Sality - Floating support not loaded, menedżer zadań i wpisy do rejestru zablokowane przez admina

[Suchar]

Witam

 

jakby tu zacząć

przyniosłem sobie wirusa sality ze szkoły (rozpoznałem po podobnych problemach jak w szkole - brak możliwości dostępu do menedżera zadań), więc przeskanowałem pc programem Arcabit (posiadałem licencję z magazynu). Oczywisćie wykrył sality i teoretycznie wyleczył każdy plik.

Teoretycznie.

Bład o uprawnieniach administratora do menedzera i rejestru zniknął lecz cały czas przy próbie uruchomienia ETS2 wyskakuje "floating support not loaded". Zainstalowałęm Visuala jeszcze raz ale nie pomogło. Więc zacząłem szukać po internetach i sie okazało że to nadal sality. 

Natknąłem się na ten temat https://www.fixitpc.pl/topic/13065-microsoft-visual-c-floating-point-support-not-loaded/i pobrałem SalityKiller i SalityRegkeys. SalityKiller znalazł kilka plików które wyleczył. Z SalityRegKeys się wstrzymałem.

 

Co może być ważne to to że posiadam 3 systemy: WinXP 32bit  i 64bitowe Win7 i Win8.1

 

Programu użyłem na XP, logi wykonałem na XP. W GMER zanaczyłem 3partycje systemowe. W OTL pliki do 60 dni gdyż ponad miesiąc już minął od pierwszego podpięcia zainfekowanego pendrive.

 

Dodam jeszcze że na Win7 nie występowały żadne problemy wszystko działa

 

Czy pendrive'y, telefony, które podłączałem w owym czasie, bedą zainfekowane? czy stworzyć logi z podpiętymi pendrive'ami?

 

Mam nadzieję, że format nie będzie konieczny, lecz mam w planach reinstalację systemu (format partycji systemowych)

 

P.S jestem w trakcie robienia skanu programem GMER i trwa on juz godzinę, a dlatego, iż pisałem post w trakcie wykonywania skanów logów, umieszczam post z załączonymi logami OTL i FRST.

Czy logi z GMER będą konieczne? Zostawiłem na noc skanowanie i z rana nie mogłem "uruchomić" kompa tzn ze stanu uśpienia wznowić (cały czas na monitorze brak sygnału - spr wszystkie kable i nic) więc zrestartowałem pc i logów nie mam

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

[picasso]

W podanych raportach mało co widać: autoryzacje Sality w zaporze, lekko lecz niecałkowicie naruszony klucz Trybu awaryjnego, drobnostka adware na liście zainstalowanych i szczątkowe foldery po odinstalowanych aplikacjach. Korekty pod tym kątem - otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
S3 ioloService; E:\Program Files\SafePCRepair\ioloToolService.exe [X]
S3 MSICDSetup; \??\F:\CDriver.sys [X]
E:\Documents and Settings\All Users\Application Data\iolo
E:\Documents and Settings\All Users\Application Data\ParetoLogic
E:\Documents and Settings\Jesse Pinkman\Application Data\NapiProjekt
E:\Documents and Settings\Jesse Pinkman\Application Data\ParetoLogic
E:\Documents and Settings\Jesse Pinkman\Local Settings\Application Data\iolo
E:\Program Files\Free Window Registry Repair
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mindspark SafePCRepair" /f
CMD: netsh firewall reset
CMD: dir /a C:\
CMD: dir /a E:\
CMD: dir /a F:\
CMD: dir /a G:\
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

Co może być ważne to to że posiadam 3 systemy: WinXP 32bit i 64bitowe Win7 i Win8.1

Mam nadzieję, że format nie będzie konieczny, lecz mam w planach reinstalację systemu (format partycji systemowych)

Sality atakuje wszystkie dyski (włącznie z zewnętrznymi), które były obecne podczas infekcji. Tu nie jest wiadome gdzie zostały zmodyfikowane pliki, ani czy ArcaBit + SalityKiller na pewno usunęły wszystkie załążki wirusa. Żadne logi nie są niestety odpowiednie do oceny sprawy. Do weryfikacji stanu rzeczy może służyć tylko i wyłącznie antywirus - każda partycja skanowana z osobna.

 

 

Bład o uprawnieniach administratora do menedzera i rejestru zniknął lecz cały czas przy próbie uruchomienia ETS2 wyskakuje "floating support not loaded". Zainstalowałęm Visuala jeszcze raz ale nie pomogło. Więc zacząłem szukać po internetach i sie okazało że to nadal sality.

Jeśli po prowadzonym leczeniu nadal występuje błąd, oznacza to trwałe uszkodzenie i aplikacja musi być przeinstalowana od zera z nowego instalatora. W raportach widzę nadal komponenty tej aplikacji - czy była tu już reinstalacja?

 

Shortcut: E:\Documents and Settings\Jesse Pinkman\Start Menu\Programs\1-click run\Euro Truck Simulator 2 v1.5.2.1s with Going East DLC\Euro Truck Simulator 2.lnk -> E:\2-click run\Euro Truck Simulator 2 v1.5.2.1s with Going East DLC\bin\win_x86\eurotrucks2.exe (SCS Software)
 

Shortcut: E:\Documents and Settings\Jesse Pinkman\My Documents\Euro Truck Simulator 2\readme.rtf.lnk -> E:\Program Files\Euro Truck Simulator 2\readme.rtf (No File)

Shortcut: E:\Documents and Settings\Jesse Pinkman\My Documents\Euro Truck Simulator 2\music\Shortcut to Luxtorpeda.lnk -> F:\Muzyka\Luxtorpeda ()

Shortcut: E:\Documents and Settings\Jesse Pinkman\Desktop\Shortcut to eurotrucks2.lnk -> E:\2-click run\Euro Truck Simulator 2 v1.5.2.1s with Going East DLC\bin\win_x86\eurotrucks2.exe (SCS Software)

Shortcut: E:\Documents and Settings\Jesse Pinkman\Desktop\Copy of Euro Truck Simulator 2\readme.rtf.lnk -> E:\Program Files\Euro Truck Simulator 2\readme.rtf (No File)

Shortcut: E:\Documents and Settings\Jesse Pinkman\Desktop\Copy of Euro Truck Simulator 2\music\Shortcut to Luxtorpeda.lnk -> F:\Muzyka\Luxtorpeda ()

 

 

.

[Suchar]

W podanych raportach mało co widać: autoryzacje Sality w zaporze, lekko lecz niecałkowicie naruszony klucz Trybu awaryjnego, drobnostka adware na liście zainstalowanych i szczątkowe foldery po odinstalowanych aplikacjach.

 

W raportach mało widać być może dlatego że owe 2 programy - arcabit i salitykller - znalazły kilka rzeczy (arcabit kilka .exe a salitykiller 50+ różnych rzeczy w tym dużo na dysku z win8.1 - który chyba nawet nie był używany przez ten czas.

 

Sality atakuje wszystkie dyski (włącznie z zewnętrznymi), które były obecne podczas infekcji. Tu nie jest wiadome gdzie zostały zmodyfikowane pliki, ani czy ArcaBit + SalityKiller na pewno usunęły wszystkie załążki wirusa. Żadne logi nie są niestety odpowiednie do oceny sprawy. Do weryfikacji stanu rzeczy może służyć tylko i wyłącznie antywirus - każda partycja skanowana z osobna.

 

Czy 30dniowa wersja próbna Kasperskiego albo Eseta będzie dobrym wyborem do skanu? Przyznam się że używałem Avasta ale uznałem że go nie potrzebuje i nie posiadałem antywira. Pamiętam że była w nim opcja skanu podczas staru systemu (znaczy przed wczytaniem pulpitu explorera itp) może jest to dobry sposób? Posiadam licencję na rok do ArcaBit'a i chyba ją użyje do podstawowej ochrony... Jednak do głównego skanu chciałbym uzyć coś lepszego (znane=nie zawsze lepsze - wiem)

Również w tym czasie wypaliłem płyte z .mp3 - czy tą drogą też potrafi się przenieść?

Mój pc był również podłączany lanem do laptopa = zarażony laptop?

 

W raportach widzę nadal komponenty tej aplikacji - czy była tu już reinstalacja?

Brat stwierdził że on sobie naprawi ets'a mówi że ściągnął patch do gry i wykonał kopię danych (save'y mody itp z folderu "moje dokumenty"). Aplikacja nie była odinstalowywana nadal jest na dysku. Rozumiem, aby wykonać deinstalację?

 

 

I oczywiście logi:

Fixlog.txt

[picasso]

Operacje wykonane, na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

 

Aplikacja nie była odinstalowywana nadal jest na dysku. Rozumiem, aby wykonać deinstalację?

A jest możliwa jej deinstalacja? Wg logów brak wejścia deinstalacji na liście Dodaj/Usuń i brak skrótu do deinstalatora w Menu start.

 

 

W raportach mało widać być może dlatego że owe 2 programy - arcabit i salitykller - znalazły kilka rzeczy (arcabit kilka .exe a salitykiller 50+ różnych rzeczy w tym dużo na dysku z win8.1 - który chyba nawet nie był używany przez ten czas.

Logi są zdolne tylko pokazać sterownik Sality (o ile infekcja czynna), autoryzacje Zapory (dowodujące że on był, bo autoryzacje równie dobrze mogą być odpadkami), polityki oraz mniejsze detale. Infekcja w wykonywalnych per se nie jest "widziana" - co najwyżej może być zanotowane wybiórcze "odświeżanie" plików Microsoftu i aplikacji, ale przyczyna odświeżenia nie jest precyzyjnie znana (jest wiele innych powodów dla których pliki mogą być zmodyfikowane na świeżo). Do detekcji wirusa w wykonywalnych musi być użyty antywirus:

 

 

Czy 30dniowa wersja próbna Kasperskiego albo Eseta będzie dobrym wyborem do skanu? Przyznam się że używałem Avasta ale uznałem że go nie potrzebuje i nie posiadałem antywira.

Każdy z nich może być użyty. Mówimy tu o skanie każdej partycji z osobna, by uzyskać pewność, że zalążek wirusa nigdzie się nie czai. Wystarczy jeden plik niechcący uruchomiony i nastąpi reinfekcja.

 

 

Również w tym czasie wypaliłem płyte z .mp3 - czy tą drogą też potrafi się przenieść?

Mój pc był również podłączany lanem do laptopa = zarażony laptop?

Sality interesuje się tylko wykonywalnymi, pliki multimedialne są bezpieczne, o ile na płycie nie wylądowało coś więcej niż tylko te pliki.

Jeśli chodzi o laptopa, to znaczenie ma system współdzielenia folderów - czy dyski laptopa były dostępne spod PC w owym czasie?

 

 

 

 

.

[Suchar]

A jest możliwa jej deinstalacja? Wg logów brak wejścia deinstalacji na liście Dodaj/Usuń i brak skrótu do deinstalatora w Menu start.

 

tak, w "dodaj/usuń" była aplikacja "Euro Truck ....."

 

Mówimy tu o skanie każdej partycji z osobna

 

Nie mogę zaznaczyć pełnego skanowania systemu? Wtedy i tak każda partycja jest skanowana. Logi ze skanowania umieścić w załączniku?

 

czy dyski laptopa były dostępne spod PC w owym czasie?

 

Chyba nie, tzn było udostępnione 5 folderów (przez grupę domową łączone, w zwykłej sieci jakieś problemy były) a mianowicie Moja muzyka dokumenty filmy zdjęcia - standardowe - + jeszcze folder Pobrane, który był powodem podpięcia. Nie były widoczne całe dyski - jednak w folderze Pobrane występowały pliki .exe .

 

 

Ściągam kasperskiego i przeprowadzę nim skan

 

Czyli podpinając urządzenia zewnętrzne (pendrive ,tel) nie muszę się obawiać że się nagle coś zainfekuje dopkóki nie włącze zainfekowanego pliku? Sam nie wejdzie jakimś plikem autourn czy coś?

 

I ostatnia sprawa: po otwarciu GMER (pisałem że problem z logiem miałem) na liście pojawia sie coś takiego

AttachedDevice  \Driver\Tcpip \Device\Ip     arcawfp.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp    arcawfp.sys

AttachedDevice  \Driver\Tcpip \Device\Udp    arcawfp.sys

AttachedDevice  \Driver\Tcpip \Device\RawIp  arcawfp.sys

 

Operacje wykonane, na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

nie wykonałem tego jeszcze, ze względu na te wpisy w GMER, wykonać pomimo to?

 

 

Edit:

a więc przeprowadziłem skan - znalazłem sality na jednym na drugim pendrive jakiś "kido"

 

zauważyłem również że po skanowaniu dysków logi w GMER się zmieniły na takie:

 

GMER 2.1.19357

Rootkit quick scan 2014-12-08 15:34:56

Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path1Target1Lun0 WDC_WD10 rev.01.0 931,51GB

Running: mlf76enn.exe; Driver: E:\DOCUME~1\JESSEP~1\LOCALS~1\Temp\ugtcrkoc.sys

 

 

---- System - GMER 2.1 ----

 

SSDT            \SystemRoot\system32\DRIVERS\klhk.sys  ZwEnumerateKey [0xB422B290]

SSDT            \SystemRoot\system32\DRIVERS\klhk.sys  ZwEnumerateValueKey [0xB422B2A0]

 

---- Devices - GMER 2.1 ----

 

AttachedDevice  \FileSystem\Fastfat \Fat               fltMgr.sys

AttachedDevice  \Driver\Tcpip \Device\Ip               kltdi.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp              kltdi.sys

AttachedDevice  \Driver\Tcpip \Device\Udp              kltdi.sys

AttachedDevice  \Driver\Tcpip \Device\RawIp            kltdi.sys

 

---- EOF - GMER 2.1 ----

 

 

 

teraz jak to czytam to czy to są poprostu pliki od arcabit (arcawfp.sys) i od kasperskiego (kltdi.sys)?

 

Przepraszam za długie posty, ale więcej informacji to chyba lepiej

[picasso]

tak, w "dodaj/usuń" była aplikacja "Euro Truck ....."

Przepraszam, jakieś zaćmienie miałam, albo mi się raporty pomyliły. Mogłabym przysiąc, że go nie widziałam w Addition, a on tam figuruje jak byk. Jeśli program nadal się nie uruchamia po leczeniu Sality, należy go odinstalować i zainstalować ponownie na czysto.

 

 

teraz jak to czytam to czy to są poprostu pliki od arcabit (arcawfp.sys) i od kasperskiego (kltdi.sys)?

Tak, to aktywność sterowników antywirusów. W zasadzie prawie każdy nowoczesny antywirus operuje na sterownikach i nie da się uniknąć "czystego" raportu GMER.

 

 

Nie mogę zaznaczyć pełnego skanowania systemu? Wtedy i tak każda partycja jest skanowana. Logi ze skanowania umieścić w załączniku?

(...)

a więc przeprowadziłem skan - znalazłem sality na jednym na drugim pendrive jakiś "kido"

Nie wiem o którym skanerze mowa, ale zwykle "pełny skan" kręci się wokół dysku systemowego. Skoro jednak na pewno wszystkie partycje są brane pod uwagę i już jak widać wykonałeś skany pendrive, to OK. Wyniki skanów dostarcz jako załączniki.

 

 

Czyli podpinając urządzenia zewnętrzne (pendrive ,tel) nie muszę się obawiać że się nagle coś zainfekuje dopkóki nie włącze zainfekowanego pliku? Sam nie wejdzie jakimś plikem autourn czy coś?

To zależy jakie są ustawienia Autoodtwarzania w Windows - jeśli na pendrive jest plik autorun.inf, a Windows XP nie ma zainstalowanych określonych łat korygujących błędy z Autoodtwarzaniem (KLIK), samo podpięcie urządzenia powoduje automatyczne wykonanie autorun.inf i infekcję.

System XP można ogólnie zabezpieczyć również inną metodą (inną niż łatanie MS), tzn. blokując całkowicie odczyt pliku autorun.inf, również każde urządzenie USB możesz zimmunizować tworząc na nim blokadę w postaci fałszywego pliku autorun.inf. Do tego celu Panda USB Vaccine i opcje Computer + USB Vaccination.

 

 

 

 

.

[Suchar]

Na jednym  z pendrive, pamiętam że był plik o nazwie autorun... Czy oznacza to ponowny skan?

Czy jest jakiś sposób na sprawdzenie, czy autoodtwarzanie działa u mnie?

 

Operacje wykonane, na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

wykonać?

skannn.txt

skan.txt

skann.txt

[picasso]

Na jednym z pendrive, pamiętam że był plik o nazwie autorun... Czy oznacza to ponowny skan?

Na wszelki wypadek możesz go zrobić.

 

 

wykonać?

Tak, to już było zadane jakiś czas temu i rozważania w międzyczasie nie zmieniły stanu rzeczy. Zapomniałam jeszcze dodać, że tu nie ma wszystkich aktualizacji, conajmniej IE jest w rozsypce i należy go zaktualizować z Windows Update do wersji IE8:

 

Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: English (United States)

Internet Explorer Version 6

 

 

Czy jest jakiś sposób na sprawdzenie, czy autoodtwarzanie działa u mnie?

Właściwie wszystko już zostało podane i masz dane do weryfikacji. W poprzednio podanym linku są stosowne artykułu Microsoftu z objaśnieniami oraz numery KBxxxxxx łatek: KLIK. Z kolei narzędzie Panda po uruchomieniu automatycznie wykrywa czy już zastosowano ten drugi sposób immunizacji systemu (otrzymałbyś zwrot "Computer is Vaccinated").

 

Z logów jedno co na pewno mogę wywnioskować to, że w systemie nie było na początku (jak teraz to nie wiem) określonej łaty punktowanej w powyższym linku, gdyż skany nie pokazały takiego oto ustawienia:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1

[Suchar]

skan wykonałem ponownie - nic nie wykryto 

 

DelFix

logi w załączniku, jak dla mnie to z loga wynika, że wszystko usunął 

punkty przywracania systemu usunięte

 

A więc bardzo dziękuję za pomoc, mam nadzieję że się już tu nie pojawię

 

Pozdrawiam

 

 

BTW uruchomiłem salitykiller w szkole z ciekawości i żałuję że nie zrobiłem loga - ponad 1000 infekcji plików i 3 procesy; nie mam zamiaru czyścić szkolengo kompa, bo to i tak zaraz zasyfione będzie, chciałem tylko odzyskać dostęp do menedżera zadań

 

Jeszcze raz dziękuję i pozdrawiam

DelFix.txt

[picasso]

Pobrany GMER dokasuj ręcznie (nazwy losowe i DelFix tego nie jest w stanie wykryć). Log DelFix też do śmieci.

 

 

BTW uruchomiłem salitykiller w szkole z ciekawości i żałuję że nie zrobiłem loga - ponad 1000 infekcji plików i 3 procesy; nie mam zamiaru czyścić szkolengo kompa, bo to i tak zaraz zasyfione będzie, chciałem tylko odzyskać dostęp do menedżera zadań

Rozumiem, że szkolny komputer został "zaleczony" powierzchownie, migrowanie plików wykonywalnych między tym komputerem a Twoimi jest nadal niebezpieczne. Wystarczy jeden zainfekowany plik Sality omyłkowo skopiowany i uruchomiony, a infekcja zaatakuje ponownie.

[Suchar]

Nawet nie mam zamiaru wynosić stamtąd jakichkolwiek plików,nic podłączać itp itd chciałem tylko odzyskać dostęp do menedżera (włączanie przez ust grup nic nie dawalo) i salitykiller pomógł. To są takie sale gdzie wiele klas na dostęp, w salach mniej obleganych problemy nie występują wszystko w miarę ładnie zadbane

 

Lecz to jest już offtop

Co do czyszczenia resztę wywaliłem, domyśliłem się sam

 

Pozdrawiam