Skocz do zawartości

Infekcja Sality, Malware..


Rekomendowane odpowiedzi

Witam,

Mój komputer został prawdopodobnie zainfekowany Sality. Po skanie Malware bytes wykryło Malware pack.gen, Sality 4 razy i win32 trojan agent. Ten sality siedzi mi w procesach i da się go wyłączyć no i wtedy niektóre programy, gry zaczynąją nie oddawać żadnych błędów ale znam tego wirusa i on jest odnawialny po resecie, nawet po jego usunięciu. Wirusy powodują błędy w grach nagle zaczyna brakować redistributabli, które były i są.. ale dalej pisze że ich niema no i to napewno wina wirusów.. C:\Users\Suwak\AppData\Local\Temp\winhhbfgj.exe to wykryło jako sality. Niewiem też co to jest proces heuixu. Załączam dwa pliki do analizy. Z góry dziękuję!

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKU\S-1-5-21-2361097646-1335871073-520347403-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
[2012-06-17 11:16:55 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Suwak\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
[2012-07-03 09:54:07 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Suwak\AppData\Roaming\mozilla\Firefox\Profiles\79lbkczj.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-2361097646-1335871073-520347403-1000..\Run: [heuixu] C:\Users\Suwak\heuixu.exe (Microsoft)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz daj znać co pokazał SalityKiller.

Odnośnik do komentarza

No prosze jak miło. Miałem cały zawalony temp, a teraz kilka pliczków :)

Jeśli chodzi o podpunkt 3 to go nie zrobiłem bo nie miałem w dodaj lub usuń programy tego toolbara przez panel miałem zrobić więc myśle że o ten sposób chodziło.

Chociaż dalej wyskakują błęby z redistributablami to myśle że sality jest wykończony. SalityKiller nic nie wykrył. Miałem 50 procesów, teraz mam 41, zadziwiające.. Załączam nowe pliki do analizy. Z góry dziękuję! :D

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza

Infekcja wygląda na usuniętą. Gdyby jakieś programy nie działały to po prostu trzeba przeinstalować.

 

Wykonaj kroki końcowe:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.7601.17514)

"Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza

Wykonałem dzisiaj ponowne skanowanie Sality Killer i Malware bytes dla pewności, i sprawa wygląda tak: Malwarebytes kończy już pendriva, dysk skończył i 0 infekcji, ale SalityKiller ma coś takiego:

Executed registry scripts : 1 i to mnie niepokoi bo to za każdym razem sie pojawia a włączałem sk ponad 3 razy i dalej jest. Czy to jakaś pozostałość p osalitym i czy jest szkodliwa? Jedyne co podczas skanowania napisał to : SalityRegCure: Restoring general registry keys

SalityRegCure: Fixing sytem.ini

Odnośnik do komentarza

Pozostał problem z grami, gdy jakąś włączam wyskakuje błąd: Microsoft visual C++ runtime library r6002 floating point not loaded ---ścieżka pliku---

Reinstall bibliotek redistributable 2005, 2008, 2010 nic nie dał. Co robić? Z góry dziękuję!

 

Edit@ Git po restarcie działają :D

Dzięki wielkie za pomoc!

Odnośnik do komentarza

Sality ponownie odrodził się.. :( I uszkodził wiele .exe'ów jak wcześniej.. Skan Malware bytes był, 3x Sality killer'em, tylko że sk nie wykrywa w procesach sality a ja go widze i wyłączyłęm w autorunie go, temp wiem że tam siedzi to czyszcze ciągle. Załączam pliki po skanowaniu SalalitymKillerem dotąd aż nie wykrywa Sality.

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

Odnośnik do komentarza

Sality nie zawsze łatwo wyleczyć i często jest tak, że kończy się nawet na formacie. Tu wygląda, że zaprawiłeś się na nowo podpinając zainfekowane urządzenie przenośne np. pendrive.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKCU..\Run: [deovuus] C:\Users\Suwak\deovuus.exe (Microsoft)
 
:Files
autorun.inf /alldrives
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz z USBFix z opcji Listing przy podpiętym urządzeniu przenośnym.

Odnośnik do komentarza

Te całe foldery w penku passwords, music, videos itp to musi być on. A z loga usbfix widać procesy Sality. Załączam pliki do analizy i najlepiej proszę napisać co zrobić żeby nie formatować penka 4GB, jedynie plik Extras.txt się nie pokazał po skanie, niewiem czy tak miało być. Podpięte są dwa penki jak coś. Z góry dziękuję!

 

Edit@ Sformatowałem 15GB penka narazie bo tylko tego moge.

Edit 2: a tak pozatym to podczas skanów sk i malwarebytes ja miałem te penki ciągle podłączone więc sam niewiem..

UsbFix.txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza

Witam!

Mam sality 32 ag, infekcja z pendriva, wykonalem juz skanowanie szczepionami od kasperskiego i AVG, rmsality i sality killer, nic juz nie znajduja.

Dodatkowo mbam znajduje malware.packer.gen i nie potrafi go usunac. Po kolejnych skanowaniach wraca.

Prosze o sprawdzenie logow.

Extras sie nie utworzyl. Ale sprobuje przeskanowac jeszcze raz moze teraz bedzie.

P.S - To drugi komputer, ja jestem bratem usera Suwak. Prosze o nieusuwanie 2 tematu.

mbam-log-2012-08-05 (19-46-11).txtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza

Urządzenie ma być teraz podpięte. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
G:\*.lnk
G:\heuixu.exe
G:\heuixu.scr
G:\bjif.pif
G:\deovuus.exe
G:\deovuus.scr
F:\*.lnk
F:\mvoqvp.exe
F:\deovuus.exe
F:\deovuus.scr
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Pokazujesz nowy log z USBFix.

Odnośnik do komentarza

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.

 

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Users\RaZz\kdtoz.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (extras też)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...