Nights Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 W załączniku zamieszczam log z OTL. Nie mam możliwości, czasu, aby wstawić GMER. Komputer jest stanowiskiem pracy, nie osobisty. Podpinając zewnętrzny dysk został on zainfekowany. Z niego infekcję usunąłem (pomogłem sobie USBFixem). Śmiem jednak twierdzić, że w Windowsie jednak coś jeszcze siedzi. Komputer się wiesza. Instalator pewnego programu stwierdza pobranie kilku GB danych po kilku sekundach, po czym kończy swoją pracę (nie jest to priorytetem, jedynie przedstawiam objaw). Wcześniej zainstalowałem frameworka 4.0 ze strony microsoftu. Na dodatek częste wyłączanie się internetu. PS: Na dodatek wyświetlana jest część strony: https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/ do momentu nazwy programu zx pierwszego postu: Bitdefender TDL4/Pihar/MAXSS (czyli prawie sam początek). OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Był tu wykonywany jakiś skrypt do OTL - jaki / po co? Podpinając zewnętrzny dysk został on zainfekowany. Z niego infekcję usunąłem (pomogłem sobie USBFixem). Śmiem jednak twierdzić, że w Windowsie jednak coś jeszcze siedzi. Komputer się wiesza. Niestety, nie jest dobrze. Być może ten komputer służbowy będzie wymagał nawet przeformatowania wszystkich dysków, jeśli nie powiedzie się usuwanie / zbyt dużo szkód. Grasuje tu wirus Sality, co oznajmia poniższy sterownik w logu, zablokowany edytor rejestru + menedżer zadań oraz autoryzacje z opisem "ipsec" w zaporze systemowej. DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nqgjhs.sys -- (dac970nt) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 Dodatkowo jeszcze Tryb awaryjny powinien być uszkodzony (autoreset lub BSOD przy próbie wejścia doń). 1. Pobierz SalityKiller. Wykonaj nim skan do skutku. Powtarzasz go, dopóki nie uzyskasz zwrotu zero zainfekowanych. Dopiero po tym: 2. Pobierz Sality_RegKeys.zip. Uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 4. Zresetuj reguły Zapory systemowej: Start > Uruchom > cmd i wpisz komendę netsh firewall reset. 5. Zrób nowy log OTL z opcji Skanuj (włącznie z Extras). I ten GMER by się przydał... . Odnośnik do komentarza
Nights Opublikowano 11 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2012 Był tu wykonywany jakiś skrypt do OTL Do usunięcia infekcji z dysku zewnętrznego. Problem następujący. Po działaniu salitykillerem strona o której poprzednio wspominałem otwierała się bez zarzutu. Sterownika Sality już nie ma. Niestety, problem powrócił ( na razie nie zaobserwowałem innych objawów). Winą może być dysk sieciowy, który zawiera plik autorun.inf i inny, dosowski (pierwszego nie da się usunąć, a drugi za każdym usunięciem tworzy się na nowo). Po usunięciu OTLem powraca. Możliwe, że przyczyną jest właśnie to. Jak się tego pozbyć? Nie wydaje mi się, żeby to było działanie sality, ale mogę się mylić. Dodam jeszcze, że dostęp do serwera ma ponad 10 stanowisk. W między czasie zainstalowałem comodo - nie zadziałał jak oczekiwałem (0% wykryć). Odinstaluję go (z każdego stanowiska). Jaki antywirus mogłabyś polecić do pracowni informatycznej? Zawartość pliku autorun.inf na dysku sieciowym: [AutoRun] ; ; opeN=eiru.pif ;jylnu LktykfmdD rVGMC shell\expLorE\COmmand= eiru.pif ;pQId tqlD xgsVHVWLpqrdtfvsiYmilgY yNIr SHElL\opEN\cOmmANd =eiru.pif ;eRKt Shell\oPEn\DEFauLT=1 ; sHEll\AutOpLay\coMmaND =eiru.pif ; Załączniki z "1" są z drugiego stanowiska. Nie działałem tam Salitykillerem. Jedynie nic-nie-robiącym Comodo. PS: Jeśli faktycznie dalsze działania nie mają sensu bez GMER to proszę o tym wspomnieć. OTL.Txt Extras.Txt OTL1.Txt Extras1.Txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Ja tu w obu zestawach raportów nic nie widzę poza autorun.inf na J: O32 - AutoRun File - [2004-08-04 13:00:00 | 000,000,236 | ---- | M] () - J:\autorun.inf -- [ NTFS ] ... ale problem nie wygląda na rozwiązany, bo jest źródło: Sterownika Sality już nie ma. Niestety, problem powrócił ( na razie nie zaobserwowałem innych objawów). Winą może być dysk sieciowy, który zawiera plik autorun.inf i inny, dosowski (pierwszego nie da się usunąć, a drugi za każdym usunięciem tworzy się na nowo). Po usunięciu OTLem powraca. Możliwe, że przyczyną jest właśnie to. Jak się tego pozbyć? Nie wydaje mi się, żeby to było działanie sality, ale mogę się mylić. To są właśnie komponenty Sality... Dopóki wirus jest czynny, tak się zachowują te pliki = odtwarzają się. W związku z tym: 1. Na początek zabezpiecz oba widziane tu stanowiska, tak by pliki autorun.inf w ogóle nie były interpretowane przez system. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system. 2. Następnie użyj ponownie SalityKiller, na obu stanowiskach. Dodatkowo, na obu zrób też ogólne skany za pomocą Kaspersky Virus Removal Tool. I skoro są dwie stacje z defektem, wirus mógł się przetransportować na jeszcze większą ich ilość (a nawet wszystkie), właśnie przez dyski sieciowe i autowykonanie autorun.inf... Odinstaluję go (z każdego stanowiska). Jaki antywirus mogłabyś polecić do pracowni informatycznej? Widzę tu dużo stanowisk, czyli odpada właściwie większość rozwiązań darmowych, które mają licencję "do użytku niekomercyjnego prywatnego" (użytek domowy) ... Licencję przyzwalającą na wykorzystanie biznesowe/masowe mają tylko: nieszczęsny COMODO + MSSE (i ograniczona liczba komputerów do 10, powyżej tej liczby już komercyjny Microsoft System Center 2012 Endpoint Protection). Poza tym: widziane tu systemy mają fatalny poziom aktualizacji oraz archaiczne oprogramowanie Windows Defender + Microsoft Firewall Client 2004... Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 7.0.5730.11) . Odnośnik do komentarza
Rekomendowane odpowiedzi