lpp32jdmzz Opublikowano 15 Listopada 2014 Zgłoś Udostępnij Opublikowano 15 Listopada 2014 Witam.Po sformatowaniu dysku i wgraniu windowsa na moim komputerze zaczęły się pojawiać dziwne ostrzeżenia z zapory że dany plik chce uzyskać dostęp do internetu.Jak się później okazało, był to wirus sality3, który był na moim dysku zewnętrznym.Pisałem w tej sprawie na innym forum, ale pomoc którą otrzymałem była przeciętna,postanowiłem sam zwalczyć wirusa.Użyłem salitykillera aby go usunąć, myślę ze jakoś to wyszło ponieważ wszelkie notyfikacje zniknęły..Problem w tym że nie wiem jak uruchomić go na dysku zewnętrznym i płycie DVD.Nie wiem także czy problem został rozwiązany.W czym problem? (TL;DR) Potrzebuję pomocy aby uruchomić salitykillera na dysku zewnętrznym,płycie oraz potrzebuję sprawdzenia logów. http://support.kaspersky.com/pl/viruses/disinfection/1874#block3 punkt trzeci. Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2014 Zgłoś Udostępnij Opublikowano 15 Listopada 2014 Proszę dostosuj się do zasad działu: KLIK. Czyli podaj obowiązujące tu raporty oraz link do forum gdzie temat poprzednio przetwarzano. Prócz obowiązkowych logów dodaj jeszcze USBFix z opcji Listing. Po sformatowaniu dysku i wgraniu windowsa na moim komputerze zaczęły się pojawiać dziwne ostrzeżenia z zapory (...) Pisałem w tej sprawie na innym forum, ale pomoc którą otrzymałem była przeciętna,postanowiłem sam zwalczyć wirusa. "Przeciętna", bo proponowano format? Przy infekcjach w wykonywalnych, nawet jeżeli zostanie system "wyczyszczony", i tak jest zalecany kompleksowy format, gdyż uszkodzenia po infekcji są trudne do stwierdzenia (leczenie plików może oznaczać trwałe ich uszkodzenie). Tu na dodatek system świeżo po formacie, nie wiem dlaczego podejmowałeś się próby leczenia zamiast po prostu zrobić format ponownie, próby leczenia zajmują czas, a docelowy system i tak może nie uzyskać poprzedniej sprawności. Problem w tym że nie wiem jak uruchomić go na dysku zewnętrznym i płycie DVD. Płyta DVD jest "tylko do odczytu", więc tam nie powinno być infekcji. Jeśli chodzi o skan dysków zewnętrznych, to masz w artykule dokładne dane jaki przełącznik narzędzia za to odpowiada: -r - skanowanie napędów typu flash, skanowanie wymiennych dysków twardych podłączanych poprzez USB lub FireWire Czyli w linii komend cmd wpisujesz: "ścieżka dostępu do salitykiller.exe" -r -v -l C:\log.txt Jednakże SalityKiller to jest ograniczone narzędzie. Tu były na forum tematy, że po użyciu SalityKiller dokładny skan dysku antywirusem i tak wykazał zainfekowane pliki. . Odnośnik do komentarza
lpp32jdmzz Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 "Przeciętna", bo proponowano format? Przy infekcjach w wykonywalnych, nawet jeżeli zostanie system "wyczyszczony", i tak jest zalecany kompleksowy format, gdyż uszkodzenia po infekcji są trudne do stwierdzenia (leczenie plików może oznaczać trwałe ich uszkodzenie). Tu na dodatek system świeżo po formacie, nie wiem dlaczego podejmowałeś się próby leczenia zamiast po prostu zrobić format ponownie, próby leczenia zajmują czas, a docelowy system i tak może nie uzyskać poprzedniej sprawności. Nie wiem czy to ważne,nie mi to oceniać. Poniżej proszony link: http://forum.pcformat.pl/Podejrzane-pliki-exe-zadajace-dostepu-do-internetu-t Jednakże SalityKiller to jest ograniczone narzędzie. Tu były na forum tematy, że po użyciu SalityKiller dokładny skan dysku antywirusem i tak wykazał zainfekowane pliki. Skoro tak jest pominiemy salitykillera,czekam na propozycje. Podkreślam że formatować i tak będę, plik Extras.txt z OTL.exe nie utworzył się. Edit: dobra,już doczytałem zaraz wstawię. Addition.txt FRST.txt GMER.txt OTL.Txt Shortcut.txt UsbFix Listing 2 LUKASZ-KOMPUTER.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Na tamtym forum nawet nie zdefiniowali, że jest to Sality, a było to oczywiste po typie autoryzacji Zapory systemu (charakterystyczne pliki w Temp). GMER robiłeś w niewłaściwych warunkach - przy czynnym sterowniku SPTD. Ale to już pomiń. Dodatkowy aspekt tu się objawił, masz system 64-bit: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 Sality nie jest natywnie 64-bitową infekcją i na takim systemie może atakować tylko 32-bitowe pliki, czyli połowa systemu i niektóre programy bezpieczne. Jednakże problem z plikami 32-bit jest tu trudny do odgadnięcia. Wiem tylko tyle, że był uruchamiany SalityKiller i coś robił, ale co i gdzie to nie wiadomo (brak raportu z działań, gdyż SalityKiller był uruchamiany bez parametru nagrywającego log), również nie wiadomo czy na dysku systemowym są nadal jakieś trefne pliki. Z tym, że pliki systemowe i tak będą zamieniane nowszymi wersjami, gdyż system nie posiada żadnych aktualizacji i szykuje się gruba aktualizacja z Windows Update (SP1, IE11 i reszta łat). EDIT: Dostawiłeś OTL Extras i tam nadal widać nie wyczyszczone autoryzacje Zapory wytapetowane Sality. Poza tym nie widać innych oznak Sality, ale stan plików na dysku nie może być tym sposobem sprawdzony. Zalecenia na teraz: 1. Czyszczenie autoryzacji w Zaporze. Dodatkowo jeszcze do wyrzucenia są wielokrotne Kosze z dysków zewnętrznych oraz dorobione sztucznie katalogi autorun.inf (to ma skutki uboczne w postaci blokady etykiet). Zakładam, że mapowanie dysków jest identyczne jak w momencie zrobienia raportu USBFix. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\Autorun.inf RemoveDirectory: D:\Autorun.inf RemoveDirectory: D:\msdownld.tmp RemoveDirectory: F:\Autorun.inf RemoveDirectory: F:\msdownld.tmp RemoveDirectory: F:\$RECYCLE.BIN RemoveDirectory: F:\Recycled RemoveDirectory: F:\RECYCLER RemoveDirectory: I:\Autorun.inf RemoveDirectory: I:\msdownld.tmp RemoveDirectory: I:\$RECYCLE.BIN RemoveDirectory: I:\RECYCLER EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom Kaspersky Virus Removal Tool - domyślnie program prowadzi skan ekspresowy, należy to zmienić w konfiguracji na pełny skan wszystkich elementów. Za jego pomocą wykonaj po kolei pełny skan każdej partycji z osobna - zadania podziel, najpierw jedna partycja i zapisujesz wyniki, potem następna. Zgłoś się tu z raportami skanu. . Odnośnik do komentarza
lpp32jdmzz Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 GMER robiłeś w niewłaściwych warunkach - przy czynnym sterowniku SPTD. Zabrakło też pliku OTL Extras pokazującego autoryzacje w Zaporze. Ale to już pomiń. Myślałem że usunięcie Daemona usunie również sterownik,próbowałem wywalić jego pozostałości w Rejestrze ale nie mogę otrzymać uprawnień...coś tam chyba wywaliłem za pomocą SPTDinst. Również mi szkoda że salitykiller nie posiadał opcji zapisania logów Użyłem skryptu,otrzymałem dużo błedów ale to chyba normalne ? Fixlog.txt Coś tam się skanuje ale nie wiem czy uruchomiłem dobre skanowanie.. Czy utrata historii na Chrome to też normalny objaw po zastosowaniu skryptu ? Wykryło Sality w plikach .exe Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Wykryło Sality w plikach .exe Spodziewałam się tego. I nie zapomnij dostarczyć raportów ze skanera, by dało się ocenić zakres infekcji. Użyłem skryptu,otrzymałem dużo błedów ale to chyba normalne ? Jeśli chodzi o wyniki skryptu: reset Zapory czyszczący autoryzacje Sality wykonany, większość folderów też usunięta, z wyjątkiem folderu Kosza F:\RECYCLER, co odpowiada komunikatowi ze zrzutu ekranu mówiącego o uszkodzonym Koszu. Pod kątem tego lewego folderu: 1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep komendę sprawdzania dysku: chkdsk F: /f /r 2. Gdy checkdisk ukończy pracę, kolejny skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: F:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt oraz nowy log USBFix z opcji Listing. Czy utrata historii na Chrome to też normalny objaw po zastosowaniu skryptu ? Tak, komenda EmptyTemp: czyści historię i cookies przeglądarki. Również mi szkoda że salitykiller nie posiadał opcji zapisania logów Na przyszłość (choć mam nadzieję to nigdy nie nastąpi), SalityKiller uruchomiony z linii komend cmd z przełącznikami -v i -l: "ścieżka dostępu do salitykiller.exe" -v -l C:\log.txt Myślałem że usunięcie Daemona usunie również sterownik,próbowałem wywalić jego pozostałości w Rejestrze ale nie mogę otrzymać uprawnień...coś tam chyba wywaliłem za pomocą SPTDinst. Deinstalacja DAEMON Tools oraz Alcohol nie usuwa sterownika SPTD, on musi być potraktowany z osobna narzędziem SPTDinst. W momencie gdy robiłeś skan GMER sterownik SPTD był definitywnie czynny (w logu GMER czynności tego sterownika), notował go także FRST: ==================== Drivers (Whitelisted) ==================== R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-09-24] (Duplex Secure Ltd.) U3 a7yas93o; C:\Windows\System32\Drivers\a7yas93o.sys [0 ] (Advanced Micro Devices) Ale jak mówiłam, to już sobie darujmy. Możesz przywrócić instalację DAEMON. . Odnośnik do komentarza
lpp32jdmzz Opublikowano 20 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2014 niestety chkdsk trwa zbyt wolno,skanowanie drugiej partycji zajmie minimum 14 godzin..jedyne co mam to log z pierwszej partycji.Jeszcze nie używałem salitykillera na dysku zewnętrznym,nie widzę innego rozwiązania.. 111.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2014 Zgłoś Udostępnij Opublikowano 20 Listopada 2014 niestety chkdsk trwa zbyt wolno,skanowanie drugiej partycji zajmie minimum 14 godzin. Ten chkdsk trzeba zrobić, ale to na razie odsuńmy na dalszy plan. Nie jestem pewna czy dobrze rozumiem, to "14 godzin" tyczy checkdiska czy skanu Kaspersky Virus Removal Tool: Jeszcze nie używałem salitykillera na dysku zewnętrznym,nie widzę innego rozwiązania.. Pokazujesz mi skan tylko z F, jak rozumiem skanowanie pozostałych partycji (C, D, I) jest nadal w planie, bo wszystkie dyski po kolei należy przeskanować. Tak, nawet jeśli SalityKiller był wcześniej używany na którejś z partycji. Jak mówiłam: tu na forum były tematy, w których po użyciu SalityKiller pełny skan antywirusowy wykonany na tym samym dysku i tak wykazał pliki Sality. Po to jest robiony skan innym skanerem teraz. Jeśli trwa długo, trudno, nie chcesz robić formatu, to wykaż cierpliwość. Pliki wykazane jako zainfekowane Kaspersky ma poddać leczeniu, a jeśli się nie uda, pliki są do wyrzucenia. Właścicie to nie trudziłabym się z leczeniem tych pokazanych tu w logu tylko od razu SHIFT+DEL (kasowanie z omijaniem Kosza), bo to głównie instalki, które na świeżo możesz sobie pobrać ponownie. . Odnośnik do komentarza
lpp32jdmzz Opublikowano 20 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2014 Ten chkdsk trzeba zrobić, ale to na razie odsuńmy na dalszy plan. Nie jestem pewna czy dobrze rozumiem, to "14 godzin" tyczy checkdiska czy skanu Kaspersky Virus Removal Tool: Chldsk dochodzi do 19% a potem strasznie ale to strasznie długo skanuje pojedyncze pliki,są to pliki .rar , moze lepiej je wywalic ? 14 godzin oblicza Kaspersky na drugiej partycji,to dziwne ponieważ pierwsza została zeskanowana po uplywie 45 minut. C i D to moje dyski z komputera, F i I to dysk zewnetrzny podzielony na dwie partycje.No dobra,coś wymyśle. Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2014 Zgłoś Udostępnij Opublikowano 20 Listopada 2014 Chldsk dochodzi do 19% a potem strasznie ale to strasznie długo skanuje pojedyncze pliki,są to pliki .rar , moze lepiej je wywalic ? Skoro RARy mogą iść na ubój, to czemu nie, spróbuj czy ich usunięcie przyśpieszy pracę checkdisk. C i D to moje dyski z komputera, F i I to dysk zewnetrzny podzielony na dwie partycje. Wiem o tym, wszystko mam od dawna w logach (precyzyjny podział głównego dysku twardego w FRST Addition + lista dodatkowa w USBFix). Ten podział nie ma znaczenia w przypadku infekcji w wykonalnych typu Sality. Sality atakuje wszystkie partycje i dyski, które były dostępne w trakcie inicjacji i trwania infekcji. Dla bezpieczeństwa musisz przeskanować wszystkie partycje (nawet jeśli SalityKiller niektóre wcześniej obrabiał). Wystarczy jeden plik z genem Sality pozostawiony gdzieś na dysku i przypadkowo uruchomiony, a infekcja rozpocznie są od nowa i wszystkie wcześniej podjęte działania stracą sens. 14 godzin oblicza Kaspersky na drugiej partycji,to dziwne ponieważ pierwsza została zeskanowana po uplywie 45 minut. Szybkość skanu zależy też od zawartości partycji. I czy na pewno obliczenia wstępne się pokrywają z przelicznikiem już po uruchomieniu skanu? . Odnośnik do komentarza
lpp32jdmzz Opublikowano 23 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Jakieś wskazówki czemu Kaspersky wywala podczas skanowania? Wychodzi na to ze bede musial wywalic 3/4 partycji. Odnośnik do komentarza
Bonifacy Opublikowano 23 Listopada 2014 Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Jakieś wskazówki czemu Kaspersky wywala podczas skanowania? Moja propozycja: Jeśli są problemy ze skanerem Kaspersky i skanowanie trwa tak długo to może warto zastosować skaner McAfee Stinger?http://www.mcafee.com/us/downloads/free-tools/stinger.aspx--> wybierz Download Stinger-ePO for 64bit systems Ma on także smaka na Sality. Na ekranie startowym wejdz w Adwanced --> Settings --> i dodatkowo zaznacz Report applications.http://zapodaj.net/bbe039f7461f8.png.htmlNa ekranie startowym w 'Customize my scan' zaznacz wszystkie partycje i dyski USB podlegające skanowaniu. Odnośnik do komentarza
lpp32jdmzz Opublikowano 24 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2014 Dzięki Bonifacy.Ruszyło jak Golf w TDi. Odnośnik do komentarza
lpp32jdmzz Opublikowano 3 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 dobra,zrobiłem wszystko co miałem.przeskanowałem stingerem,nie wykazuje obecności sality,co teraz? Przepraszam za późną odpowiedź. Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Co z tą operacją: 1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep komendę sprawdzania dysku: chkdsk F: /f /r 2. Gdy checkdisk ukończy pracę, kolejny skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: F:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt oraz nowy log USBFix z opcji Listing. Odnośnik do komentarza
lpp32jdmzz Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 została ukończona pomyślnie. Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Tylko że nie ma wynikowych danych: Przedstaw wynikowy fixlog.txt oraz nowy log USBFix z opcji Listing. Odnośnik do komentarza
lpp32jdmzz Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Fixlog2.txt UsbFix Listing 3 LUKASZ-KOMPUTER.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Zakładając, że skan wszytkich partycji był prowadzony rzetelnie, sprawy wyglądają na ukończone. 1. Odinstaluj USBFix, usuń ręcznie pobrane narzędzia z D:\Download. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do wykonania pełna aktualizacja Windows z Windows Update. USBFix wskazuje, że w międzyczasie doinstalowałeś SP1 - ale nadal IE8. 3. Według uznania doinstaluj pełnego antywirusa z ochroną rezydentną. Dowolny z darmowych lub komercyjnych popularnych marek, byle nie niszowe egzotyczne rozwiązanie. Odnośnik do komentarza
lpp32jdmzz Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 czy wstawić też jakieś logi z innych dysków lub urządzeń? wykryłem sality miedzy innymi na telefonie. Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Logi nie są w stanie już nic tu dodać. Używane narzędzia diagnostyczne koncentrują się wokół dysku systemowego w specyficzny sposób, USBFix rozciągający nieco temat jest zaś bardzo powierzchownym narzędziem do podstawowego wybiórczego sprawdzania innych napędów. Żaden stosowany tu log nie jest adekwatny przy detekcji modyfikacji plików na dysku, dlatego był tu nacisk na pełne skany antywirusowe wszystkich partycji po kolei. Zakładam, że skany były rzetelne i nic sobie sztucznie nie "przyśpieszyłeś" / opuściłeś. Odnośnik do komentarza
lpp32jdmzz Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Przeskanowałem wszystko co mogłem stingerem po minimum 2 razy najdokładniejszym skanem jaki był możliwy. Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2014 Zgłoś Udostępnij Opublikowano 5 Grudnia 2014 W tej sytuacji muszę już założyć po prostu, że skany były dokładne i sprawa z Sality jest ukończona. Temat uznaję za rozwiązany i zamykam. Gdyby coś się działo, poproś o otworzenie via PW. Odnośnik do komentarza
Rekomendowane odpowiedzi