Podejrzane procesy / infekcja Sality

[danieles]

Witam.

Jakiś czas temu miałem problem z wirusem Sality, dzięki waszej pomocy został on wyleczony, ale wszysko wskazuje na to, że znowu powrócil.

Z góry dzięki za pomoc.

 

 

Extras.Txt

OTL.Txt

[picasso]

Cóż, niestety to prawda. Sality grasuje + inna infekcja z przenośnych urządzeń + na dodatek ukryta usługa (pewnie rootkit). Wnioski: masz ciągle urządzenie, które jest zarażone, podpinając je reinfekujesz system.

 

1. Wstępne usunięcie innych infekcji (Sality musi iść innym torem zadaniowym) + blokada na uruchamianie plików autorun.inf. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Files
autorun.inf /alldrives
netsh firewall reset /C
 
:OTL
SRV - [2008-04-14 22:50:36 | 000,137,240 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\jvrlkzi.dll -- (pfhaite)
NetSvcs: pfhaite - File not found
O4 - HKU\S-1-5-21-789336058-1275210071-1606980848-1003..\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation)
O4 - HKU\S-1-5-21-789336058-1275210071-1606980848-1003..\Run: [wsctf.exe] wsctf.exe File not found
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Sony\Sony PC Companion\PCCService.exe -- (Sony PC Companion)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Będziez go prezentował.

 

2. Pobierz SalityKiller. Wykonaj nim skan do skutku. Skan masz powtórzyć tyle razy, aż zwróci zero zainfekowanych. Dopiero wtedy:

 

3. Pobierz Sality_RegKeys. Rozpakuj, uruchom plik SafeBootWinXP.reg i zatwierdź import do rejestru.

 

4. Zrób nowe logi: OTL z opcji Skanuj (ponownie z Extras) + GMER + USBFix z opcji Listing przy podpiętym wszystkich nośnikach. Dołącz log z usuwania OTL z punktu 1. Posumuj też co robił SalityKiller.

 

 

 

.

[danieles]

Dzięki wielkie za pomoc, wykonałem wszystkie punkty.

 

1. Log z usuwania w załączniku.

2. Pierwszy skan 1169 zainfekowanych plików. Drugi kilkanaście. Za trzecim żadnego.

4. Wszystkie logi w załączniku.

 

UsbFix Listing 1 STEPIEN-63962E1.txt

OTL.Txt

Extras.Txt

gmer.txt

log z usuwania.txt

[picasso]

Niestety log z OTL wskazuje, że infekcja Sality nadal obecna: w procesach są obiekty uruchomione z Temp, sterownik Sality nie zniknął (jego zanik jest oznaką nieczynnej infekcji) oraz na dyskach w katalogach głównych siedzą pliki infekcji. Akcje:

1. Uruchom SalityKiller ponownie, by upewnić się czy program na pewno nic nie widzi.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\autorun.inf
C:\kmhtpv.exe
C:\uvihgl.pif
C:\RECYCLER
C:\found.000
D:\autorun.inf
D:\axii.pif
D:\keun.pif
D:\yveqsh93.exe
D:\RECYCLER
E:\autorun.inf
E:\cylu.exe
E:\ldgj.exe
E:\yveqsh93.exe
E:\RECYCLER
E:\found.000
netsh firewall reset /C

:Services
amsint32

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Zrób nowe logi: OTL z opcji Skanuj (ponownie plik Extras) oraz USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 2.



.

[danieles]

SalityKiller nie wykrył żadnej infekcji. Przeprowadziłem skanowanie dwukrotnie.

 

Wszystkie potrzebne logi w załączniku.

 

05202013_160050.txt

Extras.Txt

OTL.Txt

UsbFix.txt

[picasso]

Jedna komenda się nie wykonała. Mój błąd (literówka w skrypcie). Reszta zadań pomyślnie i teraz rzeczywiście wygląda na to, że infekcja nie jest już czynna: sterownik Sality nie odtworzył się, w procesach ustąpiły pliki z Temp, na dyskach nie odtworzyły się żadne ukryte pliki. Czyli na teraz te działania:

 

1. Zaległa niewykonana komenda. Start > Uruchom > cmd, wpisz netsh firewall reset i ENTER.

 

2. Usuń narzędzia: odinstaluj USBFix, w OTL uruchom Sprzątanie, resztę skasuj ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełny skan za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz skan wszystkich dysków, co znacznie wydłuży skan, ale da pewniejsze rezultaty. Jeśli coś zostanie znalezione, przeklej z raportu wyniki (interesują mnie tylko "Detected", inne typy nie).

 

 

 

.

[danieles]

Zrobiłem wszystko co kazałeś. Kaspersky nie znalazł nic ciekawego. To już wszystko czy jeszcze coś mam zrobić?

[picasso]

Apropos "kazałeś" = jestem kobietą. Kasperski "nie znalazł nic ciekawego" czy "nie znalazł niczego"? Jeśli sprawy rzeczywiście wydają się być naprostowane, możemy kończyć:

 

1. Odinstaluj skaner Kasperskiego.

 

2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu siedzą tu:

 

Internet Explorer (Version = 6.0.2900.5512)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

"{AC76BA86-7AD7-1045-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Polish

"{E33DB440-A008-4928-8A4E-5FC5ADDED608}" = OpenOffice.org 2.4

"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)

 

3. Zmień antywirusa. Posługujesz się starym (silnik z roku 2009) ESET NOD32 Antivirus.

 

 

 

 

.

[danieles]

A to przepraszam, po nicku myślałem, że z mężczyzną mam do czynienia.

Kaspersky nie znalazł niczego.

Dzięki wielkie za pomoc Można zamknąć.