РЕШЕН Trojan Dropper и Sality

[dan40o]

1. Днес изтеглих SuperAntiSpyware и сканирах и ми откри Trojan Dropper в OLEMDB32.dll не съм го трил, сканирах с MalwareBytes Anti-malware нищо не откри. Ето логовете:

mbam-log-2012-12-06 (22-48-00).txt
SUPERAntiSpyware Scan Log.txt



2. Също така от скоро време, MalwareBytes Anti-malware открива Virus.Sality в едно .exe на една моя игра и пробвах да изтегля играта от друго място пак го засече като Sality. До колкото знам Sality се разпространява доста бързо из компютъра спира регистратурата, диспечера на задачите, но при мен те не бяха спрени. Бях изтрил играта, но днес пак я инсталирах, сега не засича нищо, ако се появи нещо ще пиша.

[s.feradov]

Изпитвате ли някакви проблеми, свързани с работата на системата?

 

Същевременно, изпълнете следните стъпки:

 

Mоля, качете във VirusTotal следния файл:

C:\WINXP\SYSTEM32\OLEMDB32.DLL

Ако бъде изписано File already analysed изберете бутон Reanalyse и кажете резултата в следващия Ви коментар.

 

Изтеглете DDS от BleepingComputer.

• Запишете файла на Вашия десктоп.
  
• Прекратете временно работата на всички скрипт блокиращи приложения. След това стартирайте DDS с двоен клик на иконата, като потвърдите с Run.
  
• След приключване на работата на DDS копирайте текста от двата log-файла, които ще се появят: DDS.txt и Attach.txt и ги запазете на Вашия десктоп.

Копирайте и поставете съдържанието на DDS.txt и Attach.txt в следващия Ви коментар.

[dan40o]

Системата стартира много бавно, имам предвид, че когато вече се покаже десктопа чак след около 5 минути мога да си пусна интернета както и някои програми също така не мога да отворя My Computer веднага, ако го направя излиза едно фенерче.

 

ето снимки от VIRUS TOTAL:

 

Ето логове от DDS:

 

 

attach.txt

dds.txt

[s.feradov]

Изтеглете Kaspersky Virus Removal Tool.

• Запазете файла на Вашия десктоп.
  
• Стартирайте инструмента.
  
• Изберете Settings (иконата, която прилича на зъбно колело).
  
• Маркирайте checkbox-а, намиращ се пред My Computer.
  
• Изберете опция Actions.
  
• Изберете радио-бутона пред Select action и маркирайте checkbox-а, намиращ се пред Disinfect.

Уверете се, че не е избрана опцията Delete if disinfection fails.

• Изберете Automatic Scan и натиснете бутона Start Scanning.

Важно: Ако по време на сканиране, програмата Ви попита за дадено действие, изберете опция Skip.

• След края на проверката изберете Report (иконата, която наподобява лист хартия).
  
• Изберете Detected Threats -> Save.

Запазете файла в директория по Ваше желание и го прикачете към следващия Ви коментар.

 

Затворете инструмента. Той ще се деинсталира автоматично.

[dan40o]

Имам няколко въпроса:

1. Защо Malwarebytes Anti-Malware не засича този Sality целия ми компютър е заразен със Sality. Въпреки това ползвам модула за защита от Malwarebytes.

2. Защо пише, че сканирането с Kaspersky Removal Tool ще отнеме 21 часа, ако е вярно това аз не разполагам с толкова много време.

3.Kaspersky ми изтри всички .exe файлове и половината ми програми дори и системни файлове, не знам дали след рестарт ще ми тръгне операционната система.

[s.feradov]

1. Защо Malwarebytes Anti-Malware не засича този Sality целия ми компютър е заразен със Sality. Въпреки това ползвам модула за защита от Malwarebytes.

 

Sality е PE-infector и заразява голяма част от изпълнимите файлове. Също така, това може да е пропуск в дефинициите на самия софтуер.

 

3.Kaspersky ми изтри всички .exe файлове и половината ми програми дори и системни файлове, не знам дали след рестарт ще ми тръгне операционната система.

 

A изпълнихте ли стъпките точно както е описано? Защото по това, което казвате, съдя че са избрани опции, които не съм опоменал за маркиране.

[dan40o]

Всичко съм изпълнил по-горе. Лошото сега е че инструмента на касперски заби и не иска да се покаже стои минимизиран. Въпреки това съм оставил системата и не пипам нищо.

[s.feradov]

В такъв случай оставете инструмента още около 10 минути. Ако до тогава не се възстанови нормалната му работа, може да го спрете. Откъде разбрахте, че KVRT е изтрил голяма част от изпълнимите Ви файлове?

[dan40o]

Tool-чето изваждаше малък прозорец в който пише името на файла, с какво е заразен и дали е премахнат, а и видях малка част от лог файла. Инструмента не може да бъде спрян защото е заключен от системата, това е грешката която ми дава при опит да спра програмата.

[s.feradov]

След като инструментът отчита голям брой инфектирани файлове и се държи по този начин, то най-вероятно борбата със Sality е загубена кауза. Това е полиморфен вирус и дори той да бъде премахнат, не е сигурно какви ще са последствията върху работата на системата.

[dan40o]

То е ясно че ще преинсталирам Windows, но искам да попитам понеже на един приятел от толкова вируси беше му се заразил BOOT-сектора и не искаше да стартира дъмпваше сини екрани, и etc. Дали при мен ще стане така ? Каква антивирусна програма бихте ми препоръчали за новия Windows ?

 

За щастие успях да запазя лог файл от инструмента на касперски. Ето лога:

kaspersky.txt

[s.feradov]

Да, както и предполагах. Заразени са доста изпълними файлове.

 

Тъй като имам малко работа, ще Ви отговоря по-късно днес. През това време, избегнете работата с каквато и да е ценна информация. Ако някой от колегите прецени, може да отговори вместо мен.

[dan40o]

Каква антивирусна програма бихте ми препоръчали за новия Windows ?

[Night_Raven]

Просто преинсталация може да не е достатъчна. Единственият сигурен начин да се отървеш напълно от Sality е да пренацепиш наново целия твърд диск. Неприятно, но за жалост всички други варианти крият рискове да остане някъде някое копие от вируса.

Относно антивирусната, няма чак такава голяма разлика между повечето.

[dan40o]

За жалост това в момента е невъзможно да стане, имам много важна информация на хард диска.

 

И все пак, благодаря много за отговорите.