Orange - Sality?

[Jesse]

Heeej.

 

Po uruchomieniu dzisiaj Internetu i przeglądarki pokazała mi się strona Orange informująca, że komputer został zainfekowany wirusem Sality czy coś z datą na 8.11. Z komputerem nie działało się nic niepokojącego, wszystko prawidłowo działało i działa. Mimo wszystko uruchomiłem salitykiller.exe, ale pomyślałem, że na wszelki wypadek zasięgnę jeszcze pomocy w sieci. Wszystko co pokazał to "executy registry scripts" w liczbie 1.

 

Czy jest szansa, że to pomyłka Orange? Zachowuję bezpieczeństwo, nie ściągam nic podejrzanego, nie instaluję nieznanych rzecz, nie wchodzę na żadne dziwne strony. Podsyłam logi, czy możecie mi na ich podstawie powiedzieć co i jak? Jakie kroki należy teraz podjąć? W sieci pracuje więcej niż jeden komputer, to będzie jakiś problem? :/ na innych też muszę coś robić?

 

EDIT: wykonałem test antywirusem Malwarebytes Anti-Malware, nic nie pokazało. Liczę na szybką pomoc, bo nie wiem czy powinienem teraz korzystać z komputera i gdzieś się logować.

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Jesteś kolejną osobą, która zgłasza taki komunikat. Nie mam pojęcia jak on wygląda, ale opis sugeruje komunikat-fałszywkę. W systemie nie ma żadnych oznak infekcji wirusem Sality, ani innym. SalityKiller zawsze będzie raportował na czystym systemie "executed registry scripts: 1", gdyż importuje do rejestru pewne wpisy niezależnie od tego czy faktycznie są one naruszone.

 

Do wykonania tylko:

 

1. Napraw minimalny błąd WMI numer 10 narzędziem Fix-it: KLIK.

 

2. Odinstaluj starsze wersje: Acrobat.com, Adobe AIR, Adobe Reader 9.

 

3. Operacje "kosmetyczne", tzn. usunięcie szczątków programowych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,C:\Program Files (x86)\kloudian\logonsession.exe,
S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X]
S3 MSICDSetup; \??\K:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\K:\NTIOLib_X64.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
Task: {25C535D5-92F5-48FD-8E6C-ECCD7D5C1667} - System32\Tasks\{8AAF94F4-7EE7-4107-88E1-89E0576385B3} => Firefox.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?source=lightinstaller&page=tsPlugin
Task: {575E7965-CF3F-4A3C-AF7F-EB59E99BB48F} - \{8EA65034-8118-4C2D-95DD-9BCE11D1F56F} -> Brak pliku 
Task: {8EFEB094-5925-494D-AF59-0631BE7648F7} - System32\Tasks\{E57E7529-9B7D-4E9E-A586-B2D1DAC2B6E1} => pcalua.exe -a "H:\Programy\Encyklopedia Zjawisk Paranormalnych\ezp2.exe" -d "H:\Programy\Encyklopedia Zjawisk Paranormalnych"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Arabian Nights
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kloudian
C:\Users\Kise\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Kise\AppData\Local\Microsoft\Windows\GameExplorer\{4EF42243-4F51-45C5-A049-7790D5E7EB05}
C:\Users\Kise\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSub
C:\Users\Kise\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\mpowerplayer
C:\Users\Kise\AppData\Roaming\Microsoft\Word\Nowy%20Microsoft%20Word%20Document304811701351814455\Nowy%20Microsoft%20Word%20Document.docx.lnk
C:\Users\Kise\Documents\troche smieci\Easy Video Joiner.lnk
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gesture" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

[Jesse]

Dzięki za pomoc! Podrzucam w załączniku plik fixlog.

Fixlog.txt

[picasso]

Fix pomyślnie wykonany. Zastosuj DelFix, następnie wyczyść foldery Przywrcania systemu: KLIK.

[Jesse]

Zrobione, podsyłam ten log.

 

Przy okazji... jeśli jeszcze kiedyś Orange zablokuje mi połączenie przez rzekomego wirusa sality, to jak należy się upewnić, że takiego wirusa nie mam? Czy wystarczy użyć tego programu salitykiller?

DelFix.txt

[picasso]

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt.

 

 

Przy okazji... jeśli jeszcze kiedyś Orange zablokuje mi połączenie przez rzekomego wirusa sality, to jak należy się upewnić, że takiego wirusa nie mam? Czy wystarczy użyć tego programu salitykiller?

Czy jest pewność, że to była prawdziwa strona Orange a nie jakaś podróbka? A jeśli to prawdziwy komunikat, to być może był konsekwencją aktywności w Twojej sieci (a nie nie na Twoim komputerze), nawet nie wiadomo czy hasło "Sality" to była poprawna klasyfikacja zjawiska. Trudno tu coś doradzić. Przy haśle Sality, próbuje się po prostu SalityKiller. Infekcja Sality jest bardzo stara i coraz rzadziej się pokazuje, nie widziałam tego wirusa tu już od dawna.

[Jesse]

Tak, to była strona Orange. Podsyłam link do ich bloga, na którym można dowiedzieć się więcej: http://biuroprasowe.orange.pl/technologiczny/entry/trojan-sality-kontra-cybertarcza/

Jak widać z komentarzy, prawdopodobnie fałszywe alarmy zdarzają się częściej.

 

W każdym razie, wielkie dzięki za pomoc!