Infekcja win32/sality.at wykryta przez CIS 10

[Kostek11]

Witam,

 

Podczas wczorajszej pracy na komputerze, Comodo Internet Security 10 wyświetlił komunikat o infekcji win32/sality.at.

Problem pojawił się już kilka tygodni temu, prawdopodobnie w okresie ściągnięcia i reinstalacji komponentów do obsługi i konfiguracji płyty głównej MSI. Niestety wówczas nie zająłem się problemem (uznałem, że to jakiś fałszywy alarm antywirusa), a z komputera zaczęła korzystać inna osoba. Niestety wczoraj, gdy pracowałem na komputerze, ponownie pojawił się komunikat o infekcji z treścią, jak w pierwszym zdaniu.

Sporo plików wykonywalnych zostało zarażonych, ale oprócz tego, zważywszy na okres kilku tygodni infekcji na komputerze, nie zaobserwowałem żadnych innych konsekwencji, jak np. spowolnienie pracy komputera, zaszyfrowane pliki, wyskakujące reklamy, przekierowania na inne serwery, wykradzione loginy i hasła do poczty, portali, jakiś gier, bankowości internetowej, czy innych, które pominę. Wszystko działa, ale jestem bardzo zaniepokojony, bo mogę nie wiedzieć, że jednak ktoś np. wykradł moje dane.

 

Kroki, które podjąłem:

1. Wykonałem pełny skan komputera Comodo Internet Security Premium 10 i naprawiłem lub usunąłem zainfekowane pliki, w zależności od sugestii programu. Skan powtórzyłem jeszcze raz, ale nadal pojawiała się infekcja.

2. Skorzystałem z narzędzia AdwCleaner i usunąłem zainfekowane pliki, były to jakieś popupy.

3. Użyłem Malwarebytes Anti-Malware, który usunął infekcje o nazwie PUM.OptionalDisabledSecurityCenter. Powtórne użycie nie wykazało infekcji.

4. Skorzystałem z Kaspersky Virus Removal Tool, który i usunął, bądź wyleczył zainfekowane pliki, podobnie , jak w przypadku CIS. Ponowne użycie, nadal wskazywało na istniejącą i nie wyleczoną infekcję.

5. Uruchomiłem program Sality Killer, który wyszukał i wyleczył zainfekowane przez win32/sality.at pliki. Czynność powtórzyłem 2 razy, aż program nie znalazł żadnej infekcji.

6. Użyłem USBFix, który nic nie wykazał, wiec przy użyciu funkcji Vaccinate, zabezpieczyłem dyski przed infekcją autorun.inf.

7. Uruchomiłem także Kaspersky TDSSKiller, ale nic nie wykazał. 

7. Po skorzystaniu z Sality Killer, powtórne wykorzystanie narzędzi: CIS 10, Kaspersky Virus Removal Tool, MBAM, AdwCleaner nie wykazało już żadnych infekcji. Na koniec jeszcze raz Sality Killer i brak infekcji.

Dodam, że nie zaobserwowałem innych towarzyszących infekcji, typu keylogger, rootkit, ale niestety nie dysponuję już raportami z w/w czynności, usunąłem w ferworze walki.

Po wykonaniu powyższych kroków, część zainstalowanych programów, a także plików instalacyjnych nie nadaje się już do użytku. Nie wiem tylko, czy będę musiał robić format, co często jest sugerowane przy infekcji sality, czy też uda się tego uniknąć, bądź chociaż będę mógł przekopiować programy, których część mógłbym już odzyskać (domyślam się, że zdjęcia, video, pdf bez problemu przekopiuję).

 

Proszę o analizę poniższych logów z FRST64 i pomoc przy usunięciu infekcji, bądź jej pozostałości.

 

Pozdrawiam,

Kostek11

 

 

FRST.txt

Addition.txt

 

Shortcut.txt

[jessica]

W logach nie widzę niczego podejrzanego.

Ale to o niczym nie świadczy w przypadku infekcji "Sality" - bo liczy się tylko to, czy odpowiednie skanery już nic nie wykrywają.

 

Nie bardzo rozumiem, jakiej pomocy oczekujesz?

 

jessi

[Kostek11]

Dziękuje za szybka odpowiedź i przejrzenie dołączonych logów.

 

Skoro nie widzisz śladów infekcji, proszę o informację, jakie kroki powinienem jeszcze zrobić?

Może dodatkowe skany innymi narzędziami, które coś jeszcze wykryją, bądź potwierdzą, że komputer jest czysty, a może po prostu muszę wykonać format wszystkich dysków i czystą instalację systemu?

Sama instalacja - choć bardzo czasochłonna, gdy zechcę weryfikować i kopiować materiały - nie jest wielkim problemem, ale zachowanie programów, ich konfiguracji, czy plików powiązanych, które mogą być wykonywalne (tu mowa o QGIS i dużej bazie plików o różnych rozszerzeniach), czy plikach dwg, czy dxf do Autocad (tu chyba jest bezpiecznie), profilach na komunikatorach, czy innych, o których zapomniałem. Gromadzone na przestrzeni 10 lat tworzą sporą ilość materiału.

Poza tym brak mi wiedzy, jakie dokładnie pliki są infekowane przez sality (wiem o exe, dll, scr, sys). Co z programami, czy instalkami, które nie były w ogóle uruchamiane od czasu infekcji, czy sality też je infekuje? Podobnie, co z instalkami spakowanymi w rar? Mogę to wszystko teraz bezpiecznie przenosić, czy tylko kasować?

Mogę pracować na komputerze bez obawy kradzież danych, czy inne rewelacje?

Raz jeszcze proszę o pomoc.

 

Dziękuję,

 

 

[jessica]

Użyłeś już wystarczającą ilość skanerów - jeśli już nic nie wykrywają, to znaczy, że nie masz tej infekcji.

 

Nie bardzo widzę sens formatowania teraz dysku, skoro poświęciłeś tyle czasu na usuwanie infekcji. Format miałby sens przed usuwaniem Sality.

 

Jeśli któreś programy nie działają, to by znaczyło, że niektóre pliki były usuwane, zamiast leczone.

Oczywiście w takim przypadku konieczne będzie reinstalacja programu.

 

Sality, z tego co wiem, nie zajmuje się kradzieżą danych, więc o to możesz być spokojny.

 

jessi

[Kostek11]

Dziękuję za pomoc i proszę o zamknięcie tematu.

Kostek11