Podejrzenie zarażenia wirusem Sality


(R3D BuLL) #1

Witam. Wczoraj godzina (ok. 20:30) z głupiego powodu pobrałem na dysk pewnien plik. Była to forma wygaszaczu ekranu - oczywiście avast nawet nie drgnął ( nic nie wykrył - już pożegnaliśmy się). Ten wirus ma za zadanie wysyłać złodziejowi propozycje wymian skinów w CS:GO - jeżeli potwierdzi możemy pożegnać się z modelami. Na szczęście bardzo szybko zareagowałem i usunąłem intruza z dysku. Lecz nie mam pewności czy czegoś nie zostawił po sobie i czy przypadkiem został na komputerze. Od razu szybko użyłem AdwCleanera (szukaj - usuń), chciałem jeszcze użyć Dr Web - lecz pojawił się pewien problem. Po próbie odpalenia instalki .exe wyskoczył nieznany mi problem - (nazwa) nie jest aplikacja systemowa Win32 ( coś w ten deseń). A więc Sality! - i to jest jedyna objawa tego wirusa, wszystkie inne przypadki mnie nie dotyczą - a więc problemy z menadżerem zadań czy coś podobnego. Chociaż są jakieś dziwne procesy. Chciałbym, o pomoc fachowca od tych spraw - wykonałem niezbędne logi ( na dole zamieszczone). Dodam też, że z tego samego pliku u kolegi wykryło trojana więc sam już nwm czy to napewno Sality. Aha! - Wykonałem przywrócenie systemu ( jakieś 2 tygodnie) - pobrałem dla pewności 6 plików .exe ( od kilku  do 200 mb) problem się już nie pojawił.

 

 

OTL

Extras.txt ---> http://www.wklej.org/id/1546723/

OTL.txt ---> http://www.wklej.org/id/1546725/

 

FRST

 

Addition.txt ---> http://www.wklej.org/id/1546730/

FRST.txt ---> http://www.wklej.org/id/1546731/

 

 

 

 


(Acorus) #2

Odinstaluj PodoWeb,TornTV,Yet Another Cleaner!.Otwórz Notatnik i wklej:

Task: {CB192CC3-957B-4C5F-974A-7642171F2056} - \Driver Booster Update No Task File ==== ATTENTION
BootExecute: autocheck autochk * BootDefrag.exe
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dsts=1411916862from=ilduid=HGSTXHTS541010A9E680_JDA0001V1BL4BH1BL4BHXq={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dsts=1411916862from=ilduid=HGSTXHTS541010A9E680_JDA0001V1BL4BH1BL4BHXq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dsts=1416143040from=ilduid=HGSTXHTS541010A9E680_JDA0001V1BL4BH1BL4BHXq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dsts=1416143040from=ilduid=HGSTXHTS541010A9E680_JDA0001V1BL4BH1BL4BHXq={searchTerms}
BHO: pricecohiop - {51DA483D-B5DF-B60C-E3BE-04B1000C8F63} - C:\Program Files (x86)\pricecohiop\UqxzVYv1.x64.dll ()
BHO-x32: PodoWeb 1.0.0.4 - {980b8a8f-ea0b-4c24-a2e9-70635e2502e9} - C:\Program Files (x86)\PodoWeb\PodoWebBHO.dll (PodoWeb)
CHR Extension: (PodoWeb) - C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofbadnfgflalgnlglgchfonmpoiiclig [2014-12-03]
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2014-08-08] (Elex do Brasil Participações Ltda)
R2 Update PodoWeb; C:\Program Files (x86)\PodoWeb\updatePodoWeb.exe [523504 2014-12-03] ()
R2 Util PodoWeb; C:\Program Files (x86)\PodoWeb\bin\utilPodoWeb.exe [523504 2014-12-03] ()
S2 servervo; No ImagePath
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [247488 2014-08-08] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [45248 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [78016 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [65216 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Program Files (x86)\Elex-tech\YAC\iSafeNetFilter.sys [49320 2014-08-06] (Elex do Brasil Participações Ltda)
R1 {9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64; C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64.sys [48776 2014-11-12] (StdLib)
R1 {98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64; C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64.sys [48776 2014-11-12] (StdLib)
R1 {b2aa7bb9-5668-402a-97c7-7dabffe0f82d}Gw64; C:\Windows\System32\drivers\{b2aa7bb9-5668-402a-97c7-7dabffe0f82d}Gw64.sys [48776 2014-12-02] (StdLib)
R1 {c0b542ce-0b43-4536-9ff3-886eaf9fb44c}Gw64; C:\Windows\System32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}Gw64.sys [48776 2014-11-16] (StdLib)
S3 EagleX64; \\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
2014-12-02 22:16 - 2014-12-02 03:55 - 00048776 _____ (StdLib) C:\Windows\system32\Drivers\{b2aa7bb9-5668-402a-97c7-7dabffe0f82d}Gw64.sys
2014-12-02 21:10 - 2014-12-02 21:10 - 00000000 ____ D () C:\Users\Maciek\AppData\Roaming\Elex-tech
2014-12-02 20:45 - 2014-12-02 21:09 - 00000000 ____ D () C:\AdwCleaner
2014-11-16 16:45 - 2014-11-16 05:23 - 00048776 _____ (StdLib) C:\Windows\system32\Drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}Gw64.sys
2014-11-16 16:13 - 2014-11-16 16:13 - 00477528 _____ () C:\Users\Maciek\Downloads\trzCE29.tmp
2014-11-16 16:13 - 2014-11-16 16:13 - 00477528 _____ () C:\Users\Maciek\Downloads\trz14CA.tmp
2014-11-16 16:08 - 2014-11-16 16:08 - 00477528 _____ () C:\Users\Maciek\Downloads\trz7733.tmp
2014-11-16 14:04 - 2014-12-02 22:11 - 00000000 ____ D () C:\Program Files (x86)\SupTab
2014-11-16 14:03 - 2014-12-02 22:23 - 00000000 ____ D () C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com
2014-11-13 18:21 - 2014-11-12 23:24 - 00048776 _____ (StdLib) C:\Windows\system32\Drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64.sys
2014-11-12 22:34 - 2014-11-12 09:31 - 00048776 _____ (StdLib) C:\Windows\system32\Drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64.sys
2014-11-12 21:32 - 2014-12-03 17:41 - 00000000 ____ D () C:\Program Files (x86)\PodoWeb
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(R3D BuLL) #3

Mam problem z usunięciem Yet Another Cleaner! Po odpaleniu uninstala program przechodzi przez cały proces, pojawia się okienko o odinstalowaniu produktu po czym żaden plik nie zostaje skasowany. Próbowałem usunąć jako administrator - czy dodam za pomocą zakładki zabezpieczenia czy za pomocą opcji usuń - pojawia się napis żeby uzyskał prawa administratora ( mino że je ustawiam to one same się zmieniają)

 

Fixlog.txt —> http://www.wklej.org/id/1546873/


(Acorus) #4

Pokaż nowy log z FRST bez Addition.


(R3D BuLL) #5

FRST.txt —> http://www.wklej.org/id/1546926/ - tutaj była opcja addition i shortcut ( pomyliłem)

FRST.txt —> http://www.wklej.org/id/1547087/ - tutaj było bez opcji addition i shortcut

 

Dodam, że od wczoraj ( zaraz po wirusie ) pojawił się problem i mam go do teraz co 10 minut skacze mi ping (cs 1.6) nawet do 1000 (śr 700) - staje się to już bardzo upierdliwe. Postanowiłem sprawdzić w czasie tego obciążenie procesora ( w grze( bez laga średnio 18%) - w czasie laga śr 28% - max zauważyłem 35%)


(Acorus) #6

Otwórz Notatnik i wklej:

HKLM\...\Run: [Logitech Download Assistant] = C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch
HKU\S-1-5-21-1578943105-3038046114-2532560029-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.default-search.net?sid=476aid=132itype=nver=12349tm=340src=hmp
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2014-08-08] (Elex do Brasil Participações Ltda)
R2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [123632 2014-12-03] ()
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [247488 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [78016 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [65216 2014-08-08] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Program Files (x86)\Elex-tech\YAC\iSafeNetFilter.sys [49320 2014-08-06] (Elex do Brasil Participações Ltda)
2014-12-03 20:50 - 2014-12-03 20:50 - 00000000 ____ D () C:\Users\Maciek\Downloads\FRST-OlderVersion
2014-12-03 20:00 - 2014-12-03 20:00 - 00000000 ____ D () C:\Users\Maciek\AppData\Roaming\Elex-tech
2014-12-03 19:50 - 2014-12-03 19:50 - 00000000 ____ D () C:\Users\Administrator.Maciek-Komputer\AppData\Roaming\Elex-tech
2014-12-03 19:48 - 2014-12-03 19:48 - 00000000 ____ D () C:\Users\Administrator.Maciek-Komputer\AppData\Roaming\isafe
2014-12-02 22:12 - 2014-10-26 18:24 - 00000000 ____ D () C:\Users\Maciek\AppData\Roaming\eCyber
2014-12-02 22:12 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\Maciek\AppData\Local\Chromatic Browser
2014-12-02 22:12 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\HomeGroupUser$\AppData\Local\Torch
2014-12-02 22:12 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\HomeGroupUser$\AppData\Local\Chromatic Browser
2014-12-02 22:12 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\Gość\AppData\Local\Torch
2014-12-02 22:12 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\Gość\AppData\Local\Chromatic Browser
2014-12-02 22:12 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\Administrator\AppData\Local\Torch
2014-12-02 22:11 - 2014-10-26 18:24 - 00000000 ____ D () C:\Program Files (x86)\Elex-tech
2014-12-02 22:11 - 2014-09-17 08:36 - 00000000 ____ D () C:\Program Files (x86)\GGouSoave
2014-12-02 22:11 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\Maciek\AppData\Local\Comodo
2014-12-02 22:11 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\HomeGroupUser$\AppData\Local\Comodo
2014-12-02 22:11 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\Gość\AppData\Local\Comodo
2014-12-02 22:11 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\Administrator\AppData\Local\Comodo
2014-12-02 22:11 - 2014-08-11 15:22 - 00000000 ____ D () C:\Users\Administrator\AppData\Local\Chromatic Browser
2014-12-02 22:11 - 2014-08-11 15:22 - 00000000 ____ D () C:\ProgramData\Trusted Publisher
2014-12-02 22:11 - 2014-08-11 15:22 - 00000000 ____ D () C:\Program Files (x86)\pricecohiop

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(R3D BuLL) #7

FRST

 

Fixlog.txt —> http://www.wklej.org/id/1547822/

FRST.txt —> http://www.wklej.org/id/1547826/  (  nowy log bez addition)

 

Problem z usunięciem folderu FRST. Przed wykonaniem Fixa usunął się bez problemu - lecz po procesie pojawia się ten sam błąd co w YAC. Podejrzewam że dlatego gdyż folder Elex-tech a więc YAC znajduje się w Quarantine.

 

Skan wykonany. 58 elementów się pojawiło wszystko przeszło pomyślnie.

 

PS/// dodam że wczoraj skanowałem komputer skanerem online od eseta, wykrył około 190 zagrożen (większość to niepożądane aplikacje ale pojawiło sie też około 20 koni trojańskich). Nwm czy 20 brać za równowage 20 koni ( czy np 5- opis poniżej przedstawia problem) gdyż jedna lokalizacja określała kilka koni np.

 

lokalizja - koń trojański

tasamalokalizacja - koń trojański

tasamalokalizacja - koń trojański itp. i później pojawiała się już inna lokalizacja i znów powtórka do 5 koni do jednej lokalizacji i kolejna ( wyszło około 20 trojanów czyli nwm może 4 lokalizacje)

inna lokalizacja - koń trojański

 

Skan Malwarebytes nie wykazał trojanów


(Acorus) #8

Otwórz Notatnik i wklej:

ShellIconOverlayIdentifiers: [00avast] - {472083B0-C522-11CF-8763-00608CC02F24} = No File
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - No Path
S2 appstoreService; C:\Program Files (x86)\Elex-tech\YAC\appstore\appstoreSvc.exe [X]
S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X]
R1 iSafeKrnl; \\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X]
R1 iSafeKrnlKit; \\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X]
R1 iSafeNetFilter; \\C:\Program Files (x86)\Elex-tech\YAC\iSafeNetFilter.sys [X]
2014-12-02 22:13 - 2014-10-26 18:24 - 00000000 ____ D () C:\Users\Maciek\AppData\Roaming\iSafe
2014-12-02 22:11 - 2014-10-26 18:24 - 00000000 ____ D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(R3D BuLL) #9

FRST

 

fixlog.txt —> http://www.wklej.org/id/1547904/

FRST.txt —> http://www.wklej.org/id/1547906/?hl=


(Acorus) #10

To wszystko.


(R3D BuLL) #11

Dziękuję bardzo za pomoc i przeznaczony czas. Problem z występującym lagiem się nie pojawił. Dziękuje jeszcze raz.