Wirus win32.sality na dysku zewnętrznym

[jojko86]

Przeskanowałem swojego kompa ComboFixem ponieważ mam wirusa virus.win32.sality i chciałbym żeby mi ktoś sprawdził tego loga i ewentualnie pmógł co robić dalej z tym fantem.

 

http://www.wklejto.pl/98551

[picasso]

Na temat używania bezmyślnie ComboFix na własną rękę: KLIK. Ponadto, ComboFix nie pomoże na wirusa Sality, bo to nie jest skaner antywirusowy. ComboFix co najwyżej w kółko będzie usuwał obiekty pośrednie infekcji i nic Ci z tego nie przyjdzie, bo te komponenty natychmiast zaczną się odtwarzać. Tu należy zacząć usuwać wirusa z plików wykonywalnych, bynajmniej nie ComboFixem. O tyle masz "łatwo", że to system 64-bit, czyli Sality może tylko zarażać część 32-bitową systemu.

 

1. Rozpocznij od użycia SalityKiller. Stosuj do skutku, dopóki nie przestaną być wykrywane zarażane programy.

 

2. Do oceny obowiązkowy tu log z OTL oraz jasne podsumowanie co robił SalityKiller.

 

 

 

 

.

[jojko86]

A gdybym zrobił formata to by było już wszystko ok?

 

Tego wirusa znalazlem na dysku zewnetrznym po podpieciu go do laptopa Kaspersky mi go wykrył. Nie wiem czy rozprzestrzenil sie na wszystkie dyski.

[picasso]

Nie opisałeś dokładnie zagadnienia.

 

 

Tego wirusa znalazlem na dysku zewnetrznym po podpieciu go do laptopa Kaspersky mi go wykrył. Nie wiem czy rozprzestrzenil sie na wszystkie dyski.

 

Może infekcja nie wyszła poza dysk zewnętrzny, choć wg ComboFix pliki infekcji były także kasowane z dysków C+D, a nie tylko F, który jak sądzę jest tym zewnętrznym:

 

C:\autorun.inf
D:\autorun.inf
D:\dluks.pif

Jest tu za mało danych na ten temat, a log z ComboFix nie wystarcza do oceny. Jak mówię: skaner użyj. Na koniec wytwórz log z OTL, tylko dołącz jeszcze spis plików na dyskach, czyli w OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

DIR /A C:\ /C
DIR /A D:\ /C
DIR /A F:\ /C

Klik w Skanuj (a nie Wykonaj skrypt).

 

 

.

[jojko86]

W tym momencie nie mam dostępu do tego zainfekowanego laptopa więc zrobie to jak już dam rade. Podobny problem ma mój kolega i to od niego mam zainfekowany ten dysk więc i jego loga tutaj wkleje gdy zrobie skan OTL na jego komputerze.

[picasso]

Podobny problem ma mój kolega i to od niego mam zainfekowany ten dysk więc i jego loga tutaj wkleje gdy zrobie skan OTL na jego komputerze.

 

U kolegi też użyj SalityKiller.

[jojko86]

Więc pierw mam użyć u siebie i kolegi SalityKiller a dopiero póżniej przeskanowć OTL?

[picasso]

O to mi chodzi, gdyż nie wiadomo gdzie ta infekcja się rozprzestrzeniła. Masz system 64-bit, toteż potencjalne zarażanie może objąć tylko pliki 32-bit, tu masz dla porównania inny temat z Sality: KLIK. Ale nie wiem jaki system ma kolega. Jeśli system 32-bit, to u niego sytuacja może być znacznie gorsza.

[jojko86]

Kolega ma Windows XP Professional więc raczej to jest 32

 

Nie pamiętam gdzie się to sprawdza na Win XP ile ma się bit

[picasso]

Proszę używaj opcję "Edytuj" w celu uzupełnienia posta, jeśli nikt jeszcze nie odpisał pod Twoim postem, zamiast w serii pisać jeden post pod drugim. Posty łączę.

 

 

Kolega ma Windows XP Professional więc raczej to jest 32

 

Czyli posiada Windows 32-bit i jeśli infekcja weszła mu w system (nie została zatrzymana antywirusem), problemy są znacznie większe: potencjalna infekcja wszystkich plików wykonywalnych (w tym systemowych), skasowany Tryb awaryjny. By to ocenić, muszę mieć wyniki ze skanera oraz logi z OTL. Nie mogę tego ocenić na gębę na tym etapie.

 

 

 

.

[jojko86]

A format wszystkich dysków da temu rade?

[picasso]

No tak, format da temu radę, tylko nie wiadomo czy tak drastyczny krok jest tu potrzebny. Nie gdybaj już. Tu nie ma za bardzo teraz o czym rozmawiać bez faktów. Powtarzam: wyniki ze skanera + logi z OTL.

[jojko86]

Oto logi z OTL

 

OTL.txt - http://wklejto.pl/98618

Extra.txt - http://www.wklejto.pl/98621

[picasso]

Czy SalityKiller coś u Ciebie wykrył? Wyniki z OTL, jeszcze na dysku C + F są pliki Sality:

 

 Katalog: C:\
2011-05-29  17:06            25˙316 eakgx.exe
 
 Katalog: F:\
2011-05-21  18:29               246 autorun.inf
2011-05-30  14:27            33˙508 fytk.exe
2011-05-29  17:06            21˙220 QHMFHF.EXE

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\eakgx.exe
F:\autorun.inf
F:\fytk.exe
F:\QHMFHF.EXE
C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml
 
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddrnw"
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} -  File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} -  File not found
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Po restarcie systemu otrzymasz log z działania.

 

2. Przejdź do apletu deinstalacji programów i usuń śmieci sponsoringowe: Conduit Engine + DVDVideoSoftTB Toolbar.

 

3. Zrób nowy log z OTL, w polu Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj.

 

DIR /A C:\ /C

DIR /A F:\ /C

 

 

.

[jojko86]

Tak gdy zaczoł skanować dysk D Kaspersky zaczoł szalec i wyświetlać ze znalazł zagrozenia

 

Mam jeszcze pytanie z innej beczki chciałbym żeby mój laptop szybciej chodził tzn szybciej sie uruchamial itp. zeby wszystko bylo fajnie pouporzadkowane i bezpieczne. Masz jakieś propozycje?

 

Logi OTL:

 

OTL.txt - http://wklejto.pl/98628

Extra.txt - http://www.wklejto.pl/98629

Edytowane 30 Maja 2011 przez picasso
Posty połączone. //picasso

[picasso]

Nie widzę już żadnych plików infekcji. Zrób końcowe porządki:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co zlikwiduje także jego kwarantannę z Sality oraz wyczyści foldery Przywracania systemu. Z klawiatury wywołaj kombinację klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

c:\users\Daniel\Downloads\ComboFix.exe /uninstall

 

2. W OTL użyj opcję Sprzątanie, co z kolei zlikwiduje kwarantannę OTL i program. Funkcja wymaga restartu.

 

3. Dla pewności wykonaj za pomocą swojego KIS pełny skan wszystkich dysków i zgłoś się tu z podsumowaniem.

 

Jeśli będzie czysto, można będzie pogadać o innych rzeczach.

 

 

.

[jojko86]

Wszystko jest ok. KIS nie wykrył zagrożeń na dyskach.

 

Dzięki za poświęcony czas i pomoc. Teraz można porozmawiać o innych rzeczach

 

Tak jak pisałem wcześniej jeżeli masz jakieś sugestie/propozycje na team ulepszenia działania laptopa tj. szybsze uruchamianie i sprawna praca podczas użytkowania, itp itd. Będę wdzięczny za wszelaką pomoc.

[picasso]

Nie zauważyłam jakoś w spisie Twoich zainstalowanych programów kolejnych śmieci: Facemoods Toolbar oraz vShare Plugin (KLIK). Pozbądź się tego.

 

 

---

Analizując wątki poboczne:

 

Mam jeszcze pytanie z innej beczki chciałbym żeby mój laptop szybciej chodził tzn szybciej sie uruchamial itp. zeby wszystko bylo fajnie pouporzadkowane i bezpieczne. Masz jakieś propozycje?

 

1. Potencjalne odciążanie z ładowania:

 

----> Skoro tu jest KIS, to natywny zintegrowany z systemem Windows Defender nie jest Ci potrzebny. Możesz wyłączyć jego usługę w Autoruns poprzez odptaszowanie w karcie Services:

 

SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

 

----> Natomiast w partii Autostartu, odrzucając aplikacje sprzętopochodne inne niż Toshiba + Kasperskiego, zostaje pod rozwagę zestaw firmowych wpisów Toshiba oraz Gadu:

 

O4:64bit: - HKLM..\Run: [00TCrdMain] C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe (TOSHIBA Corporation)
O4:64bit: - HKLM..\Run: [HDMICtrlMan] C:\Program Files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe (TOSHIBA Corporation.)
O4:64bit: - HKLM..\Run: [HSON] C:\Program Files\TOSHIBA\TBS\HSON.exe (TOSHIBA Corporation)
O4:64bit: - HKLM..\Run: [smartFaceVWatcher] C:\Program Files\TOSHIBA\SmartFaceV\SmartFaceVWatcher.exe (TOSHIBA Corporation)
O4:64bit: - HKLM..\Run: [smoothView] C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe (TOSHIBA Corporation)
O4:64bit: - HKLM..\Run: [Teco] C:\Program Files\TOSHIBA\TECO\Teco.exe (TOSHIBA Corporation)
O4:64bit: - HKLM..\Run: [ThpSrv] C:\Windows\SysNative\thpsrv.exe (TOSHIBA Corporation)
O4:64bit: - HKLM..\Run: [Toshiba Registration] C:\Program Files\TOSHIBA\Registration\ToshibaReminder.exe (Toshiba Europe GmbH)
O4:64bit: - HKLM..\Run: [TosReelTimeMonitor] C:\Program Files\TOSHIBA\ReelTime\TosReelTimeMonitor.exe (TOSHIBA Corporation)
O4:64bit: - HKLM..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe (TOSHIBA Corporation)
O4:64bit: - HKLM..\Run: [TosWaitSrv] C:\Program Files\TOSHIBA\TPHM\TosWaitSrv.exe (TOSHIBA Corporation)
O4:64bit: - HKLM..\Run: [TPwrMain] C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [HWSetup] C:\Program Files\TOSHIBA\Utilities\HWSetup.exe (TOSHIBA Electronics, Inc.)
O4 - HKLM..\Run: [iTSecMng] C:\Program Files (x86)\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe (TOSHIBA CORPORATION)
O4 - HKLM..\Run: [KeNotify] C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe (TOSHIBA CORPORATION)
O4 - HKLM..\Run: [sVPWUTIL] C:\Program Files (x86)\TOSHIBA\Utilities\SVPWUTIL.exe (TOSHIBA)
O4 - HKLM..\Run: [ToshibaServiceStation] C:\Program Files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [TWebCamera] C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe (TOSHIBA CORPORATION.)
O4 - HKU\S-1-5-21-1243791544-2628696548-3262973355-1000..\Run: [Gadu-Gadu 10] C:\Program Files (x86)\Gadu-Gadu 10\gg.exe (GG Network S.A.)

Nie wszystko z tej listy ma kwalifikację do usuwania, wpisy Toshiba należy ocenić czy są istotne. Głupota typu "Toshiba Registration" pod nóż od razu, ale obecność wielu tu widocznych jest uwarunkowany tym z czego korzystasz. Kiedyś rozpisywałam w innym temacie (KLIK) znaczenie pewnych funkcji. Możesz z tym eksperymentować posługując się programem Autoruns i w karcie Logon odznaczać wpisy + obserwować skutki po restarcie. Inna sprawa, że oprogramowanie Toshiba, z którego w ogóle nie korzystasz, może zostać przecież odinstalowane w tradycyjny sposób.

 

 

2. Zainstalowane software:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 21
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish
"7-Zip" = 7-Zip 4.65
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)
"Opera 11.10.2092" = Opera 11.10
"RealAlt_is1" = Real Alternative 1.9.0 Lite

• Standardowo nikogo stąd nie wypuszczam bez aktualizacji przeglądarki, Java i Adobe Reader: INSTRUKCJE.
  
• Ciężkie Gadu-Gadu 10 można zastąpić znacznie lepszym programem z obsługą sieci Gadu: lekkim, z opcją uruchomienia portable, bez reklam i w natywnie 64-bitowej wersji. W temacie Darmowe komunikatory popatrz na opis WTW. Można też zainteresować się Mirandą.
  
• Masz zainstalowaną niepoprawną wersję 7-zip, czyli 32-bitową, a ta charakteryzuje się niewidocznością menu kontekstowych na 64-bitowym eksploratorze. Należy pozbyć się tej wersji i zainstalować wersję x64.
  
• Kodeki można uaktualnić.
  

 

3. Propozycje programów konserwacyjnych:

 

• Do defragmentacji dysku polecam darmowy program Puran Defrag Free Edition, który jest natywną aplikacją x64 i posiada funkcję defragmentacji "Boot Time". O ile tu na Twoim komputerze nie mamy do czynienia z dyskami typu SSD, bo to jest inna historia (KLIK).
  
• Do kompaktowania rejestru darmowy QuickSys RegDefrag. Aczkolwiek operacje kompaktowania niosą ryzyko (KLIK). Jest wymagane okopanie się backupami rejestru / punktem Przywracania systemu wytworzonymi przed operacją, z możliwością dostania się do nich z poziomu zewnętrznego środowiska (WinRE).
  

Natomiast nie podsuwam tu nic do sprzątania rejestru, bo tego typu operacje mają i tak słabe benefity "optymalizacyjne".

 

 

4. RAM fizyczny (~4GB) versus plik stronicowania (przeliczony na ~8GB):

 

3,97 Gb Total Physical Memory | 2,38 Gb Available Physical Memory | 60,05% Memory free
7,93 Gb Paging File | 6,24 Gb Available in Paging File | 78,75% Paging File free

Ewentualnie możesz pokombinować z obniżeniem progu dla tego pliku, ale tu nie ma gotowej recepty, samemu należy przekalkulować zapotrzebowania własnego systemu + uruchomionych aplikacji. Uzupełniający materiał techniczny: KLIK.

 

 

 

.

[jojko86]

Dzięki za pomoc. Zrobiłem wszystko tak jak napisałaś. Odnośnie Opery to czy jest ona lepsza od Chrome którego aktualnie używam? Masz propozycje na temat jakich programów używać do np oglądania filmów, słuchania muzyki itp itd? Masz jeszcze jakieś propozycje do tego aby wszystko było pieknie i ładnie?

 

Jedna rzecz mnie denerwuje mam włączone Tochiba ecoUtility i obraz jest taki jaki ma być ale diody na latopie cały czas mi się świecą tzn te podświetlają się cały czas te multimedialne klawisze które przy włączonym trybie eco nie powinny się świecić.

[picasso]

Odnośnie Opery to czy jest ona lepsza od Chrome którego aktualnie używam?

 

Tak nie można stawiać sprawy. Jest zbyt dużo aspektów dla takiej analizy, nie tylko wydajnościowych, ale wsparcia dla standardów, używalności / rozszerzalności etc. Lepsza, gorsza ... no ja nie śmiem tu postawić werdyktu. Wychodzę z założeń, że wybór przeglądarki to kwestia preferencji użytkownika. Przykładowo: działam na Firefox, bo tak lubię, ale i tak mam wszystkie przeglądarki zainstalowane, bo są mi potrzebne choćby do testowania wyglądu + zachowania strony fixitpc.pl.

PS. A jako ciekawostka ostatni test na forum: KLIK.

 

 

Masz propozycje na temat jakich programów używać do np oglądania filmów, słuchania muzyki itp itd?

 

Z darmowych propozycji:

 

1. Video: Jestem zwolennikiem tzw. "bezkodekowych" rozwiązań, czyli odtwarzaczy posługujących się własnymi wewnętrznymi kodekami, bądź też stanowiącymi hybrydę. Mniej instalacji kodeków w systemie i bałaganu. Np.:

- odtwarzacze na silniku VLC: VLC Player, Kantaris MediaPlayer

- odtwarzacze na silniku MPlayer: MPLayer for Windows, SMPlayer

- inne: PotPlayer ("usprawniony KMPlayer"), Media Player Classic (ten ostatni tylko częściowo niezależny).

 

2. Audio: Foobar2000, AIMP, a ze skromnych kości natywnie 64-bitowy odtwarzacz Small Player.

 

Osobiście używam Foobara, VLC i Media Player Classic.

 

 

Jedna rzecz mnie denerwuje mam włączone Tochiba ecoUtility i obraz jest taki jaki ma być ale diody na latopie cały czas mi się świecą tzn te podświetlają się cały czas te multimedialne klawisze które przy włączonym trybie eco nie powinny się świecić.

 

Tu już chyba nie jestem w stanie pomóc, bo nie znam Toshiby. Ale czy w opcjach schematów zasilania nie ma może powiązanej funkcji, która pozwoli na wyłączenie LED dla określonego stanu zasilania?

I to pytanie to już kieruj do działu Hardware, tam inne dane się podaje, czyli pełny konfig sprzętu, co pozwala ocenić sprawę w lepszy sposób.

 

 

Masz jeszcze jakieś propozycje do tego aby wszystko było pieknie i ładnie?

 

Gdybym takowe miała, dostałbyś kompletny rozpis już na początku. Wychodzę też z założeń, by nie wykazywać parcia na systemie, który działa sprawnie (i zapewne stoi na nowoczesnym sprzęcie). Uporczywa i (może niesłuszna) dążność do optymalizacji może się skończyć niepozytywnie.

 

 

 

 

.

[jojko86]

Mam problem. Nie wiem czy jest to związane z tym wirusem. Mianowicie gdy próbuje otworzyć pewien plik wyskakuje mi coś takiego:

 

[picasso]

Czy ten błąd był wcześniej przed infekcją? Nie jest wykluczone, że to konsekwencja Sality (zarażony lub uszkodzony leczeniem plik), gdyż na forum Football Managera znalazłam topik, gdzie ktoś wyszególnia ten błąd R6002 w kontekście Sality: KLIK. I nie jest to jedyny temat z tym błędem kierujący na trop wirusa .... Spróbuj przeinstalować całą grę.

[jojko86]

Przeinstalowałem gre i już jest wszystko w porządku. Dzięki.

Edytowane 8 Czerwca 2011 przez picasso
Rozumiem, że to koniec tematu. Zamykam. //picasso