Win32 Sality jak sobie z nim poradzić?


(Buy Me) #1

Witajcie

Mam taki problem. Już drugi raz formatuję komputer i objaw jest ten sam czyli zablokowany rejestr i menadżer urządzeń. Za każdym razem skanowałem komputer Kasperskym, Arca Virem i wywalałem wszystkie pliki jakie były zarażone. Potem ponawiałem skan i jeśli nic nie było formatowałem dysk. niestety po pewnym czasie (kilka godz.) problem się pojawiał ponownie! :frowning:

Logi hijack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:53:02, on 2008-12-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\Webroot\WebrootSecurity\WRConsumerService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\WebrootSecurity\SpySweeper.exe

C:\Program Files\Webroot\WebrootSecurity\SpySweeperUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Webroot\WebrootSecurity\SSU.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [NvCplDaemon] "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "C:\WINDOWS\system32\nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [TrojanScanner] "C:\Program Files\Trojan Remover\Trjscan.exe" /boot

O4 - HKLM\..\Run: [WLSS] "C:\Program Files\Compal\Wireless Select Switch\WLSS.exe"

O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\WebrootSecurity\SpySweeperUI.exe" /startintray

O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto

O4 - HKCU\..\Run: [CTFMON.EXE] "C:\WINDOWS\system32\ctfmon.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Wyślij do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Smart Watchdog Service (Smart Watchdog) - Unknown owner - C:\Program Files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. (http://www.webroot.com) - C:\Program Files\Webroot\WebrootSecurity\SpySweeper.exe

O23 - Service: Webroot Client Service (WRConsumerService) - Webroot Software, Inc. - C:\Program Files\Webroot\WebrootSecurity\WRConsumerService.exe


--

End of file - 5806 bytes

combofix:

ComboFix 08-12-07.01 - levuss 2008-12-08 20:58:40.1 - NTFSx86

(Leon$) #2

1.zrobić pełny format wszystkich dysków i partycji bez wyjątków

2.nie korzystać z żadnych sterowników będących wcześniej na zarażonym kompie wgrywać z oryginalnych płyt lub pobierać ze stron producenta

3.zaopatrzyć się w konkretny antywirus proponuję Kaspersky Anti-Virus http://www.kaspersky.pl/download.html?s=trial

  1. po postawieniu systemu i zabezpieczeniu antywirem możesz próbować wgrywać skopiowane wcześniej pliki ale musisz za każdym razem przed kopiowaniem sprawdzić zgraną płytę lub inną pamięć skanerem antywirusowym aby wyeliminować tę zarazę

powodzenia


(Buy Me) #3

A w inny sposób się nie da?


(Leon$) #4

to jest najszybszy i najpewniejszy sposób

lub możesz to robić tygodniami a wygląda to tak

usuwasz pliki z wirusami

teraz system jest bez niektórych plików systemowych

więc te pliki uzupełniasz przez instalację nakładkową

w między czasie zaraza się rozprzestrzenia

powtarzasz te zabiegi kilkakrotnie może się uda a może nie

musisz mieć przy tym dobrego antywirusa i dużo czasu

skanujesz - usuwasz - dogrywasz i tak w kółko

wiesz że Sality atakuje wszystkie exe i nie tylko

zajęcie na zimę która się zaczyna zapewnione

:slight_smile:


(Buy Me) #5

A czy sality atakuje pliki rar?. Na wszystkich dyskach mam ponad 170GB danych, większość filmy i ciężko będzie mi to przerzucić. Czy mogę np jedną partycję sformatować i na nią wrzucić same pliki bez rozszerzenia exe? a potem to samo robić z kolejną?


(Apdjs) #6

pliki które chcesz zachować zgraj na płytę ale wcześniej przeskanuj dobrym programem antywirysowym


(Buy Me) #7

Panowie, ale ta infekcja musi mieć gdzieś swoje źródło jeśli dobrze myślę.


(ybu) #8

Nic nie wymyślisz.Pozostaje Ci tylko zastosować się do porad Leon$ i apdjs.

Inaczej to będziesz miał walkę z wiatrakami,która i tak prawdopodobnie zmusi Cię do kompletnego formatu,aby pozbyć się tego dziadostwa.


(Buy Me) #9

A możecie mi powiedzieć czy ten wirus zaraża pliki a archiwach rar i iso?


(Buy Me) #10

Ponawiam pytanie. czy ten wirus zaraża pliki w archiwach rar? bo jak na razie archiwa są czyste i mam w nich bardzo ważne rzeczy. Pliki exe. z całego dysku są już wywalone. Czy partycje mogę formatować z poziomu Windowsa?


(Asterisk) #11

Proszę zastosować się do tego Tematu i edytować własnego posta

w celu zmiany jego tytułu na konkretny.

W przeciwnym razie topic wyląduje w Śmietniku.

BTW.

Logi wklejasz na http://wklej.eu lub na http://wklej.org,

a w poście dajesz tylko link


(Buy Me) #12

Ponawiam pytanie. czy ten wirus zaraża pliki w archiwach rar? bo jak na razie archiwa są czyste i mam w nich bardzo ważne rzeczy. Pliki exe. z całego dysku są już wywalone. Czy partycje mogę formatować z poziomu Windowsa?