Vírus em quase todos os executáveis - Sality.NAC

[megazz]

Ae galera, depois que eu formetei o PC, eu fiquei algum tempo sem anti-vírus (1 semana), mas não entrei em nenhum site que eu pudesse pegar vírus nem nada, usei normal. Depois eu instalei o NOD32 e ficou aparecendo mensagens chatas de vírus em quase todos os executáveis (inclusive uns do próprio windows como o explorer.exe).

Tentei outros anti-vírus e deu na mesma, é só abrir uma pasta com algum executável que já aparece a mensagem chata.

Vejam:



E sempre o tal do "vírus" é o Sality.NAC.

Alguém sabe o que pode ser?

Isso tá chato demais!

[martinSs]

Win32/Sality.NAC

Aliases:

.PE_SALITY (Trend), W32.HLLP.Sality (Symantec), W32/Kookoo (Sophos), Virus.Win32.Sality (Kaspersky)
Tipo: Vírus Win32 parasita encriptado infector de arquivos
Afeta: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP


Introdução

O Win32/Sality é um parasita típico Windows PE-File-Infector.

Após a execução o vírus cria o arquivo %System%\oledsp32.dll

Nota: Devido a versões diferentes do vírus, o arquivo DLL pode também ter o nome de SYSLIB32.DLL, ou SYSDLL.DLL

O virus cria um mutex para prevenir múltiplas instâncias do vírus sendo executadas em um único sistema. O vírus obtém o Original Entry Point (OEP) do arquivo infectado do cabeçalho do arquivo, encripta o valor de entrada antigo, e armazena este ponto de entrada calculado na ultima seção encriptada do arquivo, onde o vírus escreve a si mesmo. O Ponto de entrada original é requerido para executar o arquivo após o código virótico ser executado - de outra forma os programas não poderiam ser executados após o vírus. Isto significa que quando o programa infectado é executado o código do vírus é executado primeiro desde que o vírus 'subscreveu' o ponto de entrada original.

Dependendo da versão do vírus ele fornece acesso backdoor ao sistema comprometido como as seguintes características:

Criar e agir como um servidor proxy
Finalizar e excluir softwares relacionados à segurança, como programas antivírus
Excluir bases de dados antivírus, como *.AVC e arquivos de licença
Ocultar o componente de downloads, que pode então excecutar arquivos que foram 'baixados'
Transferência de informações confidencialk para endereços remotos configuráveis (IPs)
Armazenar teclas digitadas via componente keylogger
Controle baseado em IRC
Notificação dos sistema comprometidos via e-mail para contas de e-mail gratuitas da Rússia.

O vírus se distribui quando os arquivos infectados são executados e checa por acesso a Internet contatando o domínio microsoft.com

Outros Detalhes :

O vírus recebeu atenção especial durante os últimos dias, porque existiram alguns arquivos duplamente infectados, também conhecidos como 'coquetéis', circulando via e-mail. Estes executáveis infectados contém o worm bagle e estão também infectados por este vírus. O vírus contém alguns bugs e pode danificar os arquivos infectados. Algumas das versões deste vírus tem um tempo especial para execução que é ativado a cada dia 10 ou 12 de cada mês e mostra uma caixa de mensagem com informações da versão deste vírus.

Histórico: Análise e Texto por: Michael St. Neitzel
Tradução Por: Equipe de Suporte Técnico - Protagon® Segurança de Dados

Edit:
Nesse site tem um monte de informações e acho que como remover, esta em espanhol mas nada complicado.
http://www.vsantivirus.com/sality-nac.htm

By: GOOGLE

[anderson6060]

Vou resumir pra vc.

""Formata tudo de novo""

Boa sorte.

[Dante's]

By: GOOGLE

Por isso que amo ele(google)

[RodrigoCrazyBoy]

Ae galera, depois que eu formetei o PC, eu fiquei algum tempo sem anti-vírus (1 semana), mas não entrei em nenhum site que eu pudesse pegar vírus nem nada, usei normal. Depois eu instalei o NOD32 e ficou aparecendo mensagens chatas de vírus em quase todos os executáveis (inclusive uns do próprio windows como o explorer.exe).

Tentei outros anti-vírus e deu na mesma, é só abrir uma pasta com algum executável que já aparece a mensagem chata.

Vejam:



E sempre o tal do "vírus" é o Sality.NAC.

Alguém sabe o que pode ser?

Isso tá chato demais!

Camarada esse tipo de virus que vc pegou ele é o seguinte quando vc instala o anti virus ele usa o anti virus pra infectar tudo ou seja se o arquivo .exe, se o .exe não for mexido ele não sera infectado mais quando vc passa o anti virus ele verifica tudo e sai infectando tudo, a maneira de vc remover esse virus era sem instalar o anti virus remover ele na marra, mais agora ja infectou tudo então a unica maneira de remover é = FORMAT C:

XD

[megazz]

É galera, fiz isso que passaram aí nesse tutorial em espanhol.

Com o NOD atualizado iniciei o Windows em modo de segurança e passei a o scan.

Acho que foram excluídos uns 1500 executáveis, e o pior que eram backup de programas que ficavam na unidade D. Então tive que excluir mesmo.



Mas agora acho eu que está aparentemente "limpo" o PC.

Vamos ver.

[Yamaha/br]

Eu peguei isso...soh resolveu pra mim formatando mesmo!,,,eu ate reinstalei o Windows por cima pra nao perder tudo mas nao funcionou...tive que formatar =[

[Lorden Darkblade]

Geralmente quando pega esses virus assim que infectam milhares de outros executaveis a coisa mais segura a se fazer é formatar mesmo.
Sem contar que é a mais rapida tambem.

[ÇR†].

[bcky]

formata o micro melhor solucao!

[chadruns]

virus é format C esquece todos metodos ele sempre volta ou fica sequelas

[dougmicro]

Primeiramente, Bom dia a todos.
vou direto ao assunto, estou infectado com o mesmo vírus, sou técnico em informática e já passei por muitas situações complicadas.
pesquisei em vários lugares na internet e infelismente ainda não encontrei a solução para esse vírus irritante, vejo que nen sempre a formatação de um computador é a solução, imagine um virus desse tipo infectando vários computadores ao mesmo tempo, por exemplo em uma lan-hose com um suporte técnico escasso, quem formataria todos??
se bem que formatar pcs pra mim e pra muita gente eh fácil, mas não soluciona o problema simplesmente formatar, até porque, nao adianta nada se o risco de pegar novamente o vírus é o mesmo. venho aqui simplesmente pedir a colaboração de todos para solucionar esse problema, estou a disposição para eventual colaboração.
para as pessoas que quizerem colaborar comigo me adicionen no MSN: dougmicro-d2@hotmail.com.

abraços...

[raphahxb]

se fosse eu ja tava formatando

só de ter key logger eu nao pensaria duas vezes

[carlosfey]

Primeiramente, Bom dia a todos.
vou direto ao assunto, estou infectado com o mesmo vírus, sou técnico em informática e já passei por muitas situações complicadas.
pesquisei em vários lugares na internet e infelismente ainda não encontrei a solução para esse vírus irritante, vejo que nen sempre a formatação de um computador é a solução, imagine um virus desse tipo infectando vários computadores ao mesmo tempo, por exemplo em uma lan-hose com um suporte técnico escasso, quem formataria todos??
se bem que formatar pcs pra mim e pra muita gente eh fácil, mas não soluciona o problema simplesmente formatar, até porque, nao adianta nada se o risco de pegar novamente o vírus é o mesmo. venho aqui simplesmente pedir a colaboração de todos para solucionar esse problema, estou a disposição para eventual colaboração.
para as pessoas que quizerem colaborar comigo me adicionen no MSN: dougmicro-d2@hotmail.com.

abraços...

Pessoal ja tem um topico sobre remoção de virus. Pega o hijackthis e posta o log nesse topico

[matheus_sc]

é so usar vista+kaspersky que acaba com qualquer problema de virus, vc pode ate baixar uns virus pra brincar

[Diegovsk]

Estou com o virus sality, ele infectou todos os meu arquivos .exe meu antivirus fica sempre avisando mas nao coloco pra deletar porque sei q nao vai remover o virus, mais sim deletar os exe. ja fui em varios sites e todos falao q ele fica alojado na ram... vi tb q hijackthis ajuda a removelo mas nao consigo entender o post dele, alguem porfavor..... me ajude a remover essa praga. em baixo coloquei o post do hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 15:33:48, on 09/11/2008
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\D-Link\Air Utility\AirCFG.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\LG Soft India\forteManager\bin\Monitor.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\DIEGO&~1\AppData\Local\Temp\Rar$EX00.340\ HijackThis.exe
C:\Users\DIEGO&~1\AppData\Local\Temp\Rar$EX03.086\ HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - Startup: FIFA 09 Registration.lnk = C:\Program Files\EA Sports\FIFA 09\Support\EAregister.exe
O4 - Global Startup: forteManager.lnk = ?
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A82269FB-FAAF-49DD-B37C-C5BD901B404D}: NameServer = 201.65.113.138,10.100.1.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Program Files\WZCBDL Service\WZCBDLS.exe

[Mr.Wolf]

O Sality é um File Infector que infecta todos os .exe do sistema mesmo e compromete até mesmo o antivirus, anti-spyware. Também não aparece no log do HijackThis e nenhum antivirus é capaz de remover esta infecção. Inclusive interrompe vários serviços do Windows. Existem ferramentas standalones recomendadas para a remoção dessa variante.

Faça o seguinte Diegovsk.

- Baixe o Win32/Sality Remover e salve-o no desktop;
- Reinicie seu computador em Modo de Segurança e dê dois cliques em rmsality.exe para executar a ferramenta;
- Ele fará o scan automaticamente e tentará remover a infecção;
- Quando terminar clique em Save Log e salve o relatório no desktop.

Poste o relatório em sua próxima resposta.

[wmh]

Mas que vírus mais safadeeenho esse hem?! Recorda os tempos de DOS e win 3.1, 95 que quando batia vírus era format na hora porque eram casca de remover. Apagavam tudo. Esse aí é bruto!

[HKpastorello]

eu resolvi esse problema usando o KAV e mais um programinha que removia de todos os executáveis e Dll's existentes

baixa esses 2 links: link 1 link 2
abre o executável e espere

aqui funcionou

[dougmicro]

Olá pessoal, desculpem a minha imensa demora para responder esse tópico, visto q tenho viajado muito nao tive muito tempo para navegar.. pois isso nao vem ao caso, venho trazer uma solução para remover de vez esse vírus chato.


Baixe os três seguintes arquivos ( rmsality.exe, rmsality.nt, rmsality.dos) e execute o arquivo rmsality.exe.




qualquer duvida tamos ae flw!

[diego gr]

Acho que estou com esse mesmo vírus. Passei o Avast no boot e ele diz que todos os arquivos .EXE estão infectados por "WIN32 PATCHER-HO", não diz o nome Sality.
Como conseguiram removê-lo?

O vírus infectou todos os HDs. Se eu gravar DVDs de backup só com mp3, documentos e imagens o vírus irá para o DVD gravado também?
E quanto ao post do DougMicro, aqueles programas q ele recomendou resolvem o problema?

[diego gr]

Consegui remover o vírus usando o antivírus Kaspersky. Ele desinfectou todos os executáveis e deletou a fonte do vírus.
Porém não sei ainda qual era o propósito desse vírus, pois fiquei com ele em minha máquina durante 3 semanas (foi o período que fiquei sem antivirus e sem firewall no SP2) e durante esse tempo usei extensivamente MSN e emails. Será que ele pega as senhas?

Nome do vírus: Win32.Patched.dj

Informações detalhadas sobre o vírus:
http://jefferson-ryan.blogspot.com/2...nda-parte.html
http://pt.mcafee.com/virusInfo/defau...virus_k=153082

[gobao]

Desculpe se o post estiver fechado mas tenho que compartilhar essa informação tive varios problemas com este virus após muita pesquisa encontrei uma ferramenta que desinfecta o arquivo sem apaga-lo testado em inumeros clientes sempre com remoção total vai ai o link
http://avptool.virusinfo.info/en/

[Solberg]

Melhor forma:

Tira o hd da maquina
Coloca como slave em uma maquina com antivirus atualizado
Faz um scan completo
Repõe o HD no lugar

Limpeza geral!

Flws