Win32.Sality.Gen@94752119

[Asia]

Witam

 

Załapałam wirusa Win32.Sality.Gen@94752119 i niestety nic nie idzie zrobić. Zaraziło chyba większość aplikacji. Tryb awaryjny = blue screen. Wszystko się zawiesza po chwili, cudem udało mi się zrobić te logi.

 

Edit:

Zrobiony został skan całego komputera. Usunęło pliki .exe z około 50 aplikacji od Javy przez Mozille, Painta do regedit, cmd, taksmgr.

gmer.txt

OTL.Txt

Extras.Txt

[picasso]

Tryb awaryjny = blue screen.

 

Sality kasuje całkowicie z rejestru klucz Trybu awaryjnego. Będziemy to naprawiać.

 

 

Zrobiony został skan całego komputera. Usunęło pliki .exe z około 50 aplikacji od Javy przez Mozille, Painta do regedit, cmd, taksmgr.

 

Czym był skanowany system? Rozumiem, że logi pochodzą sprzed tego skanowania? W OTL widać czynną usługę Sality:

 

DRV - File not found [Kernel | On_Demand | Running] --  -- (aic32p)

Jest również ślad infekcji poświadczający zainfekowane źródło USB:

 

O33 - MountPoints2\{d1336203-23e3-11e0-86f7-001fd076471a}\Shell - "" = AutoRun
O33 - MountPoints2\{d1336203-23e3-11e0-86f7-001fd076471a}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE  .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE  .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

 

1. Pobierz SalityKiller i zrób nim ponowny skan.

 

2. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Odetnij drogę do wykonawstwa autorun.inf. W Panda USB Vaccine zaaplikuj opcję Computer Vaccination.

 

4. Restart systemu i zweryfikuj czy Tryb awaryjny działa.

 

5. Przedstaw: wyniki z SalityKiller oraz zestaw nowych logów z OTL + GMER (programy pobierz od nowa). Jeśli uporamy się z wirusem, pójdzie kosmetyka (w aktualnej fazie rzecz całkowicie podrzędna i nie mająca znaczenia).

 

 

 

.

[Asia]

Skanowane było Comodo Internet Security Premium

 

Tryb awaryjny działa.

 

Co do SalityKiller to żaden log się nie utworzył. Gdzie on powinien być?

 

Edit: Skany są z trybu awaryjnego. Po wejściu w tryb normalny znów wyskoczył ten wirus i tryb awaryjny przestał działać. Zdaje mi się że przez to że Comodo się wpychał więc robię ponowny skan SalityKillerem bez Comodo i Netu

OTL.Txt

gmer.txt

[picasso]

Co do SalityKiller to żaden log się nie utworzył. Gdzie on powinien być?

 

Program domyślnie nie tworzy raportu (należało przekleić z okna wyniki przed zamknięciem lub wywołać program z parametrem tworzenia raportu). Chodziło mi o ogólny opis czy SalityKiller coś robił.

 

 

---

 

Oceniając logi: problem z wirusem wygląda na zażegnany, ponieważ nie widzę już usługi Sality oraz zrekonstruowany Tryb awaryjny się utrzymał (czynny Sality natychmiast zeruje naprawę i ponownie usuwa awaryjny). Jeśli skaner antywirusowy nie wykrywa żadnych zarażonych plików programów, to Sality udało się zwalczyć. Upewnij się w tej kwestii, w przeciwnym wypadku wirus będzie się systematycznie rozprzestrzeniał. Natomiast, nie jest znana zawartość dysku G, który co dopiero podpięłaś, tylko tyle wiem, że przejechany jest Pandą, która zablokowała na nim własny zabezpieczający plik autorun.inf. Na wszelki wypadek podaj mi dokładny spis co jest na tym dysku.

 

1. Uruchom OTL, wszystkie opcje ustaw na Brak i Żadne, za to w oknie Własne opcje skanowania / skrypt wklej:

 

:Files
DIR /S /A G:\ /C

Przedstaw wynikowy log. Po ocenie tego raportu podam ostateczny skrypt czyszczący śmieci.

 

2. Jest tu także oznaczony ubytek usługi Instalator systemu Windows:

 

SRV - File not found [On_Demand | Stopped] --  -- (MSIServer)

Sprawdź czy na dysku jest plik C:\Windows\system32\msiexec.exe. Następnie:

 

Start > Uruchom > regedit i wyszukaj klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer

 

Z prawokliku wyeksportuj go do pliku formatu TXT (a nie REG) i pokaż tu.

 

 

EDIT:

 

Edit: Skany są z trybu awaryjnego. Po wejściu w tryb normalny znów wyskoczył ten wirus i tryb awaryjny przestał działać. Zdaje mi się że przez to że Comodo się wpychał więc robię ponowny skan SalityKillerem bez Comodo i Netu

 

Nie widziałam edycji. To zmienia postać rzeczy! Przede wszystkim należy usunąć wirusa z systemu. Skany rób do skutku.

 

 

.

[Asia]

Powinno być dobrze już.

G: = pendrive

gmer.txt

msi server.txt

OTL.Txt

OTL-g.Txt

[picasso]

Czyli mam rozumieć, że: na dyskach nie pozostał ani jeden zainfekowany plik oraz ponownie przywrócony Tryb awaryjny już działa? Potwierdź to.

 

 

1. Jeśli chodzi o poszkodowaną usługę MSIServer, to wpisy w rejestrze są w porządku, czyli to pliku musi brakować na dysku. Spakowany plik msiexec.exe w wersji XP SP3: KLIK. Rozpakuj i wstaw do katalogu C:\WINDOWS\system32.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj śmieci Facemoods Toolbar i Ask Toolbar. Aczkolwiek możliwe, że deinstalacja zwróci błąd, bo widzę "subtelne" ślady, że ktoś tu jakby już coś na chama przeczyszczał (zapominając jednak o wejściach w Dodaj / Usuń).

 

3. Następnie usuwanie wpisów odpadków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
SRV - File not found [Auto | Stopped] --  -- (StarWindServiceAE)
SRV - File not found [On_Demand | Stopped] --  -- (Microsoft Office Groove Audit Service)
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.selectedEngine: "Facemoods Search"
O3 - HKU\S-1-5-21-682003330-1677128483-2147132391-500\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [unlockerAssistant]  File not found
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -  File not found
O9 - Extra Button: IE WebDeveloper V2 - {D851CEE8-86A0-440C-B8F4-DA7DA99B5765} -  File not found
O9 - Extra 'Tools' menuitem : IE WebDeveloper V2 - {D851CEE8-86A0-440C-B8F4-DA7DA99B5765} - Reg Error: Value error. File not found
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} -  File not found
O34 - HKLM BootExecute: (rmslt.nt) -  File not found
 
:Files
RECYCLER /alldrives
C:\TMP*.html
C:\32788R22FWJFW
C:\Program Files\FunWebProducts
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie automatycznie restartował. Po restarcie otrzymasz log z usuwania.

 

4. Przedstaw: log otrzymany z usuwania w punkcie 2 3 oraz nowe logi z OTL z opcji Skanuj.

 

 

PS. CWShredder i HijackThis 1.99.1 = nie nadają się do niczego na dzień dzisiejszy.

 

.

[Asia]

Tak. Po kilku restartach awaryjka działa. W ostatnim skanowaniu tym killerem nie znalazło już żadnego zainfekowanego pliku.

 

1. Wirus zainfekował i Comodo usunął potem. (Zapomniałam napisać - sorry)

 

2. Facemood usunięty z listy, ask toolbar nie ma w ogóle

 

3. ok

 

4. otl - ok, chyba chodziło o log z punktu 3

OTL.Txt

04112011_195603.txt

[picasso]

4. otl - ok, chyba chodziło o log z punktu 3

 

Tak, moja pomyłka, bo zmieniłam numerowanie punktów w instrukcjach.

 

 

2. Facemood usunięty z listy, ask toolbar nie ma w ogóle

 

W pierwszym Extras widziałam to na liście Dodaj / Usuń:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

 

1. Start > Uruchom > regedit i skasuj klucz Ask Toolbar oraz MountPoints2:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2

 

2. W OTL wywołaj funkcję Sprzątanie, co usunie kwarantannę programu i sam program.

 

3. Aktualizacja:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java™ 6 Update 19
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish

Oba w/w do deinstalacji i zastąpienia najnowszymi wersjami: INSTRUKCJE.

 

4. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

Podsumuj czy wszystko w porządku.

 

 

 

 

.

[Asia]

Podczas deinstalacji:

 

Nie można uzyskać dostępu do usługi Instalator Windows. Może mieć to miejsce, jeśli system win jest uruchamiany w trybie awaryjnym lub IW jest niepoprawnie zainstalowany. (oczywiście jestem w trybie normalnym)

 

Podczas instalacji javy - to samo

[picasso]

Nie można uzyskać dostępu do usługi Instalator Windows. Może mieć to miejsce, jeśli system win jest uruchamiany w trybie awaryjnym lub IW jest niepoprawnie zainstalowany. (oczywiście jestem w trybie normalnym)

 

Był tu notowalny problem z usługą MSIServer (czyli Instalatora Windows), brakowało pliku i go uzupełniłam w wersji w jakiej przedstawia się Twój system. Skoro nadal są problemy, to się nasuwa iż szkody wirusowe zaszły może dalej niż to widać. Zacznijmy od przeładowania całego Instalatora poprzez instalację najnowszej wersji: Windows Installer 4.5. Po tym zresetuj system i ponów próbę (de)instalacji programów.

[Asia]

Ok. Przeszło

Dziękuję Ci bardzo za uratowanie systemu i za poświęcony czas. Prosiłabym jednak o niezamykanie tematu gdyż podczas przywracania wszystkich aplikacji i sprawdzania systemu mogą wyniknąć jakieś błędy.

 

Pozdrawiam

Edytowane 12 Maja 2011 przez picasso
12.05.2011 - Upłynął miesiąc, nie zgłosiłaś żadnego problemu. Temat zamykam. //picasso