Virus.Win32.Sality.Gen@84752119

[Aga09]

Witam,

W piątek, osoba trzecia tj mój ojciec ściągał cracka do jakiegoś programu - z nieznanej jemu, mi strony - o czym ja nie wiedziałam, co i tak było dla mnie na początku dziwne, bo od zawsze mnie uczył, żeby nic nie ściągać z niezaufanych stron. Niestety był pod wpływem %%%...

Po jakimś czasie pojawił mi się dymek obok antywirusa, że chce się zaktualizować - ok, jak zawsze kliknęłam, żeby to zrobił. Po jakimś czasie wyświetlił mi się komunikat, że antywirus (COMODO) zostanie zamknięty i mogę wysłać raport o błędzie. Uruchomiłam komputer ponownie, bo przecież nie mogę biegać po necie bez antywirusa. Po włączeniu go ponownie wszystko było ok, oprócz tego, że wyświetlały mi się co chwilę komunikaty, że w normalnych programach typu mozilla firefox, adobe, nero itp są wirusy(wszystko z końcówką .exe), chwilę później nim jakkolwiek zareagowałam, pojawił mi się komunikat, że system zostanie zamknięty, a zamknięcie zostało zainicjowane przez NT/system. I tak w kółko, komputer się restartował ok 3-4 razy nim mogłam cokolwiek normalnie robić bez pojawienia się owego komunikatu. Programy typu nero, img burn, spybot, ccleaner itp nie działają - nie chcą się uruchomić. Wiem, że pod moją nieobecność zostały podjęte jakieś kroki, na pewno przy użyciu programu combo fix, nic więcej nie wiem, nie wiem co w tym combo fixie było robione, jakie programy były jeszcze używane, gdyż robił to mój ojciec pod wpływem % i sam nie pamięta CO ROBIŁ...

Nim założyłam temat zrobiłam wszystko wg instrukcji, tj wyłączenie programów emulujących wirtualne dyski, zrobiłam skan OTL'em, log dodałam w załączniku, jednakże nie mogę zrobić żadnym programem skanu rootkitów, po prostu albo nie chcą się uruchomić, albo wyskakuje informacja o odmowie dostępu (mam konto administratora).

 

Bardzo proszę o pomoc, gdyż zależy mi na uniknięciu formata, co jest dla mnie ostatecznością, nie mogę nic nagrać na płytki, bo programy od tego po prostu nie działają, na drugim dysku twardym nie ma już miejsca.

 

OTL.Txt

Extras.Txt

[picasso]

Niestety, ciężka infekcja jest w systemie, podwójna:

 

Wirus Sality niszczy wszystkie pliki wykonywalne na wszystkich dyskach. Stąd komunikaty, że prawidłowe pliki są zarażone, oraz niemożność uruchomienia programów. Wirus ten kasuje także Tryb awaryjny .... Sality można rozpoznać po tym sterowniku oraz autoryzacjach w zaporze (prawidłowe, ale już zarażone wirusem, programy mają dopisek "ipsec"):

 

DRV - [2011-09-03 20:36:43 | 000,000,000 | ---- | M] () [Kernel | Unknown | Stopped] -- C:\WINDOWS\System32\drivers\lnjkmm.sys -- (aic32p)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)
"C:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe" = C:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe:*:Enabled:ipsec -- (COMODO)
"C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" = C:\Program Files\COMODO\COMODO Internet Security\cfp.exe:*:Enabled:ipsec -- (COMODO)
"C:\Program Files\Auslogics\Auslogics Disk Defrag\DiskDefrag.exe" = C:\Program Files\Auslogics\Auslogics Disk Defrag\DiskDefrag.exe:*:Enabled:ipsec -- (Auslogics)
"C:\Program Files\COMODO\COMODO Internet Security\cavscan.exe" = C:\Program Files\COMODO\COMODO Internet Security\cavscan.exe:*:Enabled:ipsec -- (COMODO)

Dodatkowo, są tu znaki, że w systemie prawdopodobnie jest rootkit ZeroAccess, co można wnioskować po wyglądzie łańcucha Winsock i tych plikach wtórnych:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 -  File not found
 
[2011-09-02 13:24:34 | 000,001,648 | ---- | C] () -- C:\WINDOWS\System32\.ini
[2011-09-02 13:21:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\1770970710
[2011-09-02 09:18:14 | 004,194,304 | ---- | C] () -- C:\WINDOWS\System32\akygdmgo.dll
[2011-09-02 09:18:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\1659153246

Z tym, że tutaj nie widzę w modułach załadowanego sfałszowanego pliku mswsock, a o aktywności tego rootkita mogłyby świadczyć te komunikaty "Odmowa dostępu" przy próbie uruchamiania skanerów antyrootkit. Był tu uruchamiany ComboFix i nie jest wiadome ile tu usuwał (co tłumaczyłoby wybrakowanie infekcji).

 

 

1. Pobierz SalityKiller. Wykonaj nim skan, do skutku. Nie może zostać ani jeden zainfekowany plik.

 

2. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Pobierz i uruchom zgodnie z wytycznymi ComboFix i przedstaw wynikowy raport.

 

 

 

 

 

 

.

Edytowane 4 Października 2011 przez picasso
4.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso