SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Wirus Sality Pomocy

Tryby wyświetlania wątku
Wirus Sality Pomocy
Danieele31 Offline
Nowicjusz
Liczba postów: 10
Liczba wątków: 2
Dołączył: 23.07.2014
Reputacja: 0
#1
10.09.2014, 23:01
Objawy zainfekowania:
Brak dostępu do partycji, brak trybu awaryjnego

Wykonywane działania:
Skan programem SalityKiller dużo plików zainfekowanych

Logi:
Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS

[Aby zobaczyć linki, zarejestruj się tutaj]

Dzięki
Szukaj
Odpowiedz
Danieele31 Offline
Nowicjusz
Liczba postów: 10
Liczba wątków: 2
Dołączył: 23.07.2014
Reputacja: 0
#2
11.09.2014, 13:08
Przeskanowałem system jeszcze Combofix i Dr Web Curelt
Dyski już się otwierają, tryb awaryjny działa

nowe logi

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#3
11.09.2014, 19:47
Te logi teraz zmieniają całkowicie postać rzeczy.ale ogólnie mam pytanie na czyje polecenie został użyty tutaj combofix?
W regulaminie wyraźnie pisze żeby nie używać tego narzędzia !
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#4
11.09.2014, 20:39
Działamy dalej.

Jeśli masz to dostarcz też ten raport z combofixa.

Od samego początku infekcja była już tylko częściowa brak aktywnośći sality=brak widocznego charakterystycznego sterownika.
Natomiast na dowód że występowała,wskazuje na to cześć naruszeń firewalla klucza -
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"F:\jqndsg.pif" = F:\jqndsg.pif:*:Enabled:ipsec

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKLM\...99B7938DA9E4}\LocalServer32: [Default-wmiprvse]<==== ATTENTION!
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
SearchScopes: HKLM - DefaultScope value is missing.
S3 catchme; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
CMD: netsh firewall reset
Reboot:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń
Pokaż raport z niego.

Ściągnij i uruchom program Panda USB Vaccine

[Aby zobaczyć linki, zarejestruj się tutaj]

Zastosuj opcję Computer Vaccination i zresetuj system.

Następnie podłącz wszelkie urządzenia przenośne typu pendrive do portu usb.

Ściągnij program UsbFix

[Aby zobaczyć linki, zarejestruj się tutaj]

Podaj nowy log z niego klikając w opcję listing.
Szukaj
Odpowiedz
Danieele31 Offline
Nowicjusz
Liczba postów: 10
Liczba wątków: 2
Dołączył: 23.07.2014
Reputacja: 0
#5
12.09.2014, 00:25
Z tym ComboFixem to był mój pomysł, sory nie doczytałem regulaminu
log z tego ComboFix

[Aby zobaczyć linki, zarejestruj się tutaj]


Reszta logów

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

ADWCleaners

[Aby zobaczyć linki, zarejestruj się tutaj]

UsbFix

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#6
12.09.2014, 20:49
Usuń z pena ten plik jqndsg.pif.

Tak poza tym już wygląda to wszystko dobrze.

W menu start > uruchom odinstaluj combofixa za pomocą komendy ,wpisując C:\ComboFix.exe /uninstall

Wykonaj skan programem Sality Killer do skutku, tzn. po pierwszym przebiegu musi być powtórzony tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt >OTL+Extras
Szukaj
Odpowiedz
Danieele31 Offline
Nowicjusz
Liczba postów: 10
Liczba wątków: 2
Dołączył: 23.07.2014
Reputacja: 0
#7
12.09.2014, 22:22
Zrobione
logi
FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#8
14.09.2014, 17:57
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKLM\...99B7938DA9E4}\LocalServer32: [Default-wmiprvse]<==== ATTENTION!
C:\Qoobox
C:\WINDOWS\erdnt
C:\WINDOWS\PEV.exe
C:\WINDOWS\MBR.exe
C:\WINDOWS\NIRCMD.exe
C:\WINDOWS\SWREG.exe
C:\WINDOWS\SWSC.exe
C:\WINDOWS\SWXCACLS.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
DeleteQuarantine:
Reboot:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości