Премини към съдържанието

Препоръчан отговор


След пълен формат на харда, на който се балбукаше Убунту 14.04, реших да сложа позната ми до болка седмица... започнаха едни подскачанки на 360,  едни откривания на Салити....(характерно е, че засичанията някои от тях са на легитимни файлове от диска с драйвери на Асус, които никога до сега не са правили лошотии).  От последните сканирания с Хитмена и 360 не подсказват проблем, но опитното човешко око на отбора ще покаже има ли червеи :)Поради ранния час ли, или поради това, че съм снощен дава ми, че FRST е много дълъг и не може да се добави, като коментар, прикачам и двата файла... ако не правя нещо, както трябва :) ще изкупувам вината си на чужда сватба :)http://i.imgur.com/Kd1pfM3.png - Снимка от 360 

Addition.txt

FRST.txt

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравей,

 

Според лога на FRST няма услуга на Sality, но едва ли засичанията са били фалшива тревога. Дори след 5 формата, ако си ръгал заразени флашки или просто заразата си е била на дял D: (а си форматирал само C:), не е невъзможно да се зарази и C:. Оградените файлове са именно от Sality и използвания от него Autorun.inf и просто ако е заразил файловете на Asus е нормално (принципно чисти файлове да бъдат засечени като инфектирани...все пак Sality именно това прави - заразява изпълнимите файлове на всеки дял). Може пък и Qihoo да се е справил с почистването...което пък вместо бъзици за фалшива тревога, лично на мен ще ми се вдигне в очите, защото по-принцип Sality се чисти трудничко и с повече манипулации. В лога единственото нещо, което ми направи впечатление обаче е странния timestamp за следните файлове...погледни годината:
 

 

2099-07-15 09:49 - 2099-07-15 09:49 - 00008192 __RSH () C:BOOTSECT.BAK
2099-07-15 09:49 - 2014-07-15 16:10 - 00000000 ____D () C:WindowsPanther
2099-07-15 09:49 - 2010-11-21 00:29 - 00383786 __RSH () C:bootmgr
2099-07-15 09:11 - 2099-07-15 09:11 - 00000497 _____ () C:UsershUstleDesktopWindows Update.lnk
2099-07-15 09:06 - 2012-06-03 01:19 - 01933848 _____ (Microsoft Corporation) C:Windowssystem32wuaueng.dll
2099-07-15 09:06 - 2012-06-03 01:19 - 00577048 _____ (Microsoft Corporation) C:Windowssystem32wuapi.dll
2099-07-15 09:06 - 2012-06-03 01:19 - 00053784 _____ (Microsoft Corporation) C:Windowssystem32wuauclt.exe
2099-07-15 09:06 - 2012-06-03 01:19 - 00045080 _____ (Microsoft Corporation) C:Windowssystem32wups2.dll
2099-07-15 09:06 - 2012-06-03 01:19 - 00035864 _____ (Microsoft Corporation) C:Windowssystem32wups.dll
2099-07-15 09:06 - 2012-06-03 01:12 - 02422272 _____ (Microsoft Corporation) C:Windowssystem32wucltux.dll
2099-07-15 09:06 - 2012-06-03 01:12 - 00088576 _____ (Microsoft Corporation) C:Windowssystem32wudriver.dll
2099-07-15 09:06 - 2012-06-02 15:19 - 00171904 _____ (Microsoft Corporation) C:Windowssystem32wuwebv.dll
2099-07-15 09:06 - 2012-06-02 15:12 - 00033792 _____ (Microsoft Corporation) C:Windowssystem32wuapp.exe
2099-07-15 08:59 - 2099-07-15 08:59 - 00001397 _____ () C:UsershUstleAppDataRoamingMicrosoftWindowsStart MenuProgramsInternet Explorer.lnk
2099-07-15 08:59 - 2099-07-15 08:59 - 00000020 ___SH () C:UsershUstlentuser.ini
2099-07-15 08:59 - 2099-07-15 08:59 - 00000000 __SHD () C:Recovery
2099-07-15 08:59 - 2099-07-15 08:59 - 00000000 ____D () C:UsershUstleAppDataLocalVirtualStore
2099-07-15 08:59 - 2099-07-15 08:59 - 00000000 ____D () C:UsershUstle
2099-07-15 08:59 - 2009-07-14 07:42 - 00000000 ___RD () C:UsershUstleAppDataRoamingMicrosoftWindowsStart MenuProgramsAccessories
2099-07-15 08:59 - 2009-07-14 07:37 - 00000000 ___RD () C:UsershUstleAppDataRoamingMicrosoftWindowsStart MenuProgramsMaintenance
2099-07-15 08:54 - 2099-07-15 08:54 - 00001345 _____ () C:ProgramDataMicrosoftWindowsStart MenuProgramsMedia Center.lnk
2099-07-15 08:54 - 2099-07-15 08:54 - 00001326 _____ () C:ProgramDataMicrosoftWindowsStart MenuProgramsWindows DVD Maker.lnk
2099-07-15 08:53 - 2099-07-15 08:53 - 00000000 ____H () C:Windowssystem32DriversMsft_User_WpdFs_01_09_00.Wdf

 

Добрата новина е, че няма пачнати системни файлове:

 

C:Windowsexplorer.exe => File is digitally signed
C:Windowssystem32winlogon.exe => File is digitally signed
C:Windowssystem32wininit.exe => File is digitally signed
C:Windowssystem32svchost.exe => File is digitally signed
C:Windowssystem32services.exe => File is digitally signed
C:Windowssystem32User32.dll => File is digitally signed
C:Windowssystem32userinit.exe => File is digitally signed

 

Интересно дали Qihoo е изтрил и сложил под карантина заразените файлове (това не е добра стратегия за системни файлове...за чужди тела е ок, но не и за системни)...или е почистил заразените файлове в стил (SalityKiller на Kaspersky) и сега всичко да си е ок... Какво виждаш и от VirusTotal е малко вероятно да е било фалшива тревога...явно си има; скрит агент на Sality и си го задействал при инсталацията (защото при нова инсталация Autorun е включен по-подразбиране)...

  • Харесва ми 2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравей. Да това, което ми показваш като година и на мен ми направи впечатлени, не можеше да си пусна ъпдейтите на системата поради именно това бъгване, ако мога така да го нарека.
Публикувано изображение
Форматирах целия хард, като първо си обединих дяловете, формат и после разделих на ново.
Щом казваш, че не виждаш нищо притеснително, значи аз няма какво повече да се притеснявам. По отношение на 360, постави гадините под карантина, не ги изтри директно, аз ги премахнах после ръчно от там. Направих една генерална грешка, сложих защитата в края на инсталацията просто не исках да разрешавам пред 2-3 мин инсталацията на всичките ми програми...

Благодаря за отделеното време :)

Редактирано от hUstle (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

То поставянето им под карантина пак е опасно...дори да си кажеш, после ще ги възстановя оттам (ако е изтрила важен системен компонент и не можеш да буутнеш какво правим)? :)

А иначе след обяснението ти за мен явно са били вградени в релийза на Windows-a...друг път ползвал ли си го...вярвай само на MSDN с непроменени контролни суми (MD5)...

 

Не е зле обаче да направиш и една проверка със SalityKiller за всеки случай на цялата система, както и с Kaspersky Virus Removal Tool:

 

1. Изтегли SalityKiller и го запази на десктопа.
Изключи интернет достъпа и след това сканирай с него по описания по-надолу начин:

  • [*]Изтегли
SalityKiller и запази инструмента на десктопа. [*]Отвори Start => Run в полето въведи CMD => натисни Enter => след това  с copy/paste копирай командата и я постави в черния прозорец на CMD с десен бутон на мишката => paste "%userprofile%desktopsalitykiller.exe" -n -r -x -a -j -k -l c:report.txt [*]Изчакай проверката да завърши. [*]След като тя приключи, публикувай съдържанието на лог файла C:report.txt в следващия си пост.

 

 

2.Направи една проверка с Kaspersky Virus Removal Tool

След като изтеглиш инструмента, изключи достъпа до интернет.

След като стартираш инструмента, отиди до Settings (Иконата, която прилича на звездичка) сложи отметка пред My Computer.
Публикувано изображение

От опциите за почистване избери Disinfect => но не избирай delete if disinfection fails.

Публикувано изображение

Върни се до Automatic Scan и натисни Start Scanning.

Публикувано изображение

Ако по време на сканирането те попита за дадено действие избери skip.
 

След като приключи проверката избери Report (Иконата която прилича на листче) => Detected Threats избери SAVE и запази документа на десктопа.

Публикувано изображение

Kопирай съдържанието му в следващия си пост.
Затвори инструмента - това ще до деинсталира автоматично.

  • Харесва ми 3

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ок, ще пусна една проверка линка за SalityKiller, Ви е изтекъл, аз го изтеглих от сайта на касапа, обаче, само при стартирането и почна да сканира..Уиндоуса ми е чист, преинсталирам с него от много време.... по-скоро ще е нещо друго. От MSDN е.

Редактирано от hUstle (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Линка е оправен и знам, че със стартиране започва да сканира, но няма да сканира със желаните параметри...най-добре го спри и го стартирай чрез Command Prompt-a. ;)

  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Публикувано изображение нищо не е намерено, лога е  88 мб, ако искаш мога да ти го кача някъде...

Редактирано от hUstle (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ами не, щом казваш, че няма нищо намерено, вярвам ти.

Все пак е добра идея да спреш Autorun с инструмента на MS, да спреш и пуснеш System Restore за да се почистят старите точки за възстановяване, да имунизираш системата си с Usbfix => Vaccination, да сканираш и почистиш всички налични флашки, външни дискове и други външни медии за съхранение (без CD/DVD разбира се) и ако решиш да направиш една SFC /SCANNOW проверка или даже Repair Install... Тук вече ти си преценяваш. :)

 

 

Поздрави!

  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Спирането на тези ауторъни няма ли да попречи на буутващите се програми ? Ако реша да буутвам през биоса ?И ако спра аутиръните, после как мога да ги пусна ...?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не, няма да попречи...това важи главно за флашките, не за биос-а или програмите стартиращи с Windows.

Пускането става с друг инструмент (може и ръчно разбира се).

  • Харесва ми 3

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Благодаря, за отделеното време, всичко хубаво Жоре.

  • Харесва ми 1

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Няма проблеми...маркирам случая като ПРИКЛЮЧЕН, защото нямаше и какво да чистим. :)

Поздрави и хубав weelend! :)

  • Харесва ми 2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!

Нова регистрация

Вход

Имате регистрация? Влезте от тук.

Вход

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Горещи теми в момента

  • Подобни теми

    • от Владиславов
      Помощ! От два дена компютъра се рестартира сам на всеки 5 минути. Проверявах с анти вирусната,анти троянската,трих регистри и т.н. Това се случи след един ъпдейт на компютъра. Уиндоуса ми е лицензиран.Помогнете!
    • от krasimirson
      Здравейте,
      След препоръка на @DarkEdge и като продължение на темата в раздела на Интернет и Wi-Fi, прикачвам логовете след сканиране с FRST. 
      Накратко, потенциално инфектираната система изпитва проблеми с Wi-fi връзката (бавен интернет, трудно връзване към Wi-fi, чести прекъсвания, висок пинг) като състоянието за последната седмица се влошава, прерастващо от бавна скорост до невъзможност за връзване към Wi-fi и негативно влияние върху интернет връзката на устройства в близост до потенциално заразеното. Пример за последното:
      При свързване на потенциално заразеното устройство (лаптоп) към Wi-fi, пингът на друго устройство (тестови лаптоп) в близост се покачва между 1000 и 3000 пъти като след кратко време пропада и интернет връзката му. Прикачен е скрийншот от Command Prompt тест на пинга: http://prikachi.com/...48/9322348n.jpg
      Предварително благодаря за отделеното време и помощ.
       
      Addition.txt
      FRST.txt
      Моделът на лаптопа е Asus K555L, а OS е Windows 10. 
    • от Stoichev
      Здравейте! Напоследък лаптопът лагва и работи доста бавно. Ще бъда благодарен за помощта.
      Addition.txt
      FRST.txt
    • от Бисер Петков
      В другата тема  писах, че флашката е повредена след включването и в телевизор Самсунг. Има файл с име СМ0013 който си мисля, че е вируса според прояетеното в нета. Бях помолен да пусна тема тук и да прикача логовете за проверка: 
       
      Addition.txt
    • от Бисер Петков
      Уважаеми приятели отново съм пред сага. Трета поредна флашка 64гб- марка Сан диск и Кингстън ми дават проблем. За какво иде реч след като кача видео фаилове гледайки ги на компа са перфектни като качество и бързина  но поставени в уж модерните телевизори започват да забиват и спира картината. въпроса ми е къде е проблема . Благодаря ви предварително.
  • Дарение

×

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите условия за ползване.