Poważny problem- możliwy wirus Salita

Witam,

Postaram się jak najlepiej przedstawić mój problem, gdyż zmagam się z nim już od 3 dni i nie wiem co dalej. Bardzo proszę o pomoc.

Problem opisałem krok po kroku dlatego taki długi post.

System Windows 7 64 bit Legalny

Intel i5 3570k

4GB RAM Goodram Play

Jeżeli będzie potrzebne coś jeszcze to proszę pisać.

 

3 dni temu ściagnąłem cracka do pewnego programu- wiem mój błąd za który teraz płacę i to słono… (oczywiscie antywirus -> Avira Antyvirus sygnalizował że to wirus, ale często też, tego typu pliki są traktowane jako 

złośliwe oprogramowanie a tak naprawdę nim nie są, więc dodałem do wyjątku. Jeżeli się nie mylę to ta sygnatura wirusa: TR.Rogue.11393467.1 ) no i zaczęły się moje kłopoty.

Wszystko niby zadziałało. Uruchamiam ponownie komputer, loguję się i wywala mi czarny ekran i po chwili w prawym dolnym rogu “Ta kopia systemu Windows nie jest oryginalna” - a jest oryginalny.

Szybko się zorientowałem że to musi być wirus. Odłączyłem komputer od Internetu -pomogło. Powróciła samoczynnie moja tapeta -ale tylko to. 

System Aero jakby w ogóle się nie włączał i pasek startu mam cały popielaty wraz z obramówkami folderów itp. Nie da się tego nigdzie przestawić. 

Na razie to jeszcze nic takiego -teraz się dopiero zaczyna.

 

Kilka programów mi wysiadło ale w dziwny sposób -jakby je coś poblokowało:

-SIW (System Information for Windows)

-Windows Media Player

  • jeszcze taki programik od dźwięku-nie sterownik (THX Studio Pro)

We wszystkich przypadkach program się uruchamia by po chwili wywaliło “Program przestał działać”

Natomiast zaraz po kolejnych restartach systemu jeszcze doszło to:

-MMLoadDrv.exe -przy którym również komunikat “Program przestał działać”.

 

A więc rozpocząłem skan systemu podstawowym antywirusem : “Avira Free Antywirus”  -nic nie znalazł

Miałem drugi właśnie przeznaczony do tego typu ciężkich wirusów (jak się już wtedy zorientowałem): “Malwarebytes Anti-Malware” -nic nie znalazł

 

Jako że mam drugi dysk i zupełnie oddzielny na nim system Windows Vista Home, uruchomiłem go i zainstalowałem na nim antywirusa Avira (tego samego) i rozpocząłem

skan tamtego dysku i nic.

Uruchomiłem system w trybie awaryjnym i… SIW działa normalnie, błąd MMLoadDrv.exe się NIE pojawia. 

Tylko windows media player się nie uruchamia ale to zapewne przez brak odpowiednich uruchominych usług systemowych w tym trybie.

Przeprowadziłem kolejne skany w/w programami antywirusowymi. 

Malwarebytes wykrył zainfekowany klucz rejestru -dodałem do kwarantanny i następnie usunąłem (nie przywracałem tylko usunąłem).

Nic nie pomogło. Uruchamiam ponownie w trybie awaryjnym skanuje tym samym programem i znów ten sam klucz zainfekowany. Wkurzyłem się dodałem do kwarantanny i po ścieżce dostępu

ręcznie usunąłem z rejestru a następnie z kwarantanny. Nie pomogło ogółem, choć ten wirus już się nie pojawiał. 

Jako że jestem trochę obeznany w systemach (4 rok Technikum Informatycznego) uruchomiłem komputer w trybie “czysty rozruch”. I najdziwniejsze jak dla mnie było to, 

że tam programy wywalały ten sam błąd co przy normalnym uruchamianiu! !!
Przeprowadziłem proces sprawdzania dysku w poszukiwaniu błędów i nic.

 

 

W końcu trafiłem na wątek w sieci: http://forum.dobreprogramy.pl/usuwanie-znanych-wirus%C3%B3w-sality-itp-t308140/

 

Zastosowałem się do większości z wymienionych metod wykrycia wirusa polimorficznego -Sality:

1.Wyłączyłem na wszystkich dyskach przywracanie systemu

2.Ściągnąłem ComboFix i uruchomiłem (najnowszy LOG załączony)

3.Zastosowałem OTL (najnowszy LOG załączony)

4.Zastosowałem AVG Remover slt 

5.DrWeb CureIT

6.Zastosowałem  Kaspersky Virus Removal Tool

 

Zrobiłem to na trybie awaryjnym. Kilka z nich wykryło mi różne wirusy- ale w zupełnie starych plikach sprzed kilku tygodni.

Tylko Kaspersky Remove Tool wykrył w końcu ,między innymi w tym miejscu ślad Sality: C:\Documents and Settings\Marcin\Ustawienia lokalne\Google\Chrome\User Data\Default\File System\016\t\00\00000000

Okazało się że w folderze Documents and Settings wykrył 3 tego typu wirusy ale tylko dwa mogłem usunąć trzeci jakby zniknął i mogłem dać tylko opcję “skip” co też uczyniłem.

Chciałem ręcznie przeszukać ten folder ale okazało się: “Odmowa dostępu” -czy to normalne?

Uruchomiłem ponownie Kaspersky Remove Tool (cały czas tryb awaryjny) i nic więcej nie znalazł.

Dzisiaj (trzeciego dnia) skorzystałem z ostatniej skutecznej i znanej mi metody: zastosowałem LiveCD … antywirusa.

Wykrył on ponad 200 różnych złośliwych plików (w tym też te w kwarantannie Aviry) ale też w tych starych plikach oraz co mnie najbardziej przejeło również taki plik: MBR_HardDisk0.mbr

Nie znam się za bardzo na tego typu skanowaniu systemu ale większość z tych plików usunąłem a kilka dodałem do kwarantanny. 

Również kilka starych plików zostawiłem -głównie instalki różnych programów.

 

Uruchamiam normalnie system a tu stary dobry błąd na nowo: -MMLoadDrv.exe  “Program przestał działać” i pozostałe te które nie działały na początku nadal się nie działają.

System jakby trochę przymulał na początku…

Próbuje wyjąć płytkę LiveCD antywirusa z napędu a wywala mi błąd “niepowodzenie peracji” czy coś podobnego -reset systemu i przy starcie się udało.

 

Moje pytanie jest takie: Czy te programy zostały uszkodzone i wystarczy ich reinstalacja, bo czytałem że polimorficzne dodają swój złośliwy kod do programów? Czy w systemie mam cały czas polimorfa…? 

 

Rozpocząłem od nowa skanowanie wszystkimi w/w antywirusami oraz skanerami online w w/w temacie o usuwaniu salit w normalnym trybie pracy.

Co można zrobić jeszcze? Jakieś porady?

Bardzo bym prosił o fachowe przejrzenie logów z OTL i ComboFix’a czy coś widać?

 

Zależy mi na czasie bo spędziłęm przy tym problemie jakieś łącznie 20 godzin w przeciagu 3 dni. Prosze bardzo o pomoc.

 

A i bym zapomniał, bardzo ważny objaw: podczas skanowania czy w trybie awaryjnym czy normalnie to zdarzało się że komputer przełączał się w stan “blokady konta” w sensie że trzeba wpisać hasło żeby się z powrotem zalogować na konto. Tak jakby coś mnie wyrzucało z mojego konta w momencie gdy skanuje się system, ale po zalogowaniu antywirus nadal działa.

 

ComboFix.txt

OTL.Txt

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

http://en.wikipedia.org/wiki/Sality

Strasznie złośliwy kod :frowning:

Dziękuję, że nie używam już Windowsa

Nie Crackuj na przyszłość :slight_smile:

Dziękuje, że zainteresowaliście się moim problemem bo bałem się ze zostanę z tym już sam a nie wiem, po woli co już robić.

To tak koniec lania wody. Przeprowadziłem skan tak jak prosiłeś Acorus.

FRST: http://wklej.org/id/1541527/

Addition: http://wklej.org/id/1541529/

 

Co dalej? Taka małą wskazówka, podczas skanu ostatniego programami ComboFix i OTL (tryb normalny systemu) wyświetlił mi się komunikat związany z błędami w jakimś pliku i potrzebą skanu systemu plików za pomocą CHKDSK

Nie widać wirusa.

Błędy odczytane z systemowego podglądu zdarzeń wskazują na plik atklumdisp.dll:

Nazwa aplikacji powodującej błąd: MMLoadDrv.exe
Nazwa modułu powodującego błąd: atklumdisp.dll

Nazwa aplikacji powodującej błąd: THXAudio.exe
Nazwa modułu powodującego błąd: atklumdisp.dll

Nazwa aplikacji powodującej błąd: CCAM.exe
Nazwa modułu powodującego błąd: atklumdisp.dll

Podobno pomaga odinstalowanie ASUS Gamer OSD:

http://answers.microsoft.com/en-us/windows/forum/windows_7-system/weird-application-crashes/a53bd9fe-b263-e011-8dfc-68b599b31bf5

Wszystkie programy > Akcesoria > Wiersz polecenia > Kliknij prawym i wybierz Uruchom jako administrator

Wpisz i zatwierdź enterem: chkdsk c: /f

Zatwierdź sprawdzanie przy następnym uruchomieniu komputera.

Dobra, zrobiłem tak jak napisałeś. Przeprowadziłem skan chkdsk.

Następnie odinstalowałem Asus Gamer OSD i --> pomogło.

Wszystkie programy które nie działały uruchamiają się. Aero też się uruchomiło. Brak błędów. Co ciekawe ikonka programu Gamer OSD była zmieniona na “systemową” taką jak czasem system nie wykrywa tej oryginalnej, ponadto we właściwościach pliku była zmieniona nazwa tego programu. Najważniejsze że pomogło ale nie do końca. 

Po przeprowadzeniu tych powyższych zaleceń Malwarebytes Anti-Malware pokazał komunikat że “nie możliwa była instalacja sterownika od ochrony przed rookit’ami ze względu na możliwą ich aktywność w systemie. Należy ponownie uruchomić komputer w celu instalacji sterownika”. Tak zrobiłem. System się uruchomił ponownie i na samym stracie włączyło się skanowanie systemu. Nic nie wykryło, a cały pulpit był czarny nic się nie pokazywało po za oknem skanera. Uruchomiłem ponownie komputer i wszystko niby działa. 

 

Zacząłem szukać oprogramowania do walki z rookitami i znalazłem takie dwa programy: RookitRevealer oraz F-Secure Blacklight -co dziwne pierwszy nie mógł się uruchomić gdyż wyskoczył znany mi już błąd “Program przestał działać” a po uruchomieniu drugiego był błąd w jego okienku: “F-Secure Blacklight requires Administrator privileges”. Więc uruchomiłem go jako administrator i wtedy wywaliło błąd taki sam jak w tym pierwszym. Czy to nie oznacza że coś dalej mam w systemie?

Zaśmiecasz system przestarzałymi programami typu RookitRevealer itp.

Pobierz i uruchom TDSSKiller

http://support.kaspersky.com/pl/viruses/disinfection/5350

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie

Nic nie wykrył więc chyba czysto :slight_smile:

Wklejam link do raportu z programu TDSSKillerhttp://wklej.org/id/1542482/

Upewniam się tak, bo wiem że bardzo ciężko jest się wyzbyć w 100% wirusów typu Sality oraz Rootkit’ów.

 

Bardzo dziękuje wszystkim za pomoc.

Nie widać żadnej infekcji.