Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Pozostałości po Sality

syryls

Przez syryls
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W skład obowiązkowych logów wchodzi też GMER.

 

 

Natomiast chciałbym oczyścić kompletnie komputer z tego gówna.

 

"Kompletnie" to abstrakcja, tylko format to gwarantuje. Nawet po wyczyszczeniu Sality są po nim ślady, które trzeba reperować, np. uszkodzone pliki Windows i programów i tego nie da się inaczej rozwiązać niż poprzez nadpis plików świeżymi wersjami. Poza tym, log z OTL to ledwie skrawek systemu, na jego podstawie nie jest możliwa precyzyjna ocena dewastacji systemu przez Sality. To wychodzi dopiero w praniu, przy uruchomieniu jakiejś aplikacji, która zacznie pluć błędami typu Visual C++ i podobne.

 

Nie jestem pewna czy wirus jest ubity, bo nadal widzialny jego sterownik w logu:

 

DRV - File not found [Kernel | On_Demand | Stopped] -- F:\WINDOWS\system32\drivers\lihrn.sys -- (amsint32)

 

A także ukryte pliki autorun.inf i *.PIF a dyskach. Zobaczymy czy po usuwaniu się to odtworzy (to będzie znak, że wirus jest czynny). Poza tym są i inne ślady tej infekcji. Wstępnie więc to na usuwanie + blokada wykonywania plików autorun.inf. Dodatkowo, Google Chrome wygląda na odinstalowane i będę wywalać z dysku.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
amsint32
EagleXNt
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"KernelFaultCheck"=-
"ROC_roc_ssl_v12"=-
[-HKEY_CURRENT_USER\Software\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
 
:Files
autorun.inf /alldrives
iglvn.pif /alldrives
netsh firewall reset /C
F:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
F:\Documents and Settings\Misiek\Ustawienia lokalne\Dane aplikacji\Google
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Sality kasuje Tryb awaryjny z rejestru. Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Zrób nowy log OTL z opcji Skanuj, zaległy GMER oraz USBFix z opcji Listing.

 

 

 

.

Odnośnik do komentarza
syryls

syryls

Opublikowano
  • Autor
Opublikowano

http://www.wklej.org/id/898456/ - OTL

http://www.wklej.org/id/898457/ - Extras

http://www.wklej.org/id/898458/ - GMER

 

 

"Kompletnie" to abstrakcja, tylko format to gwarantuje. Nawet po wyczyszczeniu Sality są po nim ślady, które trzeba reperować, np. uszkodzone pliki Windows i programów i tego nie da się inaczej rozwiązać niż poprzez nadpis plików świeżymi wersjami. Poza tym, log z OTL to ledwie skrawek systemu, na jego podstawie nie jest możliwa precyzyjna ocena dewastacji systemu przez Sality. To wychodzi dopiero w praniu, przy uruchomieniu jakiejś aplikacji, która zacznie pluć błędami typu Visual C++ i podobne.

Na to też są sposoby(SP3). Więc właśnie jeśli wgram SP 3 na pirata to czy mój system będzie korzystał z aktualizacji i czy mogę zainstalować SP 3 na pirata(nie wyskoczą błędy, info o piracie itd.)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Usunięte elementy nie wróciły, więc jest dobrze (wirus nie jest czynny). Nie ma oznak wykonania punktu 3 (reset Firefox). Nie dostarczyłeś raportu USBFix.

 

 

Na to też są sposoby(SP3). Więc właśnie jeśli wgram SP 3

 

Nie wiem co Ty kombinujesz, Twój system już ma SP3, z nagłówka raportu:

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

 

O ile ten ciąg mógłby być oszukany, to jest jeszcze jeden dowód, że jest tu SP3, czyli daty plików. Pierwszy z brzegu to explorer.exe z sygnaturą 2008:

 

========== Processes (SafeList) ==========
 
PRC - [2008-10-07 14:07:16 | 001,033,728 | ---- | M] (Microsoft Corporation) -- F:\WINDOWS\explorer.exe

 

SP3 tu ewidentnie jest. I prawdopodobnie jest to SP3 zintegrowany na stale w źródle (wykluczona jego deinstalacja). Tak więc odpada tu "instalacja SP3" do połowicznego nadpisu plików.

 

 

 

.

Edytowane przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...