M4niak Opublikowano 23 Października 2010 Zgłoś Udostępnij Opublikowano 23 Października 2010 Witam, mój komputer został zarażony wirusem wg. Kasperskiego 2011 - Sality.ac ;;; wg. Dr.Web'a Sector.18 Infekcja tak szybko się rozprzestrzeniała, że nie zdążyłem nic zrobić... W ciągu 15 min ponad 150 plików... Mam dostęp do Rejestru, Menedżera. Skanery nic już nie wykrywają ... Nie wiem za bardzo czy sobie z nim poradziłem... Logów nie czaje za bardzo xD Skanowałem komputer w tej kolejności: 1. Dr.WEB - Live CD 2. Dr.WEB normalna wersja z poziomu komputera. 3. Comodo - Full scan + z Defense+ 4. Sality Killer od Kaspersky i AVG. Mogę dać logi z Hijacka i OTL'a... Tylko z OTL'a na jakich ustawieniach?? PROSZĘ O SZYBKĄ POMOC!!! ######EDIT DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\XDva324.sys -- (XDva324) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\XDva310.sys -- (XDva310) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\SROBotVn1.31b\SROBotVn1.31b\NtProcDrv.sys -- (NTProcDrv) DRV - File not found [File_System | Boot | Stopped] -- C:\Windows\System32\DRIVERS\Lbd.sys -- (Lbd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ipinip.sys -- (IpInIp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [File_System | Unknown | Running] -- -- (DwProt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\cv2k1.sys -- (CV2K1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jarek\AppData\Local\Temp\25778978.08- -- (ByakkoDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btwl2cap.sys -- (btwl2cap) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\I386\AsProcOb.sys -- (ASUSProcObsrv) DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\AsInsHelp32.sys -- (ASInsHelp) DRV - File not found [Kernel | Boot | Stopped] -- C:\Windows\System32\DRIVERS\17447622.sys -- (17447622) Chyba jednak coś usunąłem xD BTW. DOŁĄCZAM LOGI .... OTL'a SZYBKI SKAN... OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 23 Października 2010 Zgłoś Udostępnij Opublikowano 23 Października 2010 Cóż logi przy takiej infekcji właściwie nie bardzo się przydają bo jej po prostu nie widzą. Warto jednak je wykonać skoro już tutaj jesteś. Zgodnie z zasadami wykonaj: 1. Logi z OTL na ustawieniach przy wszystkich pozycjach "Użyj filtrowania" 2. Log z rootkit detectora Gmer lub w razie problemów RootRepeal. Odnośnik do komentarza
M4niak Opublikowano 23 Października 2010 Autor Zgłoś Udostępnij Opublikowano 23 Października 2010 Dobrze, że ktoś jest ;P Zostań w temacie, bo akurat teraz mam możliwość pisania na forum.... GMER 1.0.15.15477 - http://www.gmer.net Rootkit quick scan 2010-10-23 18:16:51 Windows 6.0.6001 Service Pack 1 Running: ji107742.exe; Driver: C:\Users\Mimi\AppData\Local\Temp\fgrdrpog.sys ---- Devices - GMER 1.0.15 ---- Device \Driver\iaStor \Device\Ide\iaStor0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\iaStor \Device\Ide\IAAStorageDevice-1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \FileSystem\Ntfs \Ntfs 867C7430 Device \FileSystem\Ntfs \Ntfs 86653198 Device \FileSystem\Ntfs \Ntfs 869EC238 Device \FileSystem\Ntfs \Ntfs A0E3D2E0 Device \FileSystem\Ntfs \Ntfs 9AD1F640 AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows ® Codename Longhorn DDK provider) AttachedDevice \FileSystem\Ntfs \Ntfs dwprot.sys Device \FileSystem\fastfat \Fat A0E3D688 AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Menedżer filtrów systemu plików firmy Microsoft/Microsoft Corporation) AttachedDevice \FileSystem\fastfat \Fat dwprot.sys AttachedDevice \Driver\tdx \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\tdx \Device\Ip dwprot.sys AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\tdx \Device\Tcp dwprot.sys AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\tdx \Device\Udp dwprot.sys AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\tdx \Device\RawIp dwprot.sys AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 VMkbd.sys AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Dynamiczna struktura WDF/Microsoft Corporation) ---- Threads - GMER 1.0.15 ---- Thread 42e87_xp.exe [2676:3900] SSDT 0x868619E0 != 0x82EB98E0 Thread 42e87_xp.exe [2676:2204] SSDT 0x868619E0 != 0x82EB98E0 ---- EOF - GMER 1.0.15 ---- Odnośnik do komentarza
Landuss Opublikowano 23 Października 2010 Zgłoś Udostępnij Opublikowano 23 Października 2010 Dodałeś logi w porządku. Nie widać aktywnej infekcji, ale można usunąć parę szczątek/śmieci. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Netia\Mobilny Internet\AssistantServices.exe -- (UI Assistant Service) SRV - File not found [Auto | Stopped] -- d:\opel epc\BHROOT\BIN\PORTMAP.EXE -- (portmapper) SRV - File not found [Disabled | Stopped] -- d:\opel epc\BHROOT\BIN\NT611SVC.EXE -- (bh611) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\SROBotVn1.31b\SROBotVn1.31b\NtProcDrv.sys -- (NTProcDrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\cv2k1.sys -- (CV2K1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jarek\AppData\Local\Temp\25778978.08- -- (ByakkoDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btwl2cap.sys -- (btwl2cap) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\I386\AsProcOb.sys -- (ASUSProcObsrv) DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\AsInsHelp32.sys -- (ASInsHelp) DRV - File not found [Kernel | Boot | Stopped] -- C:\Windows\System32\DRIVERS\17447622.sys -- (17447622) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://search.bearshare.com/pl/" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O27 - HKLM IFEO\taskmgr.exe: Debugger - "C:\USERS\MIMI\DESKTOP\PROCESSEXPLORER.EXE" File not found O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Wklej log z usuwania, który powinien się otworzyć w notatniku. Odnośnik do komentarza
M4niak Opublikowano 23 Października 2010 Autor Zgłoś Udostępnij Opublikowano 23 Października 2010 Dziwna rzecz.... Żadnego loga nie ma ... A OTL zniknął ... ####EDIT On nowa ściągnąłem OTL'a All processes killed Error: Unable to interpret <[emptyflash]> in the current context! Error: Unable to interpret <[emptytemp]> in the current context! OTL by OldTimer - Version 3.2.16.0 log created on 10232010_182815 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Powiem Tobie, że dziwne rzeczy miałem .... Odnośnik do komentarza
Landuss Opublikowano 23 Października 2010 Zgłoś Udostępnij Opublikowano 23 Października 2010 Wykonaj nowe logi poprzez opcję Skanuj. Odnośnik do komentarza
M4niak Opublikowano 23 Października 2010 Autor Zgłoś Udostępnij Opublikowano 23 Października 2010 Folder jest, ale plików tamtych nie ma... Zrobię restarta normalnie jeszcze raz... A ty proszę przyjrzyj się temu: http://img201.imageshack.us/i/42651057.jpg http://img440.imageshack.us/i/46596855.jpg ####EDIT Logi w toku.. Plików tamtych nie ma po restarcie .. Co myślisz o tych fotkach? @@@@@@ LOGI W ZAŁĄCZNIKU @@@@@@@ OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 23 Października 2010 Zgłoś Udostępnij Opublikowano 23 Października 2010 Rozumiem, że te fotki pokazują wynik jakiegoś skanera? Modyfikacja pliku .EXE może sugerować nadal Sality. Zalecałbym dalsze skany ale wszystkich partycji, nie tylko systemowej. Odnośnik do komentarza
M4niak Opublikowano 23 Października 2010 Autor Zgłoś Udostępnij Opublikowano 23 Października 2010 Te fotki to było z Comodo z Trybu Bezpiecznego Defense+... W trybie Proactive Defense ... Ten z netii ServiceAssistant, tak katował, że czasami antywira przycinało. Kaspersky Internet Security 2011 rozsypał się od tego sality ... Sam przyjął na klatę ponad 200 plików usuwając je xD Teraz już nic nie występuje. To było o godzinie 14:40... Teraz już jest po 3 skanach wszystkich partycji... Jak myślisz już w porządku jest?? Bo muszę trochę plików pozgrywać na płytki, bo muszę windę przeinstalować... Jak zgram na płytę np. archiwum RAR o wielkości 700mb to może być on zainfekowany??? Albo Instalki Gier w rar?? Też będą zainfekowane? Odnośnik do komentarza
Tores Opublikowano 23 Października 2010 Zgłoś Udostępnij Opublikowano 23 Października 2010 Raczej tak. Jak sam napisałeś, Sality błyskawicznie się rozprzestrzenia, więc nie zdziwiłbym się gdyby przeszedł na płytkę/pen-drive. O ile go jeszcze masz, a to możliwe. Spróbuj może Panda USB Vaccine,tylko zaszczep się na innym kompie. Może coś pomoże. Tak czy owak co do pen drive spróbuj cokolwiek, co chroni/szczepi i to najlepiej od razu po podłączeniu do komputera. Odnośnik do komentarza
M4niak Opublikowano 23 Października 2010 Autor Zgłoś Udostępnij Opublikowano 23 Października 2010 Mam wrzucone Panda USB Vaccine... Mojego pendriva po włożeniu do kompa formatowałem i odłączałem, więc raczej czysto. Powracam do pytania: Jak zgram na płytę np. archiwum RAR o wielkości 700mb to może być on zainfekowany???Albo Instalki Gier w rar?? Też będą zainfekowane? Gdzieś czytałem, że Sality infekuje pliki do max 40mb ... Czy to prawda i moje pliki mogą być zgrane na płytę i wrzucone na świeżą windę?? Odnośnik do komentarza
Landuss Opublikowano 23 Października 2010 Zgłoś Udostępnij Opublikowano 23 Października 2010 Archiwa nie są infekowane. Ode mnie to by było na tyle, ale obserwuj zachowanie systemu. Na koniec jeszcze ważna uwaga abyś zaktualizował oprogramowanie - instalacja Service Pack 2 + Internet Explorer 8 i aktualizacja Adobe Reader. Szczegóły: INSTRUKCJE. Odnośnik do komentarza
M4niak Opublikowano 23 Października 2010 Autor Zgłoś Udostępnij Opublikowano 23 Października 2010 Ok Dziękuje Ci Bardzo ;P Właściwie to tylko chciałem dowiedzieć się czy system jest w miarę czysty... I tak muszę pozgrywać zdjęcia, archiwa z gierkami, jakieś tam prywatne pliczki typu zdjęcia czy muzyka.. Potem tylko stawiam windę od nowa, bo i tak ta się sypie jak nie wiem (wylatuję stery, krzaczy się wszystko) xD Teraz nic nie dzieje się za bardzo ... Proaktywna ochrona nic nie pokazuje.. Zero infekcji, system stabilny, skanowanie nic nie wykazuje ;p Więc śmiało mogę powiedzieć, że wygrałem z tym cholerstwem xD Do zamknęcia i usunięcia ;D Chyba, że zostanie dla potomnych ^^ Odnośnik do komentarza
Rekomendowane odpowiedzi