Skocz do zawartości

Problemy po infekcji sality


Rekomendowane odpowiedzi

Znajomy miał problem z infekcją sality, prawdopodobnie przeniósł się on z pendrive'a. przeskanował kilkukrotnie komputer Esetem, potem już nic mu nie wykrywało. niedawno zauważył że ma problem z pobieraniem plików. wszystkie zatrzymują mu się na 99%. dodam że SalityKiller nic nie wykrył, Eset potem również nic nie wykrył. była próba czyszczenia winsock'a ale na marne, nic to nie dało.

OTL:

http://wklej.org/id/1327957/

Extras:

http://wklej.org/id/1327956/

FRST:

http://wklej.org/id/1327960/

Addition:

http://wklej.org/id/1327972/

Shortcut:

http://wklej.org/id/1327969/

skanował jeszcze ComboFixem więc dołączam log z niego

http://wklej.org/id/1327536/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Temat sprzątam. Wątpliwe, by raporty zostały sprawdzone.

 

 

bialykaszalot

 

W systemie był skombinowany ESET z odpadkami niepoprawnie odinstalowanego McAfee (wiele komponentów w stanie czynnym):

 

==================== Processes (Whitelisted) =================

 

(McAfee, Inc.) C:\Windows\system32\mfevtps.exe

(McAfee, Inc.) C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe

(McAfee, Inc.) C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe

 

==================== Services (Whitelisted) =================

 

R2 McShield; C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe [197960 2011-03-13] (McAfee, Inc.)

R2 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe [219752 2014-01-27] (McAfee, Inc.)

R2 mfevtp; C:\Windows\system32\mfevtps.exe [185792 2014-01-27] (McAfee, Inc.)

 

==================== Drivers (Whitelisted) ====================

 

S3 cfwids; C:\Windows\System32\drivers\cfwids.sys [70592 2014-01-27] (McAfee, Inc.)

S3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [180272 2014-01-27] (McAfee, Inc.)

R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [311600 2014-01-27] (McAfee, Inc.)

U3 mfeavfk01; No ImagePath

R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [520696 2014-01-27] (McAfee, Inc.)

R2 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [783864 2014-01-27] (McAfee, Inc.)

S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [98728 2011-03-13] (McAfee, Inc.)

R2 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [344688 2014-01-27] (McAfee, Inc.)

 

Nie wyraziłeś się jasno co z ESET zrobiłeś, ale problem McAfee nie został rozwiązany, bo takich instrukcji nie było. Do wdrożenia:

- Z poziomu Trybu awaryjnego Windows zastosuj McAfee Consumer Product Removal Tool.

- Zrób nowy raport z FRST, zaznacz ponownie pole Addition (Shortcut zbędny po raz wtóry).

 

 

Znajomy miał problem z infekcją sality, prawdopodobnie przeniósł się on z pendrive'a. przeskanował kilkukrotnie komputer Esetem, potem już nic mu nie wykrywało.

I podaj dokładnie w czym / jak infekcja została wykryta, by można było ocenić z jakim poziomem mamy do czynienia.

 

 

 

 

.

Odnośnik do komentarza

Z tego co mi napisał była to infekcja Win32/Sality. bez żadnych końcówek typu Sality.AA 

Eseta po prostu wywalił z systemu i teraz pobieranie działa. Zapytam się go jeszcze w czym był wykryty ten wirus, ale z tego co rozumiem był on wykryty na pendrivie przez Eseta w grze League Of Legends. Chciał wziąć tą grę do siebie od kolegi bo mu coś tam się zepsuło. 

Odnośnik do komentarza

Interesuje mnie dokładna ścieżka dostępu i czy wszystkie detekcje były ograniczone tylko do pendrive. Pytam o to, gdyż - wbrew temu co było powiedziane w skasowanych postach - opis raczej sugeruje, że tu nie doszło wcale do infekcji po stronie systemu. ESET mógł po prostu zatrzymać wykonywanie zainfekowanego pliku / skasować go zanim został uruchomiony.

 

Instrukcje z usuwaniem odpadków McAfee nadal aktualne.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...