Sality i SalityKiller

[lpp32jdmzz]

Witam.Po sformatowaniu dysku i wgraniu windowsa na moim komputerze zaczęły się pojawiać dziwne ostrzeżenia z zapory że dany plik chce uzyskać dostęp do internetu.Jak się później okazało, był to wirus sality3, który był na moim dysku zewnętrznym.Pisałem w tej sprawie na innym forum, ale pomoc którą otrzymałem była przeciętna,postanowiłem sam zwalczyć wirusa.Użyłem salitykillera aby go usunąć, myślę ze jakoś to wyszło ponieważ wszelkie notyfikacje zniknęły..Problem w tym że nie wiem jak uruchomić go na dysku zewnętrznym i płycie DVD.Nie wiem także czy problem został rozwiązany.W czym problem?

(TL;DR) Potrzebuję pomocy aby uruchomić salitykillera na dysku zewnętrznym,płycie oraz potrzebuję sprawdzenia logów.

 

http://support.kaspersky.com/pl/viruses/disinfection/1874#block3 punkt trzeci.

[picasso]

Proszę dostosuj się do zasad działu: KLIK. Czyli podaj obowiązujące tu raporty oraz link do forum gdzie temat poprzednio przetwarzano. Prócz obowiązkowych logów dodaj jeszcze USBFix z opcji Listing.

 

 

Po sformatowaniu dysku i wgraniu windowsa na moim komputerze zaczęły się pojawiać dziwne ostrzeżenia z zapory (...) Pisałem w tej sprawie na innym forum, ale pomoc którą otrzymałem była przeciętna,postanowiłem sam zwalczyć wirusa.

"Przeciętna", bo proponowano format? Przy infekcjach w wykonywalnych, nawet jeżeli zostanie system "wyczyszczony", i tak jest zalecany kompleksowy format, gdyż uszkodzenia po infekcji są trudne do stwierdzenia (leczenie plików może oznaczać trwałe ich uszkodzenie). Tu na dodatek system świeżo po formacie, nie wiem dlaczego podejmowałeś się próby leczenia zamiast po prostu zrobić format ponownie, próby leczenia zajmują czas, a docelowy system i tak może nie uzyskać poprzedniej sprawności.

 

 

Problem w tym że nie wiem jak uruchomić go na dysku zewnętrznym i płycie DVD.

Płyta DVD jest "tylko do odczytu", więc tam nie powinno być infekcji. Jeśli chodzi o skan dysków zewnętrznych, to masz w artykule dokładne dane jaki przełącznik narzędzia za to odpowiada:

 

-r - skanowanie napędów typu flash, skanowanie wymiennych dysków twardych podłączanych poprzez USB lub FireWire

Czyli w linii komend cmd wpisujesz:

 

"ścieżka dostępu do salitykiller.exe" -r -v -l C:\log.txt

 

Jednakże SalityKiller to jest ograniczone narzędzie. Tu były na forum tematy, że po użyciu SalityKiller dokładny skan dysku antywirusem i tak wykazał zainfekowane pliki.

 

 

 

.

[lpp32jdmzz]

"Przeciętna", bo proponowano format? Przy infekcjach w wykonywalnych, nawet jeżeli zostanie system "wyczyszczony", i tak jest zalecany kompleksowy format, gdyż uszkodzenia po infekcji są trudne do stwierdzenia (leczenie plików może oznaczać trwałe ich uszkodzenie). Tu na dodatek system świeżo po formacie, nie wiem dlaczego podejmowałeś się próby leczenia zamiast po prostu zrobić format ponownie, próby leczenia zajmują czas, a docelowy system i tak może nie uzyskać poprzedniej sprawności.

 

Nie wiem czy to ważne,nie mi to oceniać. Poniżej proszony link:

 

http://forum.pcformat.pl/Podejrzane-pliki-exe-zadajace-dostepu-do-internetu-t

 

Jednakże SalityKiller to jest ograniczone narzędzie. Tu były na forum tematy, że po użyciu SalityKiller dokładny skan dysku antywirusem i tak wykazał zainfekowane pliki.

Skoro tak jest pominiemy salitykillera,czekam na propozycje.

 

 

Podkreślam że formatować i tak będę, plik Extras.txt z OTL.exe nie utworzył się.

Edit: dobra,już doczytałem zaraz wstawię.

Addition.txt

FRST.txt

GMER.txt

OTL.Txt

Shortcut.txt

UsbFix Listing 2 LUKASZ-KOMPUTER.txt

Extras.Txt

[picasso]

Na tamtym forum nawet nie zdefiniowali, że jest to Sality, a było to oczywiste po typie autoryzacji Zapory systemu (charakterystyczne pliki w Temp).

 

GMER robiłeś w niewłaściwych warunkach - przy czynnym sterowniku SPTD. Ale to już pomiń. Dodatkowy aspekt tu się objawił, masz system 64-bit:

 

Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska)

Internet Explorer Version 8

 

Sality nie jest natywnie 64-bitową infekcją i na takim systemie może atakować tylko 32-bitowe pliki, czyli połowa systemu i niektóre programy bezpieczne. Jednakże problem z plikami 32-bit jest tu trudny do odgadnięcia. Wiem tylko tyle, że był uruchamiany SalityKiller i coś robił, ale co i gdzie to nie wiadomo (brak raportu z działań, gdyż SalityKiller był uruchamiany bez parametru nagrywającego log), również nie wiadomo czy na dysku systemowym są nadal jakieś trefne pliki. Z tym, że pliki systemowe i tak będą zamieniane nowszymi wersjami, gdyż system nie posiada żadnych aktualizacji i szykuje się gruba aktualizacja z Windows Update (SP1, IE11 i reszta łat).

 

EDIT: Dostawiłeś OTL Extras i tam nadal widać nie wyczyszczone autoryzacje Zapory wytapetowane Sality. Poza tym nie widać innych oznak Sality, ale stan plików na dysku nie może być tym sposobem sprawdzony. Zalecenia na teraz:

 

1. Czyszczenie autoryzacji w Zaporze. Dodatkowo jeszcze do wyrzucenia są wielokrotne Kosze z dysków zewnętrznych oraz dorobione sztucznie katalogi autorun.inf (to ma skutki uboczne w postaci blokady etykiet). Zakładam, że mapowanie dysków jest identyczne jak w momencie zrobienia raportu USBFix. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: netsh advfirewall reset
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
RemoveDirectory: C:\Autorun.inf
RemoveDirectory: D:\Autorun.inf
RemoveDirectory: D:\msdownld.tmp
RemoveDirectory: F:\Autorun.inf
RemoveDirectory: F:\msdownld.tmp
RemoveDirectory: F:\$RECYCLE.BIN
RemoveDirectory: F:\Recycled
RemoveDirectory: F:\RECYCLER
RemoveDirectory: I:\Autorun.inf
RemoveDirectory: I:\msdownld.tmp
RemoveDirectory: I:\$RECYCLE.BIN
RemoveDirectory: I:\RECYCLER
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Uruchom Kaspersky Virus Removal Tool - domyślnie program prowadzi skan ekspresowy, należy to zmienić w konfiguracji na pełny skan wszystkich elementów. Za jego pomocą wykonaj po kolei pełny skan każdej partycji z osobna - zadania podziel, najpierw jedna partycja i zapisujesz wyniki, potem następna. Zgłoś się tu z raportami skanu.

 

 

 

.

[lpp32jdmzz]

 

GMER robiłeś w niewłaściwych warunkach - przy czynnym sterowniku SPTD. Zabrakło też pliku OTL Extras pokazującego autoryzacje w Zaporze. Ale to już pomiń.

Myślałem że usunięcie Daemona usunie również sterownik,próbowałem wywalić jego pozostałości w Rejestrze ale nie mogę otrzymać uprawnień...coś tam chyba wywaliłem za pomocą SPTDinst.

Również mi szkoda że salitykiller nie posiadał opcji zapisania logów  Użyłem skryptu,otrzymałem dużo błedów ale to chyba normalne ? 

 

 

Fixlog.txt

 

Coś tam się skanuje ale nie wiem czy uruchomiłem dobre skanowanie..

 

Czy utrata historii na Chrome to też normalny objaw po zastosowaniu skryptu ?

 

Wykryło Sality w plikach .exe 

[picasso]

Wykryło Sality w plikach .exe

Spodziewałam się tego. I nie zapomnij dostarczyć raportów ze skanera, by dało się ocenić zakres infekcji.

 

 

Użyłem skryptu,otrzymałem dużo błedów ale to chyba normalne ?

Jeśli chodzi o wyniki skryptu: reset Zapory czyszczący autoryzacje Sality wykonany, większość folderów też usunięta, z wyjątkiem folderu Kosza F:\RECYCLER, co odpowiada komunikatowi ze zrzutu ekranu mówiącego o uszkodzonym Koszu. Pod kątem tego lewego folderu:

 

1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep komendę sprawdzania dysku:

 

chkdsk F: /f /r

 

2. Gdy checkdisk ukończy pracę, kolejny skrypt do FRST. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: F:\RECYCLER

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt oraz nowy log USBFix z opcji Listing.

 

 

Czy utrata historii na Chrome to też normalny objaw po zastosowaniu skryptu ?

Tak, komenda EmptyTemp: czyści historię i cookies przeglądarki.

 

 

Również mi szkoda że salitykiller nie posiadał opcji zapisania logów

Na przyszłość (choć mam nadzieję to nigdy nie nastąpi), SalityKiller uruchomiony z linii komend cmd z przełącznikami -v i -l:

 

"ścieżka dostępu do salitykiller.exe" -v -l C:\log.txt

 

 

Myślałem że usunięcie Daemona usunie również sterownik,próbowałem wywalić jego pozostałości w Rejestrze ale nie mogę otrzymać uprawnień...coś tam chyba wywaliłem za pomocą SPTDinst.

Deinstalacja DAEMON Tools oraz Alcohol nie usuwa sterownika SPTD, on musi być potraktowany z osobna narzędziem SPTDinst. W momencie gdy robiłeś skan GMER sterownik SPTD był definitywnie czynny (w logu GMER czynności tego sterownika), notował go także FRST:

 

==================== Drivers (Whitelisted) ====================
 

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-09-24] (Duplex Secure Ltd.)

U3 a7yas93o; C:\Windows\System32\Drivers\a7yas93o.sys [0 ] (Advanced Micro Devices)

 

Ale jak mówiłam, to już sobie darujmy. Możesz przywrócić instalację DAEMON.

 

 

 

.

[lpp32jdmzz]

niestety chkdsk trwa zbyt wolno,skanowanie drugiej partycji zajmie minimum 14 godzin..jedyne co mam to log z pierwszej partycji.Jeszcze nie używałem salitykillera na dysku zewnętrznym,nie widzę innego rozwiązania..

 

111.txt

[picasso]

niestety chkdsk trwa zbyt wolno,skanowanie drugiej partycji zajmie minimum 14 godzin.

Ten chkdsk trzeba zrobić, ale to na razie odsuńmy na dalszy plan. Nie jestem pewna czy dobrze rozumiem, to "14 godzin" tyczy checkdiska czy skanu Kaspersky Virus Removal Tool:

 

 

Jeszcze nie używałem salitykillera na dysku zewnętrznym,nie widzę innego rozwiązania..

Pokazujesz mi skan tylko z F, jak rozumiem skanowanie pozostałych partycji (C, D, I) jest nadal w planie, bo wszystkie dyski po kolei należy przeskanować. Tak, nawet jeśli SalityKiller był wcześniej używany na którejś z partycji. Jak mówiłam: tu na forum były tematy, w których po użyciu SalityKiller pełny skan antywirusowy wykonany na tym samym dysku i tak wykazał pliki Sality. Po to jest robiony skan innym skanerem teraz. Jeśli trwa długo, trudno, nie chcesz robić formatu, to wykaż cierpliwość.

 

Pliki wykazane jako zainfekowane Kaspersky ma poddać leczeniu, a jeśli się nie uda, pliki są do wyrzucenia. Właścicie to nie trudziłabym się z leczeniem tych pokazanych tu w logu tylko od razu SHIFT+DEL (kasowanie z omijaniem Kosza), bo to głównie instalki, które na świeżo możesz sobie pobrać ponownie.

 

 

 

.

[lpp32jdmzz]

Ten chkdsk trzeba zrobić, ale to na razie odsuńmy na dalszy plan. Nie jestem pewna czy dobrze rozumiem, to "14 godzin" tyczy checkdiska czy skanu Kaspersky Virus Removal Tool:

Chldsk dochodzi do 19% a potem strasznie ale to strasznie długo skanuje pojedyncze pliki,są to pliki .rar , moze lepiej je wywalic ? 14 godzin oblicza Kaspersky na drugiej partycji,to dziwne ponieważ pierwsza została zeskanowana po uplywie 45 minut.

C i D to moje dyski z komputera, F i I to dysk zewnetrzny podzielony na dwie partycje.No dobra,coś wymyśle.

[picasso]

Chldsk dochodzi do 19% a potem strasznie ale to strasznie długo skanuje pojedyncze pliki,są to pliki .rar , moze lepiej je wywalic ?

Skoro RARy mogą iść na ubój, to czemu nie, spróbuj czy ich usunięcie przyśpieszy pracę checkdisk.

 

 

C i D to moje dyski z komputera, F i I to dysk zewnetrzny podzielony na dwie partycje.

Wiem o tym, wszystko mam od dawna w logach (precyzyjny podział głównego dysku twardego w FRST Addition + lista dodatkowa w USBFix). Ten podział nie ma znaczenia w przypadku infekcji w wykonalnych typu Sality. Sality atakuje wszystkie partycje i dyski, które były dostępne w trakcie inicjacji i trwania infekcji. Dla bezpieczeństwa musisz przeskanować wszystkie partycje (nawet jeśli SalityKiller niektóre wcześniej obrabiał). Wystarczy jeden plik z genem Sality pozostawiony gdzieś na dysku i przypadkowo uruchomiony, a infekcja rozpocznie są od nowa i wszystkie wcześniej podjęte działania stracą sens.

 

 

14 godzin oblicza Kaspersky na drugiej partycji,to dziwne ponieważ pierwsza została zeskanowana po uplywie 45 minut.

Szybkość skanu zależy też od zawartości partycji. I czy na pewno obliczenia wstępne się pokrywają z przelicznikiem już po uruchomieniu skanu?

 

 

 

.

[lpp32jdmzz]

Jakieś wskazówki czemu Kaspersky wywala podczas skanowania? Wychodzi na to ze bede musial wywalic 3/4 partycji.

[Bonifacy]

 

 

Jakieś wskazówki czemu Kaspersky wywala podczas skanowania?

Moja propozycja: Jeśli są problemy ze skanerem Kaspersky i skanowanie trwa tak długo to może warto zastosować skaner McAfee Stinger?
http://www.mcafee.com/us/downloads/free-tools/stinger.aspx--> wybierz Download Stinger-ePO for 64bit systems
Ma on także smaka na Sality. Na ekranie startowym wejdz w Adwanced --> Settings --> i dodatkowo zaznacz Report applications.
http://zapodaj.net/bbe039f7461f8.png.html
Na ekranie startowym w 'Customize my scan' zaznacz wszystkie partycje i dyski USB podlegające skanowaniu.

[lpp32jdmzz]

Dzięki Bonifacy.Ruszyło jak Golf w TDi.

[lpp32jdmzz]

dobra,zrobiłem wszystko co miałem.przeskanowałem stingerem,nie wykazuje obecności sality,co teraz? Przepraszam za późną odpowiedź.

[picasso]

Co z tą operacją:

 

1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep komendę sprawdzania dysku:

 

chkdsk F: /f /r

 

2. Gdy checkdisk ukończy pracę, kolejny skrypt do FRST. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: F:\RECYCLER

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt oraz nowy log USBFix z opcji Listing.

[lpp32jdmzz]

została ukończona pomyślnie.

[picasso]

Tylko że nie ma wynikowych danych:

 

Przedstaw wynikowy fixlog.txt oraz nowy log USBFix z opcji Listing.

[lpp32jdmzz]

Fixlog2.txt

 

UsbFix Listing 3 LUKASZ-KOMPUTER.txt

 

 

[picasso]

Zakładając, że skan wszytkich partycji był prowadzony rzetelnie, sprawy wyglądają na ukończone.

 

1. Odinstaluj USBFix, usuń ręcznie pobrane narzędzia z D:\Download. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Do wykonania pełna aktualizacja Windows z Windows Update. USBFix wskazuje, że w międzyczasie doinstalowałeś SP1 - ale nadal IE8.

 

3. Według uznania doinstaluj pełnego antywirusa z ochroną rezydentną. Dowolny z darmowych lub komercyjnych popularnych marek, byle nie niszowe egzotyczne rozwiązanie.

[lpp32jdmzz]

czy wstawić też jakieś logi z innych dysków lub urządzeń? wykryłem sality miedzy innymi na telefonie.

[picasso]

Logi nie są w stanie już nic tu dodać. Używane narzędzia diagnostyczne koncentrują się wokół dysku systemowego w specyficzny sposób, USBFix rozciągający nieco temat jest zaś bardzo powierzchownym narzędziem do podstawowego wybiórczego sprawdzania innych napędów. Żaden stosowany tu log nie jest adekwatny przy detekcji modyfikacji plików na dysku, dlatego był tu nacisk na pełne skany antywirusowe wszystkich partycji po kolei. Zakładam, że skany były rzetelne i nic sobie sztucznie nie "przyśpieszyłeś" / opuściłeś.

[lpp32jdmzz]

Przeskanowałem wszystko co mogłem stingerem po minimum 2 razy najdokładniejszym skanem jaki był możliwy.

[picasso]

W tej sytuacji muszę już założyć po prostu, że skany były dokładne i sprawa z Sality jest ukończona.

 

Temat uznaję za rozwiązany i zamykam. Gdyby coś się działo, poproś o otworzenie via PW.