Panmis Opublikowano 28 Czerwca 2010 Zgłoś Udostępnij Opublikowano 28 Czerwca 2010 Witam. Z marszu przechodzę do opisu sytuacji. Jakieś 3 tygodnie temu zauważyłem, że rezydent JRE, co około 2 dni zwyczajnie odmawia posłuszeństwa a kolokwialnie mówiąć wiesza się. Problem ten zbagatelizowałem, sądząc, że to dołączony do JRE auto-update nie daje rady. I tak 2 tygodnie w błogiej nieświadomości sytuacji mój zacny i sędziwy blaszak sobie działał. Wczoraj jednak sytuacja stała się wyjątkowo rozwojowa i przyśpieszyła o jakieś 1000%. Tuż po uruchomieniu blaszaka padł mi ze znanym już wdziękiem Catalyst Control Center. Ale żeby tego było mało chwilę później wraźnie zazdrosny o wyczyn kolegi, w ślad za CCC poszedł Realtek Audio, a pikanterii całej sytuacji dodał sam Explorer, który zdołał się zresetować jakieś 3 razy. Kolejne restarty nie pomagały, więc zakasałem rękawy i do roboty. SpyBot uraczył mnie cudowną informację, że nie może zlokalizować swoje pliku *.exe. Z zaskoczeniem i konsternacją potwierdziłem brak głównego pliku *.exe w katalogu. Na całe szczęście działał Malwarebytes. Skan wykrył co prawda 2 trojany i jakiś cudny backdoor, które zamiótł, ale logi z działania tego skanera się nie zachowały. O tym dlaczego tak się stało za moment. Praca Malwarebytes niestety nie dała żadnych rezultatów. Dalej CCC, Realtek i co pewien czas Explorer na przemian padały jak rażone piorunem a następnie wstawały, żeby cały proces powtórzyć. Następnie po poradę udałem się do HijackThis, ale tu nie znalazłem nic podejrzanego. Postanowiłem udać się w gości do MKS'a na ich stronę. Już po kilku mintach skanowania zaczęły się pierwsze informacje o infekcji Heur.w32. Zainfekowanych i usuniętych było około 70 plików *.exe. Pod kosę poleciały min. całe oprogramowanie do mojej karty graficznej plus profilaktycznie sterowniki. To samo ze sterownikami i softem do Realtek'a. A za nimi ciurkiem jakieś 30 aplikacji ze SpyBot'em i Malwarebytes na czele. Wyczyściłem wszystko używając Total Uninstal, jednak mając już solidne postanowienie o formacie i reinstalacji postanowaiłem chociaż poznać imię złego, bo powiedzieć Heur.w32, to jak nazwać tygrysa kotkiem salonowym. Szybkiej i dość celnej analizy sytuacji dostarczył mi skan z ComboFix'a, który w jednej z linijek wystrzelił informacją bodaj "Newly Created Process asc3360-cośtam cośtam" jako że od jakiegoś czasu przeglądałem wasze forum anonimowo znalazłem tu temat z podobną nazwą w logu. Szybko przy pomocy laptopa, zaopatrzyłem się w SalityKiller'a i RmSality. A następnie zacząłem sprawdzać objawy. Pojawiły się blokady stron ze skanerami on-line i zamykanie przeglądarki przy próbie pobierania plików ratujących z niektórych serwisów. Do blokady TaskManager'a i Regedit'a nie doszło, ale to była pewnie kwestia czasu. Pałając rządzą krwawej zemsty na kochanej Salci odpaliłem SalityKiller'a. Z tego co pamiętam bo logów ze skanowania nie robiłem, to koleżanka rozsiadła się w 9 wątkach, sporej liczbie kluczy rejestru, i około 120 kolejnych plikach w sporej części w obrębie kopii przywracających dane na dyskach, ale też w kilku plikach nie *.exe. 2 plików nie udało się ocalić pozostałe według SalityKiller'a udało się uzdrowić. Kolejny skan przebiegał już we względnym spokoju, bo wykryto i uleczono 2 pliki, a kolejne 5 skanów wykazało brak Salci. Następnie po tych skanach przystąpiłem do mozolnej odbudowy bazy sterowników i niezbędnych programów. System zachowywał się i w zasadzie dalej zachowuje się stabilnie, poza kilkoma ewenementami. Mniej więcej jakieś 5 godzin po ponownym zainstalowaniu JRE znowu się wysypał, co wzbudziło moje zaniepokojenie, że Salcia wróciła po swoje, ale skany z SalityKiller'a temu przeczą. Skan z RmSality mogę też dostarczyć. Tu nie można było przeskanować kilku plików, będących w użyciu, ale RmSality nie chce się odpalić podczas uruchamiania Windy, rzucając zdaje się błędem odmowy wpisania go do sekcji startup'a, dokładnie nie pamiętam. Dodatkowo przeskanowałem system jeszcze przy pomocy Dr. Web Cure It, ale tu też nic nie znaleziono. Dlatego prosił bym o sprawdzenie, czy w zamieszczonych obowiązkowo logach nie ma jeszcze czegoś, bo jakoś mam wrażenie, że za łatwo mi z Sality poszło. OTL.Txt Extras.Txt GMER.txt defogger_disable.txt Odnośnik do komentarza
Landuss Opublikowano 28 Czerwca 2010 Zgłoś Udostępnij Opublikowano 28 Czerwca 2010 W logach nie ma żadnych śladów aktywnej infekcji więc najprawdopodobniej wygrałeś walkę. Odnośnik do komentarza
Panmis Opublikowano 28 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2010 Dziękuję. W takim razie mogę z czystym sumieniem odłożyć płytę z Windą i sterownikami na bok. Odnośnik do komentarza
Rekomendowane odpowiedzi