Wirus Sality

[turbo97]

Witam,

prawdopodobnie mam zakażony komputer wirusem Sality,

robilam skan SalityKiller niby usunął wszystko, ale dalej nie moge wejść na dysk, ponieważ wyskakuje mi okienko Hello world.

Zamieszczam zestaw logów z OTL-a i GMER-a

OTL.Txt

Extras.Txt

Gmer.txt

[picasso]

Obowiązkowe są tu także raporty z FRST. Proszę dodaj je. Dodatkowo, zrób log USBFix z opcji Listing.

 

 

robilam skan SalityKiller niby usunął wszystko, ale dalej nie moge wejść na dysk, ponieważ wyskakuje mi okienko Hello world.

Ile razy skan był robiony? Czy tylko raz? Czy ponowne uruchomienie skanera nadal zwraca jakieś wyniki? Wg raportu OTL nadal jest widzialny sterownik Sality amsint32 (on powinien zniknąć, jeśli wirus nie jest czynny), a na wszystkich dyskach leżą ukryte pliki autorun.inf utworzone przez infekcję, dlatego jest problem z ich otwieraniem.

 

Ponadto, zdaj sobie sprawę, że SalityKiller to wąskospecjalizowany skaner, samo pomyślne leczenie SalityKiller nie koniecznie oznacza pełne rozwiązanie. Po wirusie mogą zostać szkody typu trwale uszkodzone pliki, czego naprawa jest nieopłacalna. Zaleceniem przy takich infekcjach i tak jest finałowy kompleksowy format. Dodatkowy aspekt tutaj to ogromna ilość dysków, Sality atakuje wszystkie dostępne:

 

Drive C: | 15,02 Gb Total Space | 4,19 Gb Free Space | 27,88% Space Free | Partition Type: FAT32

Drive D: | 40,36 Gb Total Space | 40,26 Gb Free Space | 99,74% Space Free | Partition Type: NTFS

Drive E: | 502,00 Mb Total Space | 401,07 Mb Free Space | 79,89% Space Free | Partition Type: NTFS

Drive F: | 17,57 Gb Total Space | 12,91 Gb Free Space | 73,47% Space Free | Partition Type: NTFS

Drive G: | 14,90 Gb Total Space | 13,39 Gb Free Space | 89,90% Space Free | Partition Type: NTFS

Drive H: | 11,72 Gb Total Space | 8,93 Gb Free Space | 76,16% Space Free | Partition Type: NTFS

Drive I: | 11,72 Gb Total Space | 10,74 Gb Free Space | 91,63% Space Free | Partition Type: NTFS

 

 

.

[turbo97]

Skan robiła kilka razy, podczas pierwszego wszysko zostało wyleczone natomiast kolejne już nic nie wykazały.

Czyli najlepiej byłoby zrobić format komputera?

FRST.txt

Addition.txt

UsbFix Listing 3 KULKA-E11A5C0F9.txt

[picasso]

Owszem, ja się skłaniam do kompleksowego formatu - co od razu załatwi też dodatkową sprawę z dyskiem C obecnie sformatowanym w prehistorycznym awaryjnym FAT32 - bo tu nie jest pewne co jeszcze wyjdzie w praniu. Nie będę w stanie zdiagnozować i naprawić wszystkich szkód ręcznie, to może być robota przekraczająca czasowo opłacalność, a wynikowy stan i tak niezadawalający. Poza tym, system jest zaśmiecony też adware.

 

W każdym razie, na teraz mogę zadać doczyszczanie tego co widzę:

 

1. Otwórz Notatnik i wklej w nim:

 

MountPoints2: {006b2d82-c6e4-11e2-8523-806d6172696f} - C:\jukvds.exe
MountPoints2: {006b2d83-c6e4-11e2-8523-806d6172696f} - D:\oeeln.pif
MountPoints2: {1a049c80-cd92-11e2-95a3-806d6172696f} - E:\wtjg.exe
MountPoints2: {2cf5afa0-2125-11e3-ae5f-00400581d323} - L:\wrcqsh.pif
MountPoints2: {2cf5afa1-2125-11e3-ae5f-00400581d323} - M:\uphxbk.pif
MountPoints2: {6da122d0-ed4d-11e2-adb3-00400581d323} - K:\lrebs.exe
MountPoints2: {aee2d310-cec3-11e2-acf2-00400581d323} - F:\rjwus.pif
MountPoints2: {aee2d311-cec3-11e2-acf2-00400581d323} - G:\gfxp.pif
MountPoints2: {aee2d312-cec3-11e2-acf2-00400581d323} - H:\loxvh.pif
MountPoints2: {aee2d313-cec3-11e2-acf2-00400581d323} - I:\emqqqa.pif
S3 amsint32; \??\C:\WINDOWS\system32\drivers\hkukqn.sys [x]
HKLM\...\Runonce: [] - [x]
() C:\Documents and Settings\All Users\Dane aplikacji\QuickSet\GS-Enabler\GS-Enabler.exe
R2 fe885e3d; C:\Program Files\GS-Enabler\BrowsafeSvc.dll [180048 2013-12-27] ()
Task: C:\WINDOWS\Tasks\PC Performer_UPDATES.job => C:\Program Files\PC Performer\PCPerformer.exe
Task: C:\WINDOWS\Tasks\PC Performer_DEFAULT.job => C:\Program Files\PC Performer\PCPerformer.exe
Task: C:\WINDOWS\Tasks\GoforFilesUpdate.job => C:\Program Files\GoforFiles\GFFUpdater.exe
Task: C:\WINDOWS\Tasks\GS-Enabler-S-401810099.job => c:\documents and settings\all users\dane aplikacji\quickset\gs-enabler\GS-Enabler.exe
AppInit_DLLs: c:\progra~1\gs-ena~1\browsafe.dll => C:\Program Files\GS-Enabler\Browsafe.dll [4370944 2013-12-27] ()
BHO: RAndoumPrIce - {668F4656-CE6E-9062-EA3F-2639A3EE8627} - C:\Documents and Settings\All Users\Dane aplikacji\RAndoumPrIce\P.dll ()
BHO: BitSaVeir - {F056AC66-184B-0222-C6C0-0B10CCD0FF23} - C:\Documents and Settings\All Users\Dane aplikacji\BitSaVeir\uZ.dll ()
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No File
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.doko-search.com/?babsrc=HP_ss&mntrId=48EC00400581D323&affID=125839&tsp=5039
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66022
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.myplaycity.com/
HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66022
HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66022
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\StarApp
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Dane aplikacji\pldlpfnpjijmiaechenliodplpgncdlc
C:\Documents and Settings\xp\Dane aplikacji\PerformerSoft
C:\Documents and Settings\xp\Dane aplikacji\VideoDownloadConverter_4z
C:\Documents and Settings\xp\Dane aplikacji\Babylon
C:\Documents and Settings\xp\Dane aplikacji\OpenCandy
C:\Documents and Settings\xp\Dane aplikacji\GoforFiles
C:\Documents and Settings\xp\Dane aplikacji\VideoDrivers
C:\Documents and Settings\xp\Ustawienia lokalne\Dane aplikacji\Comodo
C:\Documents and Settings\xp\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\xp\Ustawienia lokalne\Dane aplikacji\Torch
C:\Documents and Settings\Administrator
C:\Documents and Settings\Gość
C:\Documents and Settings\Pomocnik
C:\Documents and Settings\SUPPORT_388945a0
C:\autorun.inf
C:\jukvds.exe
D:\autorun.inf
D:\oeeln.pif
E:\autorun.inf
E:\wtjg.exe
F:\autorun.inf
F:\rjwus.pif
G:\AutoRun.exe
G:\autorun.inf
G:\gfxp.pif
H:\autorun.inf
H:\loxvh.pif
I:\autorun.inf
I:\emqqqa.pif
L:\autorun.inf
L:\dvtu.pif
H:\extensions
H:\Conduit
H:\searchplugins
CMD: netsh firewall reset
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete HKLM\SOFTWARE\Google /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware: BitSaVeir, GS-Enabler, GS-Supporter 1.80, RAndoumPrIce, savenshaRRe, SaveShare 1.74, suRef aNdd keep, YoutubeAdblocker.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie zaruszy zakładek i haseł.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[turbo97]

Nie wiedziałam, który plik AdwCleaner powinnam wstawić, więc dodaje dwa.

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Zadania wykonane. Ale zanim podam kolejne czynności, jeszcze Cię poproszę o przesłanie mi kilku rzeczy z kwarantanny FRST do analizy. Skopiuj na Pulpit następujące obiekty:

 

C:\FRST\Quarantine\Google\Chrome\User Data\Default\Preferences

C:\FRST\Quarantine\pldlpfnpjijmiaechenliodplpgncdlc

 

Spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

 

 

.

[turbo97]

http://hostuje.net/file.php?id=dbeb2bd5cf9132b5b59b0b7dfa77941d#

[picasso]

Dzięki za plik. W kwestii reszty, jeszcze są odpadki adware (na razie nie tak istotne) oraz pojawił się nowy wpis w mapowaniu urządzeń relatywny do Sality:

 

MountPoints2: {01bc2a30-ced7-11e2-acf6-00400581d323} - L:\dvtu.pif

 

On oznacza, że w czasie leczenia systemu podpinano zainfekowane urządzenie przenośne zmapowane w owym czasie pod literą L. Czyli wynika z tego, że masz w rękach ciągle jakieś pendrive / dyski USB, które są zainfekowane. Formatując system zainfekujesz z tego ponownie Windows.

 

1. Uruchom Panda USB Vaccine, zastosuj opcję Computer Vaccination i zresetuj system.

 

2. Podepnij wszystkie nośniki USB (ile da radę na raz) i zrób nowy log USBFix z opcji Listing.

 

 

.

[turbo97]

Przepraszam, że dopiero teraz odpisuję

UsbFix Listing 4 KULKA-E11A5C0F9.txt

[picasso]

Ale ten log jest zrobiony przy zestawie dysków twardych. Ja prosiłam o podpięcie urządzeń przenośnych USB i dopiero wtedy zrobienie raportu. Wg poprzednich danych jest pendrive, który prawdopodobnie nadal jest zainfekowany Sality.

 

 

 

.