicie usuwa tryb awaryjny z systemu dlatego nie mogłeś się do niego dostać. Wykonaj poniższe czynności:

 

1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw)
DRV - File not found [Kernel | Boot | Stopped] --  -- (mv64xx)
DRV - File not found [Kernel | Boot | Stopped] --  -- (mv61xx)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\D & S\Administrator\Pulpit\Michał\Intelligent Aimbot Gold Edition Cracked\glynnharr.sys -- (glynnxxGE)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (avynlk97)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rjejin.sys -- (amsint32)
IE - HKU\S-1-5-21-1645522239-1637723038-1801674531-500\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}"
[2011-09-01 20:30:13 | 000,000,000 | ---D | M] (kikin plugin) -- C:\D & S\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\uxvzitcr.default\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED}
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-1645522239-1637723038-1801674531-500..\Run: []  File not found
 
:Files
C:\TMP
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\TMP\Rar$EX01.672\hma ultimate proxy grabber v1.0.exe"=-
"C:\WINDOWS\Explorer.EXE"=-
"C:\TMP\winusfvj.exe"=-
"C:\TMP\winfnnkqo.exe"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Przez Panel sterowania odinstaluj: kikin plugin 2.9 / YouTube Downloader Toolbar v4.9

 

5. Uruchom AdwCleaner z opcji Delete

 

6. Uruchamiasz OTL ponownie (zaznacz wszystkie opcje na "Użyj filtrowania"), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz daj znać co pokazał SalityKiller.

[radioactive15]

1. Zrobione.

2. Zrobione.

3. Zrobione.

4. Zrobione.

5. Zrobione.

6. Zrobione

AdwCleanerS1.txt

Extras.Txt

OTL.Txt

[Landuss]

To by było wszystko. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj Jave do wersji 7 Update 6. Szczegóły aktualizacyjne: KLIK

[radioactive15]

ok,dziękuje za pomoc,temat można zamknąć