Skocz do zawartości

Win32.Sality zżera wszystko co napotka


matri

Rekomendowane odpowiedzi

Zainfekowany pendrive i stało się, Win32.Sality (przynajmniej tego gada tak pokazuje avast) rozlał się na wszystkie .exe. Najbardziej obawiam się, że nie przywrócę do stanu pierwotnego wszystkim moich instalek, niestety trzymam je na kompie a nie na płycie no i ten gad rozlał się. Jednak postanowiłem spróbować a więc zgodnie z instrukcją.

Addition.txt

OTL.Txt

Extras.Txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niestety przy infekcji Sality nie da się nic innego zrobić, jak próbować leczyć pliki, a te których się nie da lub zostały leczeniem uszkodzone całkowicie wyrzucić. Sality jest infekcją zbyt obszerną, by uzyskać 100% pomyślne wyniki, i tak jest zalecany format, nawet jeśli teoretycznie skanery jakoś się z tym uporają. Podane tu logi (skoncentrowane na dysku C) to jedynie malutki wycinek z systemu i na ich podstawie nie jestem nawet w stanie stwierdzić zakresu dewastacji wykonywalnych, nie wspominając już o tym, że są aż trzy partycje, Sality atakuje wszystkie dostępne:

 

==================== Drives ================================

 

Drive c: () (Fixed) (Total:42.64 GB) (Free:0.35 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive d: () (Fixed) (Total:24.67 GB) (Free:0.65 GB) NTFS

Drive e: () (Fixed) (Total:230.78 GB) (Free:3.17 GB) NTFS

 

Co widzę obecnie w Twoich logach:

 

- To jakiś modyfikowany nieoryginalny XP instalowany z nośnika zrobionego via nLite. Wykazuje też syndromy staroci: stary IE7, potwornie stary Avast 4.8. Stosowałeś ComboFix, nie dostarczyłeś wynikowego raportu i prawdopodobnie go już nie ma (nie widzę na dysku pliku C:\ComboFix.txt). On tu zresztą nie pomoże, nie jest antywirusem i nie leczy zainfekowanych plików. Skutki uboczne użycia ComboFix: "uzupełnił" usługi sztucznie wycięte z Twojego XP przy udziale nLite, tworząc serię zdewastowanych niedziałających usług. I nie wiadomo co jeszcze ComboFix zmajstrował na systemie zmodyfikowanym.

 

==================== Drivers (Whitelisted) ====================

 

U5 Browser; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation)

U5 lanmanserver; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation)

U5 Messenger; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation)

U5 Netlogon; C:\WINDOWS\system32\lsass.exe [13312 2008-04-15] (Microsoft Corporation)

 

- Pośrednie ślady Sality są. Brak wprawdzie widocznego sterownika Sality, ale na wszystkich dyskach są ukryte pliki autorun.inf Sality, w Zaporze systemu są też charakterystyczne autoryzacje z oznaczeniem "ipsec" oznaczające infekcję owych programów. System jest też zanieczyszczony innymi szkodnikami (Reboot.exe w starcie i adware).

 

O32 - AutoRun File - [2014-10-06 18:38:07 | 000,000,235 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2014-10-06 18:38:07 | 000,000,251 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2014-10-06 18:38:07 | 000,000,277 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]

 

========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" = C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe:*:Enabled:ipsec

"C:\WINDOWS\system32\nwiz.exe" = C:\WINDOWS\system32\nwiz.exe:*:Enabled:ipsec

"C:\Program Files\Common Files\Java\Java Update\jusched.exe" = C:\Program Files\Common Files\Java\Java Update\jusched.exe:*:Enabled:ipsec

"C:\Program Files\Mozilla Firefox\plugin-container.exe" = C:\Program Files\Mozilla Firefox\plugin-container.exe:*:Enabled:ipsec -- (Mozilla Corporation)

"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:ipsec -- (Microsoft Corporation)

 

 


Widząc to wszystko stawiałabym system od zera. Jeśli mimo wszystko się zdecydujesz kontynuować czyszczenie, wstępnie:

 

1. Pobierz SalityKiller. Wykonaj nim skan do skutku. Musi być powtórzony tyle razy, aż będzie odczyt zero zainfekowanych. Dopiero po tym:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f
CMD: netsh firewall reset
R1 {572f484b-455f-44b0-9d6a-da3ad2071365}t; C:\WINDOWS\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}t.sys [55232 2014-05-22] (StdLib)
S2 Update webporpoise; "C:\Program Files\webporpoise\updatewebporpoise.exe" [X]
Startup: C:\Documents and Settings\Lewandowski\Menu Start\Programy\Autostart\Reboot.exe ()
AlternateShell:
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\All Users\Dane aplikacji\Conduit
C:\Documents and Settings\All Users\Dane aplikacji\FileOpen
C:\Documents and Settings\All Users\Dane aplikacji\ParetoLogic
C:\Documents and Settings\Lewandowski\Dane aplikacji\.ACEStream
C:\Documents and Settings\Lewandowski\Dane aplikacji\DriverCure
C:\Documents and Settings\Lewandowski\Dane aplikacji\FileOpen
C:\Documents and Settings\Lewandowski\Dane aplikacji\ParetoLogic
C:\Documents and Settings\Lewandowski\Dane aplikacji\RoxTemp
C:\Documents and Settings\Lewandowski\Dane aplikacji\RST
C:\Documents and Settings\Lewandowski\Ustawienia lokalne\Dane aplikacji\Eraser 6
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}t.sys
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Odinstaluj stary Avast. Po tym zastosuj Avast Uninstall Utility. Na razie nie instaluj najnowszej wersji, to zrobimy potem.

 

4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

5. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) i USBFix z opcji Listing (o ile możliwe, zrób go przy podpiętym zainfekowanym pendrive). Dołącz też plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

SalityKiller użyłem już 2 razy przed rejestracją na forum, pliki .exe były niby wyleczone. Jednak avast znów coś wykrył więc zarejestrowalem się tutaj. Wykonałem dziś jeszcze raz skan. Jest "czysto". Niektóre pliki .exe można odpalić, niektóre już nie.

 

XP pirat z SP3 już cały obraz był, rozumiem, że nie dostanę nigdzie czystej kopii z SP3 tylko trzeba oryginał. Przy USBFix wyskakuje mi taki komunikat jak na załączonym obrazku.

 

Do tej pory nie narzekałem, bo mam procek tylko 1.3 Ghz, 512 RAM i jakoś ten avast dawał radę, zawsze były komunikaty ale teraz ktoś bez mojej wiedzy wyłączył całą ochronę, podpiął ten pendrive i stało się.

 

edit:

Zapomniałem zajrzeć na dysk C i tam był log z USBFix (mimo tego błędu), dodam, że pendrive był już wcześniej sformatowany

FRST.txt

Fixlog.txt

post-14193-0-71360000-1412764160_thumb.jpg

Odnośnik do komentarza

Przy USBFix wyskakuje mi taki komunikat jak na załączonym obrazku.

(...)

Zapomniałem zajrzeć na dysk C i tam był log z USBFix (mimo tego błędu), dodam, że pendrive był już wcześniej sformatowany

Czy ten log USBFix coś zawiera? Jeśli tak, pokaż go. I dodaj mi skan root wszystkich dysków - otwórz Notatnik i wklej w nim:

 

S3 catchme; \??\C:\DOCUME~1\LEWAND~1\USTAWI~1\Temp\catchme.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
CMD: dir /a C:\
CMD: dir /a D:\
CMD: dir /a E:\
CMD: dir /a X:\
RemoveDirectory: C:\Documents and Settings\Lewandowski\Pulpit\Stare dane programu Firefox
DeleteQuarantine:

 

W linii CMD: dir /a X:\ pod X: podstaw literę pod jaką obecnie widać pendrive. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

Niektóre pliki .exe można odpalić, niektóre już nie.

Te których nie da się odpalić są do śmieci. To pliki uszkodzone infekcją, bądź jej leczeniem. Są nienaprawialne i muszą być zastąpione nowymi plikami.

 

 

XP pirat z SP3 już cały obraz był, rozumiem, że nie dostanę nigdzie czystej kopii z SP3 tylko trzeba oryginał.

Nie mogę tu wspierać piractwa, ani podawać konkretów, ale w podbramkowej sytuacji można wyszukać obraz ISO XP SP3, ale tzw. "clean" niemodyfikowany. Twój obraz płyty jest mocno przekształcony przez nLite (wycięte określone komponenty, możliwe że więcej niż widać).

 

 

 

 

.

Odnośnik do komentarza

Na dyskach są nadal pliki Sality. Kolejna poprawka. Otwórz Notatnik i wklej w nim:

 

D:\hpgdwl.exe
E:\eiusao.exe
E:\gcls.exe
RemoveDirectory: C:\RECYCLER
RemoveDirectory: D:\RECYCLER
RemoveDirectory: E:\RECYCLER

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...

Fix wykonany zgodnie z planem. "Moved" a nie "Removed", bo FRST przenosi pliki do kwarantanny, tylko dla folderów jest ekstra (i opcjonalna) opcja permanentnego usuwania, którą użyłam dla folderów Koszy. To nie ma znaczenia, kwarantannę FRST i tak zawsze opróżniam na końcu. Jako że upłynęło trochę czasu, na wszelki wypadek pobierz najnowszy FRST i zrób mi nowy log FRST, by sprawdzić czy coś się nie zmieniło. Ponadto, podsumuj co się obecnie w systemie dzieje, gdzie są problemy.

Odnośnik do komentarza

Ostatni fixlog był już robiony na najnowszej wersji.

 

Podsumowując na chwilę obecną oprócz tego, że muszę zainstalować ponownie system to raczej nic się nie dzieje, pliki .exe które były zarażone zostały usuniętę, te które nie dały się wyleczyć także Są pliki .exe które działają poprawnie ale nie wiem czy wszystko z nimi OK, ponieważ nie mam Avasta, być może jak go zainstaluję to przy scanie mi wyskoczy, że Win32.Sality jest obecny.

FRST.txt

Shortcut.txt

Addition.txt

OTL.Txt

Odnośnik do komentarza

Poza tym co już omawialiśmy wcześniej, żadnych nowych niepokojących śladów. Przed reinstalacją systemu jeszcze wykonaj to:

 

1. Zastosuj DelFix, co powinno usunąć folder C:\FRST z kwarantanną.

 

2. Zainstaluj najnowszą wersję Avast. Wykonaj pełny skan wszystkich trzech partycji C:, D:, E:. Zgłoś się tu z wynikami co skaner wykrył.

 

 

 

.

Odnośnik do komentarza

Ok, najpierw uruchomiłem DelFix, log w załączniku, następnie nowy Avast. Pierwszy skan (całościowy) wykazał 14 zagrożeń (to pewnie pliki które były "wyleczone" przez SalityKiller), przeniosłem do kwarantanny i usunąłem, zrobiłem reset systemu i kolejny pełny skan. W załączniku podaję screen.

 

Nie wykazał nic, zrobiłem restart i wykonałem trzeci pełny skan który także nic nie wykrył. Pendrive sformatowałem już w chwili użycia USBFix'a.

DelFix.txt

post-14193-0-65110000-1414501939_thumb.png

Odnośnik do komentarza

DelFix pomyślnie wykonał zadanie, możesz skasować log C:\DelFix.txt. Na zrzucie ekranu z Avast nie widać gdzie konkretnie były wykryte te wirusy - w jakich ścieżkach. I jeśli na 100% pełny skan wszystkich partycji nic już nie wykazuje, to myślę że to na razie koniec zmagań. Na dalszą metę:

 

- Reinstalacja XP przy użyciu płyty niemodyfikowanej i uzupełnienie wszystkich aktualizacji z Windows Update.

- Zabezpieczenie świeżego systemu przed wykonywaniem infekcji typu autorun.inf (czyli m.in. Sality) za pomocą Panda USB Vaccine (opcja Computer Vaccination). Aktualny system już został zabezpieczony w ten sposób, to samo co Panda zrobiła komenda w skrypcie FRST:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f

 

 

 

.

Odnośnik do komentarza

1. Pierwsze co wykonać po instalacji nowego systemu to:

- Zabezpieczenie świeżego systemu przed wykonywaniem infekcji typu autorun.inf (czyli m.in. Sality) za pomocą Panda USB Vaccine (opcja Computer Vaccination).

 

Czy mam to robić z podpiętym, sformatowanym pendrive'em?

 

2. Czy mogę teraz podpiąć inny sformatowany dysk na który chciałbym przenieść większe pliki .avi? Jest on sformatowany, bez systemu, czysta partycja. Nie przeniesie się nic na niego? Po ponownym zainstalowaniu systemu chciałbym z powrotem te pliki .avi przenieść na dysk główny ten który był leczony.

Odnośnik do komentarza

Czy mam to robić z podpiętym, sformatowanym pendrive'em?

Ja mówię o opcji Computer Vaccination (do wykonania jako pierwsza) - to jest zabezpieczenie systemu poprzez edycję rejestru, która powoduje, że system przestaje interpretować pliki autorun.inf, obecność pendrive nie ma z tym nic wspólnego. Oczywiście pendrive też można później zabezpieczyć stosując w Pandzie opcję USB Vaccination, która utworzy na urządzeniu zablokowany plik autorun.inf.

 

 

Czy mogę teraz podpiąć inny sformatowany dysk na który chciałbym przenieść większe pliki .avi?

Możesz. Pliki AVI nie są zresztą atakowane przez Sality.

 

 

 

.

Odnośnik do komentarza
  • 1 rok później...

Znów Win32 Sality, tym razem nie z pendrive'a ale nie widzę plików autorun.inf. Nie skaczę po systemie aby go nie roznieść (chociaż pewnie sam to robi) tylko przeglądarka i programy do diagnostyki. Uprzedzając, posypuję głowę popiołem, wiem, że stary avast, nielegalny Windows 7 SP1 x64 jednak załączam logi.

 

Edit: Ok jednak zrobię format

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Edytowane przez matri
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...