PE_SALITY.RL-O + inne wirusy

[p4t4]

Dobry wieczór.

 

Mam problem z zawirusowanym laptopem. Objawy: zrywa internet co 5 minut, nie da się zainstalować antywirusów, nie da się wejść na strony nortona, kasperskiego etc. Proszę o pomoc.

OTL.Txt

Extras.Txt

gmeracz.txt

[p4t4]

Zapuściłem sality killer i od cholery jest tych zainfekowanych plików. Zobaczymy co dalej.

[diox]

Używaj SalityKiller,aż wykryje 0 zarażonych. Możesz też(skuteczniej) skanować dyski z płyt bootowalnych z antywirusami,np. Kaspersky Rescue Disk: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso , Dr. Web LiveCD : http://download.geo.drweb.com/pub/drweb/livecd/drweb-livecd-602.iso (obie płyty mają powłokę graficzną),wypal je na zdrowym komputerze. Potem daj nowe logi z OTL.

[p4t4]

Drobnymi krokami radzę sobie sam. Przeskanowałem każdym dostępnym sality removerem. Nareszcię mogę zainstalować nortona. Wydaje się, że cały syf usunięty. Zaraz wrzucę logi.

[diox]

Działa Tryb awaryjny? Jeśli nie to pobierz Sality Regkeys: http://support.kaspersky.com/downloads/utils/sality_regkeys.zip ,wyodrębnij z niego plik SafeBootWinXP.reg i prawym na niego>Scal>Potwierdź dodanie do rejestru.

[p4t4]

Z tego co pamiętam plik SafeBootWinXP.exe został wyleczony więc raczej powinien działać. Dodałem do rejestru ten plik.

Mam jeszcze problem. Wszystko już działa tylko zostały śmieci po tym wirusie w folderze system volume information, program do usuwania tego wirusa zamiast wypieprzyc caly folder plik po pliku leczy co zajmie chyba z 3 dni. Wyłączyłem przywracanie systemu lecz ten folder nie zniknął, nawet po restarcie. Jak usunąć cały ten folder żeby bez sensu nie leczył tych plików?

[diox]

Na wszelki wypadek zaimportuj,Sality kasuje Tryb awaryjny z rejestru.

[picasso]

program do usuwania tego wirusa zamiast wypieprzyc caly folder plik po pliku leczy co zajmie chyba z 3 dni.

 

Zachowanie prawidłowe. Źle kombinujesz. Ten katalog nie jest katalogiem tylko i wyłącznie Przywracania systemu, korzysta z niego kilka innych funkcji (np. indeksowanie, koordynator transakcji).

 

 

Wyłączyłem przywracanie systemu lecz ten folder nie zniknął, nawet po restarcie. Jak usunąć cały ten folder żeby bez sensu nie leczył tych plików?

 

Wyłączenie Przywracania systemu powoduje wyczyszczenie katalogu z kopii plików Windows i zapobiega tworzeniu nowych, tyle wystarczy. Katalogu to nie usuwa. Ten folder zawsze będzie na dysku i nie można go usunąć w sposób trwały. Kaskaderskie permanentne usunięcie katalogu jest owszem wykonalne, wymaga patchowania jądra ntoskrnl.exe. Ale to jest akcja dla sportu, nieproporcjonalna do efektu (modyfikacja krytycznego pliku Windows versus "kosmetyka" widoku) i w niczym Ci nie pomoże.

 

 

Proszę zmierzać do konkluzji. Raportów nowych nie ma. SalityKiller, import SafeBoot i wyłączenie Przywracania systemu to nie wszystko co tu wymaga interwencji.

 

 

 

.

[p4t4]

Przeskanowałem Nortonem i Malwarebytes Anti-Malware + dwoma różnymi sality killerami, zainstalowałem aktualizacje z windows update i zamieszczam logi. Zaraz dorzucę GMERA.

 

Jest kolejny problem. Mam zainstalowane sterowniki do grafiki i dźwięku takie, które na 100% są stabilne. Niestety wyskakuje bluescreen ze wskazaniem na plik ati2dvag, czyli jeszcze coś szkodliwego w systemie zostało.

Extras.Txt

OTL.Txt

gmershait.txt

[picasso]

1. Raport z GMER sugeruje, że sterownik sieciowy systemu HTTP.sys jest zmodyfikowany. Uruchom Kaspersky TDSSKiller i jeśli coś ewentualnie wykryje, przyznaj Skip i log do oceny zaprezewntuj. Jeśli nic nie wykryje, log zbędny.

 

2. Reset reguł Zapory upstrzonych autoryzacjami Sality + czyszczenie Temp + inne drobnostki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
netsh firewall reset /C
 
:OTL
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1957994488-1677128483-1177238915-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O32 - AutoRun File - [2013-02-01 01:39:46 | 000,000,323 | ---- | M] () - C:\autorun.inf -- [ NTFS ]
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
[2013-01-31 21:07:05 | 000,217,393 | ---- | M] () -- C:\Documents and Settings\qq\Ustawienia lokalne\Dane aplikacji\census.cache
[2013-01-31 21:07:03 | 000,146,450 | ---- | M] () -- C:\Documents and Settings\qq\Ustawienia lokalne\Dane aplikacji\ars.cache
[2013-01-29 16:42:34 | 000,004,096 | ---- | M] () -- C:\WINDOWS\System32\crash
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Pokaż log z usuwania. Nowy skan OTL zbędny.

 

3. Dodaj jeszcze na wszelki wypadek log USBFix z opcji Listing.

 

 

Mam zainstalowane sterowniki do grafiki i dźwięku takie, które na 100% są stabilne. Niestety wyskakuje bluescreen ze wskazaniem na plik ati2dvag, czyli jeszcze coś szkodliwego w systemie zostało.

 

Sality to wirus w wykonywalnych. Leczenie nie gwarantuje pełnej sprawności. Coś może być uszkodzone, choćby leczeniem. Zobaczymy jeszcze co wyjdzie z diagnostyki HTTP.sys. Widać wyraźnie w OTL na dysku masowe modyfikacje komponentów ATI. Tak więc nasuwa się ich przeinstalowanie. I nie tylko to może tego wymagać. Leczenie z Sality nigdy nie jest równe 100% wierności sprzed infekcji. Możesz się nadziać na pliki / programy uszkodzone, których uruchamianie zwróci błędy typu "Visual C++... floating point" lub podobne. Takie aplikacje należy usunąć i zainstalować z nowych czystych instalatorów.

 

 

Nawiasem mówiąc, przypuszczalne źródło Sality, to albo dysk przenośny, albo ComboFix. Uruchamiałeś ComboFix dnia 29 stycznia:

 

[2013-01-29 16:57:18 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013-01-29 16:57:18 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013-01-29 16:57:18 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013-01-29 16:57:18 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013-01-29 16:57:08 | 000,000,000 | ---D | C] -- C:\Qoobox

 

A to był dokładnie ten czas, gdy ComboFix był zainfekowany Sality: KLIK.

 

 

 

.

[p4t4]

Kaspersky wykrył 2 podejrzane pliki. Skypt wykonany. Sterowniki do dźwięku i grafiki przeinstalowałem, może to wyeliminuje bluescreeny. Jak to możliwe, że Combofix był zarażony? Zawsze pobierałem z combofix

UsbFix.txt

Kasprsky.txt

skrypt.txt

[picasso]

W USBFix null. Skrypt OTL OK. TDSSKiller widzi co innego (nieistotne), a plik HTTP.sys ma sumę kontrolną:

 

17:58:10.0343 2832  [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP            C:\WINDOWS\system32\Drivers\HTTP.sys
17:58:10.0406 2832  HTTP - ok

 

Suma F80A415EF82CD06FFAF0D971528EAD38 jest prawidłowa. Tak więc wątek zostawiam. Z tego wynika, że zmierzamy ku końcowi:

 

1. W OTL uruchom Sprzątanie. Odinstaluj USBFix. Przywracanie systemu jak rozumiem nadal wyłączone.

 

2. Jak mówiłam: jeśli jakiś program będzie zwracał błędy = przeinstaluj ze świeżego instalatora.

 

 

 

 

.

[p4t4]

OTL posprzątane, usunąłem USBFIX i Combofix, przywracania systemu nie używam, więc zostawiam wyłączone. Bluescreeny zniknęły. W najbliższym czasie wykonam dotację. Dziękuję za pomoc i pozdrawiam!