Skocz do zawartości

Sality wirus


Rekomendowane odpowiedzi

Siema, mam zainfekowanego windowsa XP. Stoi po formacie trzeci dzień i już wirus się złapał. Log z OTL i FRST w załącznikach. Skanuje Sality Killerem ale co drugi plik jest zawirusowany.

 

Dodam, że wyrzuca mi na Google Mail, że zablokowano próbę obcego połączenia. FlashGet i kilka innych programów się nie uruchamia(błąd Floating point support not loaded). No i podczas gry CS 1.6 skacze ping do 16k. Wczoraj wszystko było okej. Nie mogę nawet do końca pobrać czegokolwiek bo stoi w firefoxie na 1s. Wget tak samo 99% i tyle

Shortcut.txt

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

mam zainfekowanego windowsa XP. Stoi po formacie trzeci dzień i już wirus się złapał.

Sality to wirus plików wykonywalnych atakujący wszystkie pliki tego rodzaju na wszystkich dyskach. Nie ma sensu czyścić z Sality systemu, który co dopiero był stawiany: masa czasu zejdzie, by w ogóle ubić wirusa, system i tak nie uzyska pierwotnej sprawności (po leczeniu mogą pozostać trwale uszkodzone pliki). Do wykonania będzie ponowny format i instalacja XP, tylko że należy się zastanowić dlaczego po pierwszym formacie wkradł się wirus. Prawdopodobnie: podpięty pendrive zainfekowany Sality lub formatowałeś tylko C, a wirus ostał się na pozostałych dyskach (wystarczy jede drobny plik z genem Sality omyłkowo uruchomiony po formacie i cykl zarażania rozpoczyna się od nowa). Są tu trzy partycje:

 

==================== Drives ================================

 

Drive c: () (Fixed) (Total:34.18 GB) (Free:23.35 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive d: () (Fixed) (Total:74.52 GB) (Free:7.76 GB) NTFS

Drive e: () (Fixed) (Total:40.34 GB) (Free:16.13 GB) NTFS

 

Przy tym typie wirusa nie wystarczy format C, Sality pomija bariery podziałów na partycje i infekuje wszystkie dostępne pliki wykonywalne. W logu OTL widać też na każdym dysku w root ukryte pliki autorun.inf, które inicjują wirusa, zapewne są też luźne pliki wykonywalne Sality tam.

 

O32 - AutoRun File - [2014-10-24 20:42:58 | 000,000,389 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2014-10-24 20:42:59 | 000,000,285 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2014-10-24 20:42:59 | 000,000,264 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]

 

Z tych partycji nie wolno skopiować żadnego pliku wykonywalnego (instalatory programów / sterowniki etc.) na zapas.

 

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...