Skocz do zawartości

Problemy po zwalczeniu Win32.gen Sality


Rekomendowane odpowiedzi

Cześć, więc sprawa wygląda tak.

 

Ponad 4 dni temu prawdopodobnie załapałem infekcje Win32.gen Sality .. która .. była złośliwa, wszelkie próby usunięcia jej nie działały, więc zrobiłem formata każdego dysku + pendriverów.

 

Po formacie, zainstalowałem system, sterowniki i wszystko gra, jupi!

Niestety, tak nie było, ten gad dalej tu siedzi, albo jakieś inny wredny, mały gad.

10h po zainstalowaniu nowego systemu, sterowniki nie działały..Zainstalowałem ponownie, ale instalator odmawiał współpracy.

Więc poczytałem, że może pomóc update systemu i pomoglo.

Dzisiaj włączam PC i rozpoczynam prace. Chciałem przeczyścić komputer CCleanerem ale ukazał mi się błąd o taki..

"Aplikacja nie została właściwie uruchomiona 0xc000007b. Kliknij przycisk OK, aby zakończyć aplikacje."

Cóż, zdziwiłem się i odinstalowałem CCleaner'a. Później było gorzej.

Więc zdziwiony tym problemem, chciałem uruchomić "gadzety" Windowsa ale ten sam bład co u CCleaner'a.

Nie wiem co się dzieje, system ma 2 dni.

Skanowałem jego już Combofixem, ale nic nie pomoglo.

Program antywirusowy: Kaspersky Internet Security 2014

Windows: Windows 7 64bit Home Premium SP1.

Wystepujące błędy:

1.Nie moge włączyć większość programów.

2.Z pulpitu nie moge kopiować do folderów, PPM nie działa na pulpicie.

3.Nie zawsze Google Chrome wyświetla mi stroną, bład:"Brak polączenia internetowego" - A internet jest.

Był już skanowany:

Antywirusem

ComboFixem

MalwareBytes - Wykryto 100 zagrozeń

DrWeb - Wykryto 10 zagrozeń

Pomimo usuniecia ich, problemy nie ustały, jakieś porady?

Tutaj są logi:

OTL -->http://wklej.org/id/1278210/

OTL Extras -->http://wklej.org/id/1278225/

GMER -->http://wklej.org/id/1278207/

FRST ---> Nie mogłem uruchomić.

-----------------------------

Malwarebyte's Anty-Rootkit ---> Wyskakuje mi BlueScreen.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie podałeś GMER. I jaki błąd widniał przy próbie uruchomienia FRST?

 

Nie widzę tu żadnych oznak infekcji, tylko minimalne odpadki adware Conduit SearchProtect, ale to kompletnie bez związku i nie będę się na razie tym zajmować. Brak oznak infekcji w raportach nie jest jednak decydujący w kontekście tego rodzaju infekcji w wykonywalnych (bo logi nie przedstawią modyfikacji wewnątrz plików):

 

 

onad 4 dni temu prawdopodobnie załapałem infekcje Win32.gen Sality .. która .. była złośliwa, wszelkie próby usunięcia jej nie działały, więc zrobiłem formata każdego dysku + pendriverów.

 

Po formacie, zainstalowałem system, sterowniki i wszystko gra, jupi!

Niestety, tak nie było, ten gad dalej tu siedzi, albo jakieś inny wredny, mały gad.

Pytania:

- W jaki sposób zdiagnozowano Sality? Czym?

- Format nie jest skuteczny, jeśli skopiowano "na zapas" z dysku instalatory programów i sterowników, ich uruchomienie po formacie regeneruje infekcję. Czy były kopiowane jakiekolwiek pliki przed formatem na nośniki zapasowe, a jeśli tak, to czy je uruchamiano po formacie?

 

 

Był już skanowany:

Antywirusem

ComboFixem

MalwareBytes - Wykryto 100 zagrozeń

DrWeb - Wykryto 10 zagrozeń

Pomimo usuniecia ich, problemy nie ustały, jakieś porady?

Brak raportów z tych programów, nie wiadomo co zostało wykryte. Po szczątkach SearchProtect podejrzewam, że MBAM mógł to wykryć a nie wirusa. Jak mówię, bez raportów nie moża tego ocenić. Podobnie: brak raportu ComboFix z tamtego uruchomienia, nie wiadomo co program robił.

 

 

Program antywirusowy: Kaspersky Internet Security 2014

Windows: Windows 7 64bit Home Premium SP1.

 

Wystepujące błędy:

1.Nie moge włączyć większość programów.

2.Z pulpitu nie moge kopiować do folderów, PPM nie działa na pulpicie.

3.Nie zawsze Google Chrome wyświetla mi stroną, bład:"Brak polączenia internetowego" - A internet jest.

Obecnie nasuwa się jedno z dwóch:

- Jednak Sality powrócił z jakiegoś zachomikowanego pliku.

- Programy blokuje Kaspersky Internet Security.

 

 

 

.

Odnośnik do komentarza

Aktulizuje wszystkie na stan dzisiejszy.
OTL: http://wklej.to/94qYS
Extras: http://wklej.to/IsTX2
Malwarebytes: http://wklej.to/zdDFS <---Log z operacji gdzie znalazł te zagrożenia

Malwarebytes: http://wklej.to/CT2oJ <---Log dzisiejszy.

Kaspersky: Za chwilę.
GMER: http://wklej.to/KVj1e
FRTS ---> Błąd - http://fotoo.pl/show.php?img=732850_bla-d.jpg.html
Combofix: http://wklej.to/vIHb2
DrWeb: Dodam za chwilę
 

Pytania:
- W jaki sposób zdiagnozowano Sality? Czym?
- Format nie jest skuteczny, jeśli skopiowano "na zapas" z dysku instalatory programów i sterowników, ich uruchomienie po formacie regeneruje infekcję. Czy były kopiowane jakiekolwiek pliki przed formatem na nośniki zapasowe, a jeśli tak, to czy je uruchamiano po formacie

 
Sality został wykryty w logach programem ComboFix, ale próba jego usunięcia programem do tego stworzonym nie wypaliła.
Kopiowałem przed formatem kilkanaście plików o rozszerzeniach: .doc,txt, jpg,jpeg,bmp,png,mp3.avi. Czy mógł on się "wszczepić" do jakiegoś z tych plików?
 

I jaki błąd widniał przy próbie uruchomienia FRST?


Aplikacja nie została właściwie uruchomiona (xc000007b). kliknij przycisk Ok, aby zakończyć aplikację. Taki sam błąd miałem przy CCleanerze i Gadzetach systemu Windows.
Tym razem, kolejny bląd, gdy chciałem wejść w usługi poprzez Windows + R" wpisałem services.msc, po czym wyskoczył mi komunikat:"W magazynie brak miejsca dla wykonania tej operacji".

Chciałem jeszcze dodać, gdy odpalam grę przez internet, to obrazy, teksty, które znajdują mi się w Launcherze, automatycznie otwierają mi się w notatniku.
 
Da się to cholerstwo usunąć?

Odnośnik do komentarza

Nie prosiłam Cię o ponowne robienie ComboFix (nie ma sensu uruchamiać go w kółko i dręczyć system) - to przecież świeży odczyt z dziś, a o CombiFix wspominałeś w poście napisanym wczoraj, na dodatek log urwany. Mnie interesują tylko wyniki ze skanerów uzyskane wcześniej i pokazujące owe infekcje. Póki co: zgodnie z moim podejrzeniem MBAM wykrył tylko adware SearchProtect (instalowane z innymi programami, jeśli jest się nieuważnym), co nie ma związku ze sprawą.

 

 

Sality został wykryty w logach programem ComboFix, ale próba jego usunięcia programem do tego stworzonym nie wypaliła.

Kopiowałem przed formatem kilkanaście plików o rozszerzeniach: .doc,txt, jpg,jpeg,bmp,png,mp3.avi. Czy mógł on się "wszczepić" do jakiegoś z tych plików?

Konkrety: jaki obiekt w logu wskazywał Sality. "Program do tego stworzony" = SalityKiller? I co ten program w ogóle mówił? Zmierzam do tego, że muszę mieć pewność, iż był to Sality w stanie czynny. Co do kopii danych: o ile Sality nie "zaktualizował się" do jakiegoś nowego wariantu, te rozszerzenia teoretycznie nie stanowiły zagrożenia. Zupełnie inaczej byłoby przy infekcji Virut (atakuje DOC, PDF, JPG, archiwa i kilka innych).

 

 

Da się to cholerstwo usunąć?

Jak mówię: póki co, tu w ogóle nie ma oznak infekcji. Nic jej nie dowoduje. W raportach brak oznak pośrednich jej działania. Nie ma także żadnych skanów antywirusowych z tą detekcją. To Ty na razie sugerujesz infekcję łącząc fakt jej pobytu przed formatem i obecny błąd uruchomieniowy programów, tylko że ten błąd nie tylko uszkodzenie plików przez Sality generuje.

 

Proponuję jednak sprawdzić co się stanie po tymczasowej deinstalacji Kaspersky Internet Security (bardzo silne funkcje hookujące i możliwości blokowania), czy nadal będą problemy z uruchamianiem programów.

 

 

 

 

.

Odnośnik do komentarza

Nie pamiętam.

Przybyłem na to forum, ponieważ "Goście" z dobreprogramy.pl przysłali mnie tutaj.

 

To Ty na razie sugerujesz infekcję łącząc fakt jej pobytu przed formatem i obecny błąd uruchomieniowy programów, tylko że ten błąd nie tylko uszkodzenie plików przez Sality generuje.

Proponuję jednak sprawdzić co się stanie po tymczasowej deinstalacji Kaspersky Internet Security (bardzo silne funkcje hookujące i możliwości blokowania), czy nadal będą problemy z uruchamianiem programów.

 

.Stwierdzam tak, ponieważ panowie z innych for mi tak powiedzieli, że prawdopodobnie jest to Sality, po podaniu im logów z OTL stwierdzili, że to 100% Sality i wysłali mnie tutaj.

 

Więc jaki polecasz antywirus?

Co zalecasz mi zrobić, prócz odinstalowaniu AntyWirusa aby system działał prawidłowo?

Odnośnik do komentarza

Stwierdzam tak, ponieważ panowie z innych for mi tak powiedzieli, że prawdopodobnie jest to Sality, po podaniu im logów z OTL stwierdzili, że to 100% Sality i wysłali mnie tutaj.

Czyli temat był prowadzony gdzie indziej? W zasadach działu wyraźnie proszę o linki do tematów, jeśli rozwiązywano sprawy wcześniej. Podaj gdzie to robiono, link do tematu.

 

 

Więc jaki polecasz antywirus?

Co zalecasz mi zrobić, prócz odinstalowaniu AntyWirusa aby system działał prawidłowo?

Po pierwsze: od razu planujesz widzę skok w inne oprogramowanie i dalsze czynności, nawet nie wiedząc o co chodzi z Kasperskym i czy on ma związek. Ja po prostu szukam innych wyjaśnień, skoro skan antywirusowy (Dr. Web + Kaspersky, bo MBAM to inny typ) nie wykrywa Sality. Na początek to w ogóle sprawdź co się stanie po deinstalacji KIS i nie ładuj przypadkiem żadnego innego antywirusa w zamian, bo pole do rozważań musi być czyste. Chodzi mi na teraz o konkret: raport stanu systemu po usunięciu KIS, co się dzieje, czy są blokady programów.

Po drugie: nie polecam żadnych konkretnych antywirusów, obojętny z puli wiodącej (byle nie niszowy twór) jest dobrym antywirusem. Na razie ten wątek jest i tak zawieszony ze względu na powyższe.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...