Skocz do zawartości

Komputer zarażony Sality


Rekomendowane odpowiedzi

Dzień dobry, 

Przy próbie otwarcia różnych plików pokazuje się komunikat "aplikacja nie została właściwie uruchomiona 0xc00005". Zeskanowałem antywirusem Baidu, usunąłem parę wirusów i postanowiłem wrócić tymczasowo do avasta, gdyż pliki ciągle nie chciały się otwierać. Lecz avast, jak każdy inny program który próbowałem ściągnąć, po uruchomieniu jako administrator milczy. Poszperałem trochę i objawy pasują do Sality. Próbowałem SalityKillera - niestety, ten też nie chciał się uruchomić. 

W razie czego mam system na płycie i zrobioną mapę systemu na dysku zewnętrznym, ale wolałbym nie rzucać się od razu na formatowanie.

 

Niestety raportów GMER nie udało mi się wygenerować - nie wiem czy to przez Deamona którego wirus nie pozwala mi usunąć (bardzo ograniczony dostęp do panelu sterowania) czy po prostu tego programu też nie mogę uruchomić tak jak innych.

 

Linki do stron na których znalazłem próby pomocy z sality, lecz prawie wszystkie ograniczają się do "odpal salitykiller"

 

https://www.fixitpc.pl/topic/24842-sality-i-salitykiller/

http://blackhats.cba.pl/thread-190.html

http://www.mpcforum.pl/topic/900190-problem-aplikacja-nie-zostaa-waciwie-uruchomiona-0xc0000005/?do=findComment&comment=6898544

 

Z góry dziękuję za odpowiedź i poświęcony czas

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zeskanowałem antywirusem Baidu, usunąłem parę wirusów

 

Dostarcz raport, to kluczowe informację. 

 


 

W raportach nie widzę jednoznacznych oznak infekcji Sality, nie ma dodanych autoryzacji ipsec na zaporze. Na pierwszy rzut oka żadnych uszkodzeń oraz co najważniejsze brak charakterystycznej usługi amsist

Objaw faktyczne jest częstą oznaką tej infekcji, ale w tym przypadku szansę są minimalne. 

 

1. Przejdź do trybu awaryjnego (kliknij klawisz F8 przed startem systemu) i z jego poziomu spróbuj uruchomić SalityKiller. Jeśli wykryje infekcję to je usuń. Skan powtarzaj do wyniku zero infekcji.  

Jeśli będzie problem, by uruchomić go nawet z poziomu trybu awaryjnego, to wykonasz płytę bootowalną z silnikiem marki Kaspersky i przeskanujesz cały system. Dla wyników Sality zastosuj leczenie, dla innych kwarantanne. 

 

2. Przez panel sterowania odinstaluj:

  • Adware / PUP / Wątpliwe aplikacje: DAEMON Tools Lite PackagesFLVPlayer4Free Free FLV Player 3.8.0.0.
3. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2393945959-1952290844-586329851-1000\...\Policies\Explorer: []
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
ShellIconOverlayIdentifiers: [ OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => -> Brak pliku
ShellIconOverlayIdentifiers: [ OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
SearchScopes: HKU\S-1-5-21-2393945959-1952290844-586329851-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF NewTab: Mozilla\Firefox\Profiles\kxs9t1k7.default -> hxxp://www.delta-homes.com/newtab/?type=nt&ts=1444302208&z=f5ded679e10e4d3b8f5017cg2z4z3z7c3e3odo8g1g&from=ient07031&uid=TOSHIBAXMK3265GSX_Z2CZCESDTXXZ2CZCESDT
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\kxs9t1k7.default -> delta-homes
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RIFT\RIFT.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RIFT\Uninstall RIFT.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronic Arts\The Sims 3 AIO Edition\Language cs-CZ.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronic Arts\The Sims 3 AIO Edition\Language en-US.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronic Arts\The Sims 3 AIO Edition\The Sims 3 AIO Edition.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronic Arts\The Sims 3 AIO Edition\The Sims 3 Launcher.lnk
C:\Users\Admin\AppData\Roaming\Autodesk\Autodesk Robot Structural Analysis 2014\CfgUsr\defcfg.lnk
C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{F2EBC68A-5A49-4530-AE9E-0E56BA02EA84}\PlayTasks\0\Play.lnk
C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{AB0A214F-1ED3-4FAD-AA17-ADBD4ACC3E5A}\PlayTasks\0\Play.lnk
C:\Users\Admin\AppData\Local\Microsoft\Windows\GameExplorer\{2D88CB06-DE45-48DB-BB4E-70BDD1CED343}\PlayTasks\0\Play.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NitroplusCHiRAL\sweet pool\sweet pool.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NitroplusCHiRAL\Lamento -BEYOND THE VOID- DVD\Lamento -BEYOND THE VOID- DVD.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter\Uninstall.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zastosuj AdwCleaner na początku z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania.

 

5. Zrób raport dot. weryfikacji stanów ważnych usług, do tego celu wykorzystaj narzędzie Farbar Service Scanner (FSS).

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...