Skocz do zawartości

Sality - usunięty? Czy może nie?


M4niak

Rekomendowane odpowiedzi

Witam,

 

mój komputer został zarażony wirusem wg. Kasperskiego 2011 - Sality.ac ;;; wg. Dr.Web'a Sector.18

 

Infekcja tak szybko się rozprzestrzeniała, że nie zdążyłem nic zrobić...

W ciągu 15 min ponad 150 plików...

 

Mam dostęp do Rejestru, Menedżera.

Skanery nic już nie wykrywają ...

 

Nie wiem za bardzo czy sobie z nim poradziłem...

Logów nie czaje za bardzo xD

 

Skanowałem komputer w tej kolejności:

1. Dr.WEB - Live CD

2. Dr.WEB normalna wersja z poziomu komputera.

3. Comodo - Full scan + z Defense+

4. Sality Killer od Kaspersky i AVG.

 

Mogę dać logi z Hijacka i OTL'a...

Tylko z OTL'a na jakich ustawieniach??

 

PROSZĘ O SZYBKĄ POMOC!!!

 

######EDIT

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\XDva324.sys -- (XDva324)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\XDva310.sys -- (XDva310)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\SROBotVn1.31b\SROBotVn1.31b\NtProcDrv.sys -- (NTProcDrv)
DRV - File not found [File_System | Boot | Stopped] -- C:\Windows\System32\DRIVERS\Lbd.sys -- (Lbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [File_System | Unknown | Running] --  -- (DwProt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\cv2k1.sys -- (CV2K1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jarek\AppData\Local\Temp\25778978.08- -- (ByakkoDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btwl2cap.sys -- (btwl2cap)
DRV - File not found [Kernel | On_Demand | Stopped] -- G:\I386\AsProcOb.sys -- (ASUSProcObsrv)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\AsInsHelp32.sys -- (ASInsHelp)
DRV - File not found [Kernel | Boot | Stopped] -- C:\Windows\System32\DRIVERS\17447622.sys -- (17447622)

 

Chyba jednak coś usunąłem xD

 

BTW. DOŁĄCZAM LOGI .... OTL'a SZYBKI SKAN...

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Dobrze, że ktoś jest ;P

Zostań w temacie, bo akurat teraz mam możliwość pisania na forum....

 

GMER 1.0.15.15477 - http://www.gmer.net

Rootkit quick scan 2010-10-23 18:16:51

Windows 6.0.6001 Service Pack 1

Running: ji107742.exe; Driver: C:\Users\Mimi\AppData\Local\Temp\fgrdrpog.sys

 

 

---- Devices - GMER 1.0.15 ----

 

Device \Driver\iaStor \Device\Ide\iaStor0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\iaStor \Device\Ide\IAAStorageDevice-1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \FileSystem\Ntfs \Ntfs 867C7430

Device \FileSystem\Ntfs \Ntfs 86653198

Device \FileSystem\Ntfs \Ntfs 869EC238

Device \FileSystem\Ntfs \Ntfs A0E3D2E0

Device \FileSystem\Ntfs \Ntfs 9AD1F640

 

AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows ® Codename Longhorn DDK provider)

AttachedDevice \FileSystem\Ntfs \Ntfs dwprot.sys

 

Device \FileSystem\fastfat \Fat A0E3D688

 

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Menedżer filtrów systemu plików firmy Microsoft/Microsoft Corporation)

AttachedDevice \FileSystem\fastfat \Fat dwprot.sys

AttachedDevice \Driver\tdx \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

AttachedDevice \Driver\tdx \Device\Ip dwprot.sys

AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

AttachedDevice \Driver\tdx \Device\Tcp dwprot.sys

AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

AttachedDevice \Driver\tdx \Device\Udp dwprot.sys

AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)

AttachedDevice \Driver\tdx \Device\RawIp dwprot.sys

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 VMkbd.sys

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Dynamiczna struktura WDF/Microsoft Corporation)

 

---- Threads - GMER 1.0.15 ----

 

Thread 42e87_xp.exe [2676:3900] SSDT 0x868619E0 != 0x82EB98E0

Thread 42e87_xp.exe [2676:2204] SSDT 0x868619E0 != 0x82EB98E0

 

---- EOF - GMER 1.0.15 ----

Odnośnik do komentarza

Dodałeś logi w porządku. Nie widać aktywnej infekcji, ale można usunąć parę szczątek/śmieci.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Netia\Mobilny Internet\AssistantServices.exe -- (UI Assistant Service)
SRV - File not found [Auto | Stopped] -- d:\opel epc\BHROOT\BIN\PORTMAP.EXE -- (portmapper)
SRV - File not found [Disabled | Stopped] -- d:\opel epc\BHROOT\BIN\NT611SVC.EXE -- (bh611)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\SROBotVn1.31b\SROBotVn1.31b\NtProcDrv.sys -- (NTProcDrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\cv2k1.sys -- (CV2K1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jarek\AppData\Local\Temp\25778978.08- -- (ByakkoDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btwl2cap.sys -- (btwl2cap)
DRV - File not found [Kernel | On_Demand | Stopped] -- G:\I386\AsProcOb.sys -- (ASUSProcObsrv)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\AsInsHelp32.sys -- (ASInsHelp)
DRV - File not found [Kernel | Boot | Stopped] -- C:\Windows\System32\DRIVERS\17447622.sys -- (17447622)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://search.bearshare.com/pl/"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O27 - HKLM IFEO\taskmgr.exe: Debugger - "C:\USERS\MIMI\DESKTOP\PROCESSEXPLORER.EXE" File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Wklej log z usuwania, który powinien się otworzyć w notatniku.

 

 

 

 

Odnośnik do komentarza

Dziwna rzecz....

Żadnego loga nie ma ...

A OTL zniknął ...

 

 

####EDIT

 

On nowa ściągnąłem OTL'a

 

All processes killed

Error: Unable to interpret <[emptyflash]> in the current context!

Error: Unable to interpret <[emptytemp]> in the current context!

 

OTL by OldTimer - Version 3.2.16.0 log created on 10232010_182815

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

 

Powiem Tobie, że dziwne rzeczy miałem ....

Odnośnik do komentarza

Folder jest, ale plików tamtych nie ma...

Zrobię restarta normalnie jeszcze raz...

 

A ty proszę przyjrzyj się temu:

 

http://img201.imageshack.us/i/42651057.jpg

 

http://img440.imageshack.us/i/46596855.jpg

 

####EDIT

 

Logi w toku..

Plików tamtych nie ma po restarcie ..

 

Co myślisz o tych fotkach?

 

@@@@@@ LOGI W ZAŁĄCZNIKU @@@@@@@

OTL.Txt

Extras.Txt

Odnośnik do komentarza

Te fotki to było z Comodo z Trybu Bezpiecznego Defense+...

W trybie Proactive Defense ...

Ten z netii ServiceAssistant, tak katował, że czasami antywira przycinało.

 

Kaspersky Internet Security 2011 rozsypał się od tego sality ...

Sam przyjął na klatę ponad 200 plików usuwając je xD

 

Teraz już nic nie występuje.

 

To było o godzinie 14:40...

Teraz już jest po 3 skanach wszystkich partycji...

 

Jak myślisz już w porządku jest??

Bo muszę trochę plików pozgrywać na płytki, bo muszę windę przeinstalować...

 

Jak zgram na płytę np. archiwum RAR o wielkości 700mb to może być on zainfekowany???

Albo Instalki Gier w rar?? Też będą zainfekowane?

Odnośnik do komentarza

Raczej tak. Jak sam napisałeś, Sality błyskawicznie się rozprzestrzenia, więc nie zdziwiłbym się gdyby przeszedł na płytkę/pen-drive. O ile go jeszcze masz, a to możliwe. Spróbuj może Panda USB Vaccine,tylko zaszczep się na innym kompie. Może coś pomoże. Tak czy owak co do pen drive spróbuj cokolwiek, co chroni/szczepi i to najlepiej od razu po podłączeniu do komputera.

Odnośnik do komentarza

Mam wrzucone Panda USB Vaccine...

Mojego pendriva po włożeniu do kompa formatowałem i odłączałem, więc raczej czysto.

 

Powracam do pytania:

 

Jak zgram na płytę np. archiwum RAR o wielkości 700mb to może być on zainfekowany???

Albo Instalki Gier w rar?? Też będą zainfekowane?

 

Gdzieś czytałem, że Sality infekuje pliki do max 40mb ...

 

Czy to prawda i moje pliki mogą być zgrane na płytę i wrzucone na świeżą windę??

Odnośnik do komentarza

Ok Dziękuje Ci Bardzo ;P

 

Właściwie to tylko chciałem dowiedzieć się czy system jest w miarę czysty...

I tak muszę pozgrywać zdjęcia, archiwa z gierkami, jakieś tam prywatne pliczki typu zdjęcia czy muzyka..

 

Potem tylko stawiam windę od nowa, bo i tak ta się sypie jak nie wiem (wylatuję stery, krzaczy się wszystko) xD

 

Teraz nic nie dzieje się za bardzo ...

Proaktywna ochrona nic nie pokazuje..

Zero infekcji, system stabilny, skanowanie nic nie wykazuje ;p

Więc śmiało mogę powiedzieć, że wygrałem z tym cholerstwem xD

 

Do zamknęcia i usunięcia ;D

Chyba, że zostanie dla potomnych ^^

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...