matri Opublikowano 7 Października 2014 Zgłoś Udostępnij Opublikowano 7 Października 2014 Zainfekowany pendrive i stało się, Win32.Sality (przynajmniej tego gada tak pokazuje avast) rozlał się na wszystkie .exe. Najbardziej obawiam się, że nie przywrócę do stanu pierwotnego wszystkim moich instalek, niestety trzymam je na kompie a nie na płycie no i ten gad rozlał się. Jednak postanowiłem spróbować a więc zgodnie z instrukcją. Addition.txt OTL.Txt Extras.Txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 7 Października 2014 Zgłoś Udostępnij Opublikowano 7 Października 2014 Niestety przy infekcji Sality nie da się nic innego zrobić, jak próbować leczyć pliki, a te których się nie da lub zostały leczeniem uszkodzone całkowicie wyrzucić. Sality jest infekcją zbyt obszerną, by uzyskać 100% pomyślne wyniki, i tak jest zalecany format, nawet jeśli teoretycznie skanery jakoś się z tym uporają. Podane tu logi (skoncentrowane na dysku C) to jedynie malutki wycinek z systemu i na ich podstawie nie jestem nawet w stanie stwierdzić zakresu dewastacji wykonywalnych, nie wspominając już o tym, że są aż trzy partycje, Sality atakuje wszystkie dostępne: ==================== Drives ================================ Drive c: () (Fixed) (Total:42.64 GB) (Free:0.35 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: () (Fixed) (Total:24.67 GB) (Free:0.65 GB) NTFS Drive e: () (Fixed) (Total:230.78 GB) (Free:3.17 GB) NTFS Co widzę obecnie w Twoich logach: - To jakiś modyfikowany nieoryginalny XP instalowany z nośnika zrobionego via nLite. Wykazuje też syndromy staroci: stary IE7, potwornie stary Avast 4.8. Stosowałeś ComboFix, nie dostarczyłeś wynikowego raportu i prawdopodobnie go już nie ma (nie widzę na dysku pliku C:\ComboFix.txt). On tu zresztą nie pomoże, nie jest antywirusem i nie leczy zainfekowanych plików. Skutki uboczne użycia ComboFix: "uzupełnił" usługi sztucznie wycięte z Twojego XP przy udziale nLite, tworząc serię zdewastowanych niedziałających usług. I nie wiadomo co jeszcze ComboFix zmajstrował na systemie zmodyfikowanym. ==================== Drivers (Whitelisted) ==================== U5 Browser; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) U5 lanmanserver; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) U5 Messenger; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) U5 Netlogon; C:\WINDOWS\system32\lsass.exe [13312 2008-04-15] (Microsoft Corporation) - Pośrednie ślady Sality są. Brak wprawdzie widocznego sterownika Sality, ale na wszystkich dyskach są ukryte pliki autorun.inf Sality, w Zaporze systemu są też charakterystyczne autoryzacje z oznaczeniem "ipsec" oznaczające infekcję owych programów. System jest też zanieczyszczony innymi szkodnikami (Reboot.exe w starcie i adware). O32 - AutoRun File - [2014-10-06 18:38:07 | 000,000,235 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2014-10-06 18:38:07 | 000,000,251 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2014-10-06 18:38:07 | 000,000,277 | RHS- | M] () - E:\autorun.inf -- [ NTFS ] ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" = C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe:*:Enabled:ipsec "C:\WINDOWS\system32\nwiz.exe" = C:\WINDOWS\system32\nwiz.exe:*:Enabled:ipsec "C:\Program Files\Common Files\Java\Java Update\jusched.exe" = C:\Program Files\Common Files\Java\Java Update\jusched.exe:*:Enabled:ipsec "C:\Program Files\Mozilla Firefox\plugin-container.exe" = C:\Program Files\Mozilla Firefox\plugin-container.exe:*:Enabled:ipsec -- (Mozilla Corporation) "C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:ipsec -- (Microsoft Corporation) Widząc to wszystko stawiałabym system od zera. Jeśli mimo wszystko się zdecydujesz kontynuować czyszczenie, wstępnie: 1. Pobierz SalityKiller. Wykonaj nim skan do skutku. Musi być powtórzony tyle razy, aż będzie odczyt zero zainfekowanych. Dopiero po tym: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f CMD: netsh firewall reset R1 {572f484b-455f-44b0-9d6a-da3ad2071365}t; C:\WINDOWS\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}t.sys [55232 2014-05-22] (StdLib) S2 Update webporpoise; "C:\Program Files\webporpoise\updatewebporpoise.exe" [X] Startup: C:\Documents and Settings\Lewandowski\Menu Start\Programy\Autostart\Reboot.exe () AlternateShell: FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Conduit C:\Documents and Settings\All Users\Dane aplikacji\FileOpen C:\Documents and Settings\All Users\Dane aplikacji\ParetoLogic C:\Documents and Settings\Lewandowski\Dane aplikacji\.ACEStream C:\Documents and Settings\Lewandowski\Dane aplikacji\DriverCure C:\Documents and Settings\Lewandowski\Dane aplikacji\FileOpen C:\Documents and Settings\Lewandowski\Dane aplikacji\ParetoLogic C:\Documents and Settings\Lewandowski\Dane aplikacji\RoxTemp C:\Documents and Settings\Lewandowski\Dane aplikacji\RST C:\Documents and Settings\Lewandowski\Ustawienia lokalne\Dane aplikacji\Eraser 6 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}t.sys C:\autorun.inf D:\autorun.inf E:\autorun.inf EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Odinstaluj stary Avast. Po tym zastosuj Avast Uninstall Utility. Na razie nie instaluj najnowszej wersji, to zrobimy potem. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) i USBFix z opcji Listing (o ile możliwe, zrób go przy podpiętym zainfekowanym pendrive). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
matri Opublikowano 8 Października 2014 Autor Zgłoś Udostępnij Opublikowano 8 Października 2014 SalityKiller użyłem już 2 razy przed rejestracją na forum, pliki .exe były niby wyleczone. Jednak avast znów coś wykrył więc zarejestrowalem się tutaj. Wykonałem dziś jeszcze raz skan. Jest "czysto". Niektóre pliki .exe można odpalić, niektóre już nie. XP pirat z SP3 już cały obraz był, rozumiem, że nie dostanę nigdzie czystej kopii z SP3 tylko trzeba oryginał. Przy USBFix wyskakuje mi taki komunikat jak na załączonym obrazku. Do tej pory nie narzekałem, bo mam procek tylko 1.3 Ghz, 512 RAM i jakoś ten avast dawał radę, zawsze były komunikaty ale teraz ktoś bez mojej wiedzy wyłączył całą ochronę, podpiął ten pendrive i stało się. edit: Zapomniałem zajrzeć na dysk C i tam był log z USBFix (mimo tego błędu), dodam, że pendrive był już wcześniej sformatowany FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 9 Października 2014 Zgłoś Udostępnij Opublikowano 9 Października 2014 Przy USBFix wyskakuje mi taki komunikat jak na załączonym obrazku. (...) Zapomniałem zajrzeć na dysk C i tam był log z USBFix (mimo tego błędu), dodam, że pendrive był już wcześniej sformatowany Czy ten log USBFix coś zawiera? Jeśli tak, pokaż go. I dodaj mi skan root wszystkich dysków - otwórz Notatnik i wklej w nim: S3 catchme; \??\C:\DOCUME~1\LEWAND~1\USTAWI~1\Temp\catchme.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" CMD: dir /a C:\ CMD: dir /a D:\ CMD: dir /a E:\ CMD: dir /a X:\ RemoveDirectory: C:\Documents and Settings\Lewandowski\Pulpit\Stare dane programu Firefox DeleteQuarantine: W linii CMD: dir /a X:\ pod X: podstaw literę pod jaką obecnie widać pendrive. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Niektóre pliki .exe można odpalić, niektóre już nie. Te których nie da się odpalić są do śmieci. To pliki uszkodzone infekcją, bądź jej leczeniem. Są nienaprawialne i muszą być zastąpione nowymi plikami. XP pirat z SP3 już cały obraz był, rozumiem, że nie dostanę nigdzie czystej kopii z SP3 tylko trzeba oryginał. Nie mogę tu wspierać piractwa, ani podawać konkretów, ale w podbramkowej sytuacji można wyszukać obraz ISO XP SP3, ale tzw. "clean" niemodyfikowany. Twój obraz płyty jest mocno przekształcony przez nLite (wycięte określone komponenty, możliwe że więcej niż widać). . Odnośnik do komentarza
matri Opublikowano 10 Października 2014 Autor Zgłoś Udostępnij Opublikowano 10 Października 2014 Ok, zrobione 1. USBFix zrobiony z tym błędem 2. USBFiX zrobiony już po wskazówkach w poście 3 (tego błędu już nie było) Fixlog.txt UsbFix Listing 1 LEWANDOW-054E3A.txt UsbFix Listing 2 LEWANDOW-054E3A.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2014 Zgłoś Udostępnij Opublikowano 10 Października 2014 Na dyskach są nadal pliki Sality. Kolejna poprawka. Otwórz Notatnik i wklej w nim: D:\hpgdwl.exe E:\eiusao.exe E:\gcls.exe RemoveDirectory: C:\RECYCLER RemoveDirectory: D:\RECYCLER RemoveDirectory: E:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
matri Opublikowano 23 Października 2014 Autor Zgłoś Udostępnij Opublikowano 23 Października 2014 Przepraszam, że tak to długo trwało, problemy z moim antykiem i nie ruszałem systemu od 10 X. Moved successfully (przeniesiony z powodzeniem) czyli nadal nie usunięty? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2014 Zgłoś Udostępnij Opublikowano 23 Października 2014 Fix wykonany zgodnie z planem. "Moved" a nie "Removed", bo FRST przenosi pliki do kwarantanny, tylko dla folderów jest ekstra (i opcjonalna) opcja permanentnego usuwania, którą użyłam dla folderów Koszy. To nie ma znaczenia, kwarantannę FRST i tak zawsze opróżniam na końcu. Jako że upłynęło trochę czasu, na wszelki wypadek pobierz najnowszy FRST i zrób mi nowy log FRST, by sprawdzić czy coś się nie zmieniło. Ponadto, podsumuj co się obecnie w systemie dzieje, gdzie są problemy. Odnośnik do komentarza
matri Opublikowano 24 Października 2014 Autor Zgłoś Udostępnij Opublikowano 24 Października 2014 Ostatni fixlog był już robiony na najnowszej wersji. Podsumowując na chwilę obecną oprócz tego, że muszę zainstalować ponownie system to raczej nic się nie dzieje, pliki .exe które były zarażone zostały usuniętę, te które nie dały się wyleczyć także Są pliki .exe które działają poprawnie ale nie wiem czy wszystko z nimi OK, ponieważ nie mam Avasta, być może jak go zainstaluję to przy scanie mi wyskoczy, że Win32.Sality jest obecny. FRST.txt Shortcut.txt Addition.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2014 Zgłoś Udostępnij Opublikowano 28 Października 2014 Poza tym co już omawialiśmy wcześniej, żadnych nowych niepokojących śladów. Przed reinstalacją systemu jeszcze wykonaj to: 1. Zastosuj DelFix, co powinno usunąć folder C:\FRST z kwarantanną. 2. Zainstaluj najnowszą wersję Avast. Wykonaj pełny skan wszystkich trzech partycji C:, D:, E:. Zgłoś się tu z wynikami co skaner wykrył. . Odnośnik do komentarza
matri Opublikowano 28 Października 2014 Autor Zgłoś Udostępnij Opublikowano 28 Października 2014 Ok, najpierw uruchomiłem DelFix, log w załączniku, następnie nowy Avast. Pierwszy skan (całościowy) wykazał 14 zagrożeń (to pewnie pliki które były "wyleczone" przez SalityKiller), przeniosłem do kwarantanny i usunąłem, zrobiłem reset systemu i kolejny pełny skan. W załączniku podaję screen. Nie wykazał nic, zrobiłem restart i wykonałem trzeci pełny skan który także nic nie wykrył. Pendrive sformatowałem już w chwili użycia USBFix'a. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2014 Zgłoś Udostępnij Opublikowano 28 Października 2014 DelFix pomyślnie wykonał zadanie, możesz skasować log C:\DelFix.txt. Na zrzucie ekranu z Avast nie widać gdzie konkretnie były wykryte te wirusy - w jakich ścieżkach. I jeśli na 100% pełny skan wszystkich partycji nic już nie wykazuje, to myślę że to na razie koniec zmagań. Na dalszą metę: - Reinstalacja XP przy użyciu płyty niemodyfikowanej i uzupełnienie wszystkich aktualizacji z Windows Update. - Zabezpieczenie świeżego systemu przed wykonywaniem infekcji typu autorun.inf (czyli m.in. Sality) za pomocą Panda USB Vaccine (opcja Computer Vaccination). Aktualny system już został zabezpieczony w ten sposób, to samo co Panda zrobiła komenda w skrypcie FRST: Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f . Odnośnik do komentarza
matri Opublikowano 28 Października 2014 Autor Zgłoś Udostępnij Opublikowano 28 Października 2014 1. Pierwsze co wykonać po instalacji nowego systemu to: - Zabezpieczenie świeżego systemu przed wykonywaniem infekcji typu autorun.inf (czyli m.in. Sality) za pomocą Panda USB Vaccine (opcja Computer Vaccination). Czy mam to robić z podpiętym, sformatowanym pendrive'em? 2. Czy mogę teraz podpiąć inny sformatowany dysk na który chciałbym przenieść większe pliki .avi? Jest on sformatowany, bez systemu, czysta partycja. Nie przeniesie się nic na niego? Po ponownym zainstalowaniu systemu chciałbym z powrotem te pliki .avi przenieść na dysk główny ten który był leczony. Odnośnik do komentarza
picasso Opublikowano 28 Października 2014 Zgłoś Udostępnij Opublikowano 28 Października 2014 Czy mam to robić z podpiętym, sformatowanym pendrive'em? Ja mówię o opcji Computer Vaccination (do wykonania jako pierwsza) - to jest zabezpieczenie systemu poprzez edycję rejestru, która powoduje, że system przestaje interpretować pliki autorun.inf, obecność pendrive nie ma z tym nic wspólnego. Oczywiście pendrive też można później zabezpieczyć stosując w Pandzie opcję USB Vaccination, która utworzy na urządzeniu zablokowany plik autorun.inf. Czy mogę teraz podpiąć inny sformatowany dysk na który chciałbym przenieść większe pliki .avi? Możesz. Pliki AVI nie są zresztą atakowane przez Sality. . Odnośnik do komentarza
matri Opublikowano 28 Października 2014 Autor Zgłoś Udostępnij Opublikowano 28 Października 2014 Ok, dzięki, prosiłbym o nie zamykanie tematu, mam jeszcze lapka do którego był podpięty pendrive ale to już jak pozwoli mi czas wstawię odpowiednie logi jak w pierwszym poście, dziękuję za pomoc, postaram się odwdzięczyć dotacją. Odnośnik do komentarza
matri Opublikowano 15 Stycznia 2016 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2016 (edytowane) Znów Win32 Sality, tym razem nie z pendrive'a ale nie widzę plików autorun.inf. Nie skaczę po systemie aby go nie roznieść (chociaż pewnie sam to robi) tylko przeglądarka i programy do diagnostyki. Uprzedzając, posypuję głowę popiołem, wiem, że stary avast, nielegalny Windows 7 SP1 x64 jednak załączam logi. Edit: Ok jednak zrobię format Addition.txt FRST.txt Shortcut.txt GMER.txt Edytowane 15 Stycznia 2016 przez matri Odnośnik do komentarza
Rekomendowane odpowiedzi