Suwak Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Witam, Mój komputer został prawdopodobnie zainfekowany Sality. Po skanie Malware bytes wykryło Malware pack.gen, Sality 4 razy i win32 trojan agent. Ten sality siedzi mi w procesach i da się go wyłączyć no i wtedy niektóre programy, gry zaczynąją nie oddawać żadnych błędów ale znam tego wirusa i on jest odnawialny po resecie, nawet po jego usunięciu. Wirusy powodują błędy w grach nagle zaczyna brakować redistributabli, które były i są.. ale dalej pisze że ich niema no i to napewno wina wirusów.. C:\Users\Suwak\AppData\Local\Temp\winhhbfgj.exe to wykryło jako sality. Niewiem też co to jest proces heuixu. Załączam dwa pliki do analizy. Z góry dziękuję! Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-2361097646-1335871073-520347403-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" [2012-06-17 11:16:55 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Suwak\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-07-03 09:54:07 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Suwak\AppData\Roaming\mozilla\Firefox\Profiles\79lbkczj.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2361097646-1335871073-520347403-1000..\Run: [heuixu] C:\Users\Suwak\heuixu.exe (Microsoft) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz daj znać co pokazał SalityKiller. Odnośnik do komentarza
Suwak Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 No prosze jak miło. Miałem cały zawalony temp, a teraz kilka pliczków Jeśli chodzi o podpunkt 3 to go nie zrobiłem bo nie miałem w dodaj lub usuń programy tego toolbara przez panel miałem zrobić więc myśle że o ten sposób chodziło. Chociaż dalej wyskakują błęby z redistributablami to myśle że sality jest wykończony. SalityKiller nic nie wykrył. Miałem 50 procesów, teraz mam 41, zadziwiające.. Załączam nowe pliki do analizy. Z góry dziękuję! OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 4 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Infekcja wygląda na usuniętą. Gdyby jakieś programy nie działały to po prostu trzeba przeinstalować. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Suwak Opublikowano 4 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Wykonałem dzisiaj ponowne skanowanie Sality Killer i Malware bytes dla pewności, i sprawa wygląda tak: Malwarebytes kończy już pendriva, dysk skończył i 0 infekcji, ale SalityKiller ma coś takiego: Executed registry scripts : 1 i to mnie niepokoi bo to za każdym razem sie pojawia a włączałem sk ponad 3 razy i dalej jest. Czy to jakaś pozostałość p osalitym i czy jest szkodliwa? Jedyne co podczas skanowania napisał to : SalityRegCure: Restoring general registry keys SalityRegCure: Fixing sytem.ini Odnośnik do komentarza
Landuss Opublikowano 4 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Jak dla mnie, to nic niepokojącego. Ostatnie logi wyraźnie pokazały, ze Sality to już historia Odnośnik do komentarza
Suwak Opublikowano 4 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Pozostał problem z grami, gdy jakąś włączam wyskakuje błąd: Microsoft visual C++ runtime library r6002 floating point not loaded ---ścieżka pliku--- Reinstall bibliotek redistributable 2005, 2008, 2010 nic nie dał. Co robić? Z góry dziękuję! Edit@ Git po restarcie działają Dzięki wielkie za pomoc! Odnośnik do komentarza
Suwak Opublikowano 5 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 Sality ponownie odrodził się.. I uszkodził wiele .exe'ów jak wcześniej.. Skan Malware bytes był, 3x Sality killer'em, tylko że sk nie wykrywa w procesach sality a ja go widze i wyłączyłęm w autorunie go, temp wiem że tam siedzi to czyszcze ciągle. Załączam pliki po skanowaniu SalalitymKillerem dotąd aż nie wykrywa Sality. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Sality nie zawsze łatwo wyleczyć i często jest tak, że kończy się nawet na formacie. Tu wygląda, że zaprawiłeś się na nowo podpinając zainfekowane urządzenie przenośne np. pendrive. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [deovuus] C:\Users\Suwak\deovuus.exe (Microsoft) :Files autorun.inf /alldrives netsh firewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz z USBFix z opcji Listing przy podpiętym urządzeniu przenośnym. Odnośnik do komentarza
Suwak Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Te całe foldery w penku passwords, music, videos itp to musi być on. A z loga usbfix widać procesy Sality. Załączam pliki do analizy i najlepiej proszę napisać co zrobić żeby nie formatować penka 4GB, jedynie plik Extras.txt się nie pokazał po skanie, niewiem czy tak miało być. Podpięte są dwa penki jak coś. Z góry dziękuję! Edit@ Sformatowałem 15GB penka narazie bo tylko tego moge. Edit 2: a tak pozatym to podczas skanów sk i malwarebytes ja miałem te penki ciągle podłączone więc sam niewiem.. UsbFix.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Suwak Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Witam! Mam sality 32 ag, infekcja z pendriva, wykonalem juz skanowanie szczepionami od kasperskiego i AVG, rmsality i sality killer, nic juz nie znajduja. Dodatkowo mbam znajduje malware.packer.gen i nie potrafi go usunac. Po kolejnych skanowaniach wraca. Prosze o sprawdzenie logow. Extras sie nie utworzyl. Ale sprobuje przeskanowac jeszcze raz moze teraz bedzie. P.S - To drugi komputer, ja jestem bratem usera Suwak. Prosze o nieusuwanie 2 tematu. mbam-log-2012-08-05 (19-46-11).txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Urządzenie ma być teraz podpięte. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files G:\*.lnk G:\heuixu.exe G:\heuixu.scr G:\bjif.pif G:\deovuus.exe G:\deovuus.scr F:\*.lnk F:\mvoqvp.exe F:\deovuus.exe F:\deovuus.scr :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z USBFix. Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\RaZz\kdtoz.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (extras też) Odnośnik do komentarza
Suwak Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Proszę. UsbFix.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Masz usunięte pliki infekcji z pendrivów więc nie powinieneś się już infekować. Jeżeli problemu nie ma to klik w Sprzątanie w OTL. I przypominam o aktualizacjach bo nadal nie zrobiłeś tak jak w poprzednim twoim temacie polecałem. Odnośnik do komentarza
Suwak Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Zaaktualizowałem do service pack 1 winde a do prawdopodobnie ostatnich: adobe readera, internet explorer i mozille, tak jak pisałeś. Problem rozwiązany, wielkie dzięki Odnośnik do komentarza
Suwak Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Wstawiam nowe logi. Mam nadzieje ze tym razem o niczym nie zapomnialem. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Nic tu więcej nie widać. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Konieczna aktualizacja systemu do Service Pack 1 Odnośnik do komentarza
Suwak Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Ok. Wykonalem sprzatanie z otl. Dziekuje za pomoc. Temat można zamknać. Odnośnik do komentarza
Rekomendowane odpowiedzi