Poważna infekcja - nie działa rejestr, tryb awaryjny

[bpm]

Witam,

 

to już ostatni z "ledwo zipiących" komputerów. Poniżej przedstawiam zaobserwowane sytuacje:

 

- przeprowadzona została analiza MBAM, który znalazł sporo infekcji (wklejam log gdyby ktoś chciał zapoznać się);

- nie działa Tryb Awaryjny, następuje restart kilka sekund po wyborze;

- nie działa rejestr systemowy: "Edycja rejestru została wyłączona przez Administratora";

- infekuje każdy podłączony pendrive;

- Avast raz działa, a raz nie, włącza się i wyłącza;

- jeśli to też ma znaczenie, to to samo jest z kartą sieciową bezprzewodową (USB), włącza się i wyłącza, co widać w Menedżerze Urządzeń;

 

Wklejam potrzebne logi i proszę o pomoc:

 

OTL

Extras

Gmer

MBAM

[picasso]

Niestety, kiepsko = infekcja wirusem Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Obecność zdowodowana poniższym sterownikiem, autoryzacjami w zaporze z oznaczeniem "ipsec" oraz opisywanymi objawami.

 

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lqgjgq.sys -- (abp470n5)
 
---- Kernel code sections - GMER 1.0.15 ----
 
?      C:\WINDOWS\system32\drivers\lqgjgq.sys    Nie można odnaleźć określonego pliku. !

 

Sality kasuje z rejestru Tryb awaryjny (dlatego następuje restart), blokuje rejestr i menedżer zadań. Naprawianie tych usterek mija się celem gdy działa wirus, Sality wszystko przywraca "na miejsce".

 

Przemilczałeś użycie ComboFix. On tu nic nie pomoże, nie ma właściwości skanera antywirusowego, który może leczyć pliki. Infekcja ciężka, z kwalifikacją na format całego dysku przy niepowodzeniu lub zbyt rozległych szkodach. Próba wstępna:

 

 

1. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych).

 

2. Pobierz Sality_RegKeys. Rozpakuj i uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

4. Zresetuj reguły zapory. Start > Uruchom > cmd i wpisz komendę netsh firewall reset.

 

5. Odinstaluj paski sponsoringowe w menedżerze dodatków Firefox oraz w Dodaj / Usuń programy: gry Toolbar + uTorrentBar Toolbar. Popraw przez AdwCleaner z opcji Delete.

 

6. Wykonaj nowe logi z OTL + GMER. Podsumuj co robił SalityKiller. przedstaw log wygenerowany przez AdwCleaner.

 

 

 

.

[bpm]

Wykonam wszystko za moment, ale mam decyzję, że jednak będzie format. Jestem po prostu ciekawy czy coś da ta naprawa.

 

Przemilczałeś użycie ComboFix. On tu nic nie pomoże, nie ma właściwości skanera antywirusowego, który może leczyć pliki. Infekcja ciężka, z kwalifikacją na format całego dysku przy niepowodzeniu lub zbyt rozległych szkodach.

 

Przemilczałem, bo nic o tym nie wiedziałem. ComboFix i MBAM były użyte wcześniej przez właściciela.

 

Co do formatu, może to głupie pytanie, ale zapytać zawsze można. Wiem że pliki wykonywalne to m.in. .exe, .com, .bat, .dll, .cmd; Co jeszcze przeoczyłem z istotnych? Czy plik wykonywalny to również .jpg, .jpeg? Pytam ponieważ trzeba zrobić kopię, bez robaczka Sality

[picasso]

Wykonam wszystko za moment, ale mam decyzję, że jednak będzie format. Jestem po prostu ciekawy czy coś da ta naprawa.

 

Sality jest możliwy do usunięcia (tu nie jest jednak znany jeszcze zakres szkód), aczkolwiek po leczeniu system może nie odzyskać pierwotnej formy, a leczone programy i tak mogą wymagać reinstalacji.

 

 

co do formatu, może to głupie pytanie, ale zapytać zawsze można. Wiem że pliki wykonywalne to m.in. .exe, .com, .bat, .dll, .cmd; Co jeszcze przeoczyłem z istotnych? Czy plik wykonywalny to również .jpg, .jpeg? Pytam ponieważ trzeba zrobić kopię, bez robaczka Sality

 

W skład wykonywalnych wchodzą też SCR, PIF, SYS i CPL. Zakres infekowanych typów plików może zależeć od wariantu Sality (w bazach opisowych są np. adnotacje o infekowaniu EXE czy EXE i SCR). Bezpieczne do zachowania zdają się być pliki graficzne i tekstowe. Cokolwiek jednak zostanie skopiowane, należy to przeskanować i tak antywirusem, by nie nadziać się np. na sfabrykowane pliki "graficzne".

 

 

 

.

[bpm]

Ok dziękuję, przekażę informacje. Niestety dziś nie udało mi się wykonać skanu za pomocą SalityKiller ponieważ musiałem przerwać po ok 1,5h, jednak wpisów "Infected" było mnóstwo, na koniec leciały zainfekowane kopie przywracania systemu. Jak wszystko zostanie wykonane (mimo iż w efekcie ma być format) dam znać.

 

EDIT: Wszystko zostało wykonane. Podsumowując działanie SalityKiller, tak jak napisałem wyżej znalazł bardzo dużo zainfekowanych plików, jednak zmuszony byłem przerwać to skanowanie. Wstawiam fotki z drugiego i trzeciego skanu oraz logi:

 

Fotka 1

Fotka 2

 

OTL

Extras

Gmer

AdwCleaner

 

Bardzo proszę o informacje mimo, że komp ( a raczej właściciel ) czeka na format.

[picasso]

Po przeprowadzeniu zaleconych operacji: ustały czynnośni nośne wirusa (sterownik Sality się nie odtworzył), zniknęły z bieżącego konta użytkownika polisy blokujące rejestr i menedżer (i nie odtworzyły się potwierdzając deaktywację wirusa), autoryzacje zapory czyściutkie. Ostały się polisy wbudowanych kont systemowych:

 

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

 

Poza tym, czyszczenie z towarzystwa adware nie było perfekcyjne i plączą się jeszcze drobnostki w konfigach IE + Firefox + Google Chrome. Czyli byłoby jeszcze wymagane: oskryptowanie w/w odpadków i ręczna rekonfiguracja Google Chrome, porządki po używanych narzędziach (w tym prawidłowa deinstalacja ComboFix), ostateczny skan już ogólnym antywirusem (SalityKiller to szczepionka jednosmakowa), reinstalacja programów wykrytych jako niedziałające po procedurze leczenia, wyrzucenie przestarzałego Avast i aktualizacje. Rozumiem jednak, że nie prowadzimy już tu sztukowania ze względu na oczekujące radykalne odświeżenie:

 

komp ( a raczej właściciel ) czeka na format.

 

Jedna uwaga: postarać się o aktualizację sterowników, a przy instalacji sterowników sieciowych nVidia opuścić instalację parszywej zapory NVIDIA Network Access Manager. Aktualnie w logu szczerzy zęby ten firewall, bardzo stara wersja z 2006 i podejrzewam, że nie byłoby łatwo z jej deinstalacją (na forum kilka bliźniaczych przypadków, iż firewall nVidia datowany na 2006 stawia opór i nie daje się procesowi Dodaj / Usuń programy).

 

 

 

.

[bpm]

Rozumiem jednak, że nie prowadzimy już tu sztukowania ze względu na oczekujące radykalne odświeżenie

 

Tak dokładnie, komputery poszły do właściciela na "radykalne odświeżenie". Po prostu byłem ciekaw jak będzie z usuwaniem infekcji. Dziękuję serdecznie za porady.

 

Proponuję nie zamykać tematu, kiedy będę miał oba z powrotem dla formalności zrobię skan OTL czy aby nic nie przelazło z kopii. Z tego co wiem kopia była robiona tylko z: dokumentów - .pdf, .doc .txt; muzyki - .mp3; filmów - .avi, .rmvb; zdjęć - .jpg

 

EDIT: Tak jak obiecałem wklejam logi do analizy (w tamtym drugim temacie dotyczącym "Sality" również). Właściciel sobie sam robił format i instalował wszystko. W tym wypadku mój jest tylko log i skan antywirusem i MBAM, które nic nie wykazały. Ze swojej strony dziękuję serdecznie za pomoc i informacje.

 

OTL

Extras

 

Jeżeli jest wszystko w porządku temat do zamknięcia.

[picasso]

Widzę, że właściciel zamontował sobie jakiegoś "ulepszanego" Windows XP. Pomijając już to, nie widzę nic niepokojącego. Temat uznaję za zamknięty. Kluczyk.