Win32 Sality-AP + ogólna infekcja

[3MOON]

Witam

 

Nie wiem co to ten gad Sality. Został znaleziony przez Avasta w D:\System Volume Information. Zainfekowanych 137 elementów. Niby usunięte ale boję się, że to lubi się mnożyć przez pączkowanie . W załączniku logi z GMERa i OTL. Puściłem też MBAMa - brak infekcji, oraz ADWCleanera - ten wywalił niby wszystko co znalazł. Nie mam jednak wyniku bo z rozpędu dałem "odinstaluj".

Gmer.txt

OTL.Txt

Extras.Txt

[picasso]

Sality to wirus plików wykonywalnych atakujący wszystkie pliki tego rodzaju na wszystkich dyskach. Nic tu jednak nie wskazuje na czynną infekcję: w raportach brak elementów Sality + skan Avast wykrył tylko zachomikowane kopie w katalogu Przywracania systemu dysku D. Foldery Przywracania czyści się w następujący sposób: KLIK. Niemniej wg raportu OTL Extras Przywracanie jest wyłączone. Włącz je ponownie na wszystkich dyskach + po chwili wyłącz, niech Windows zresetuje wszystkie foldery.

 

========== System Restore Settings ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 1
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 4
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 

I drobne działania dodatkowe (usunięcie zbędników i wpisów pustych):

 

1. Przez Dodaj/Usuń programy odinstaluj: Akamai NetSession Interface (downloader produktów), McAfee Security Scan Plus (instalacja sponsorująca Adobe), Spybot - Search & Destroy (słaby przestarzały skaner).

 

2. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KB972034

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\TKPcFtHk.sys -- (TKPcFt)
DRV - File not found [File_System | On_Demand | Stopped] -- system32\TKFsFt.sys -- (TkFsFtM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\TKFsAv.sys -- (TKFsAvM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\TKCtrl2k.sys -- (TKCtrl)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NPIDS.SYS -- (NPIDS)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NPFWFLT.SYS -- (NPFWFLT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NPFW.SYS -- (NPFW)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Monfilt.sys -- (Monfilt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\FreshDevices\FreshDiagnose\FreshIO.sys -- (FreshIO)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\MADEK\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys -- (cpuz135)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SystemRequirementsLab\cpudrv.sys -- (cpudrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\Serwis\Testery\aida32ee_393\AIDA32.sys -- (AIDA32Driver)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.4.24.0.cab (Reg Error: Key error.)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[3MOON]

Ok zrobione

 

http://www.wklej.org/id/1065369/

 

 

 

[picasso]

Nie mogę otworzyć raportu (wklej.org zwraca błąd 404). Podaj log w załączniku lub na innym serwisie wklejkowym (np. pastebin).

[3MOON]

http://pastebin.com/XVWaZYFv

 

[picasso]

Zadania wykonane. Kończymy:

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1275210071-1788223648-682003330-1003..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\MADEK\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie.

 

3. Odinstaluj stare wersje Adobe i Java, zaktualizuj Firefox oraz pakiet Office 2003: KLIK. Wersje widziane na liście zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl)
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

 

 

.