Показано с 1 по 15 из 15.

Страшный вирус w32.sality.aе, что делать (заявка № 24764)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2008
    Адрес
    Кемерово
    Сообщений
    9
    Вес репутации
    31

    Question Страшный вирус w32.sality.aе, что делать

    Работаю системным администратором, случилась такая беда, все по порядку:
    на компьютере был установлен SAV 10.1 и при открытии любого файла или при попытке перехода из каталога в каталог, Симантек автоматически запускал инсталяцию;
    при попытке выйти в и-нет, грузится домашняя страница, переход по сайтам невозможен, автоматически переходит на сайт http://rbk.ru;
    при попытке проинсталлировать SAV повреждался файл "Symantec AntiVirus.msi", то же самое происходило при попытке заменить этот файл на целый;
    загрузка в безопасном режиме невозможна.

    Расшарив диск С: зараженного компа, со своей машины провел проверку, все .ехе оказались зараженными. Выяснив, что, это - w32.sality.aе (классификатор Symantec). В и-нете нашел форум в котором обсуждался этот вирус http://team-madalf.com/index.php?showtopic=56536 .
    При первом попытке AVZ и avira fntivir не загрузились и не запустились. используя Process Explorer увидел что при запуске антивирусов запускаются services.exe и mdm.exe и убивают приложение. Полез в конфигуратор системы там нашел сервисы:
    deeg[число].exe
    userinit.exe
    при отключении этих сервисов, создаются новые в другими путями в deeg меняется число. Убил и то, и другое, userinit.exe восстановился. Подредактировал system.ini, там были лишние Теги [MCIDRV_VER] DEVICE=[ПРОИЗВОЛЬНОЕ ЧИСЛО] и второй я не записал но там было присвоение переменной СС какой-то программы. После удаления этих тегов, первый восстановился при следующей перезагрузке, второй нет, но AVZ запустился!!! хотя при проверке каталога WINDOWS программа сама собой закрывалась. Антивирусы начали устанавливаться и Curilt, и SAV, и NOD32, но ни один из них не запускается, сервисы сканирования системы умирают так-же быстро как и раньше.
    Что делать?

    PS: файлы пока не прикрепляю, архив 4,5 МегаБайта.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Делать Вам надо пункт 1 отсюда:
    http://virusinfo.info/showthread.php?t=15927

    После этого сделайте логи по правилам.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    17.06.2008
    Адрес
    Кемерово
    Сообщений
    9
    Вес репутации
    31
    1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.
    Не запускается CureIT !!! его вирус знает и убивает процесс сканирования в самом начале. Попробую ХайДЖеком поправить, не знаю что получится.
    Кстати, вирус подгрузил шутки, теперь после загрузки или простоя вываливается синий экран, при нажатии на любую клавишу сценарий нарушается и виден рабочий стол.

    PS: при прикреплении файлов здоровой машиной, SAV вытащил w32.sality.aе из AVZ и HiJackThis.
    Вложения Вложения
    Последний раз редактировалось AddMen; 18.06.2008 в 08:28.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Ну и помойка

    Отключите восстановление системы!

    Пофиксить


    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
    O2 - BHO: (no name) - {E38C2659-002F-409D-8DD5-56F13964865C} - C:\WINDOWS\system32\atmf.dll (file missing)
    O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
    O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
    O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
    O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
    O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdwhx.exe] C:\WINDOWS\system32\kdwhx.exe
    O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
    O4 - HKLM\..\Run: [lphcv6pj0ep5g] C:\WINDOWS\system32\lphcv6pj0ep5g.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
    O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe
    O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
    O4 - Startup: userinit.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A60209D1-8DDF-4D8A-B126-241CCF320D8F}: NameServer = 85.255.115.116,85.255.112.222
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CD24CB39-DCE9-4EC8-80DD-CB68E4100B13}: NameServer = 85.255.115.116,85.255.112.222
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.222
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.222
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.222
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt64.dll
    O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\atmf.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt64.dll ',' ');     
     QuarantineFile('sockins32.dll','');
     QuarantineFile('kdwhx.exe','');
     QuarantineFile('WinNt64.dll','');
     QuarantineFile('C:\WINDOWS\system32\kdwhx.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphcv6pj0ep5g.scr','');
     QuarantineFile('C:\WINDOWS\helloserv.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\userinit.exe','');
     QuarantineFile('C:\Documents and Settings\User\svchost.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe ',' ');     
     QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\srlghh.sys','');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
     QuarantineFile('C:\Documents and Settings\User\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
     QuarantineFile('c:\windows\system32\drivers\services.exe','');
     QuarantineFile('c:\windows\services.exe','');
     QuarantineFile('c:\windows\system32\lphcv6pj0ep5g.exe','');
     TerminateProcessByName('c:\windows\system32\lphcv6pj0ep5g.exe');
     TerminateProcessByName('c:\windows\system32\drivers\services.exe');
     TerminateProcessByName('c:\windows\services.exe');     
     DeleteService('aic32p');
     DeleteService('apcsvra');
     DeleteService('Schedule');
     DeleteService('apcsvra32');
     DeleteService('Google Online Services');     
     DeleteFile('c:\windows\system32\lphcv6pj0ep5g.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\WinNt64.dll ');     
     DeleteFile('c:\windows\services.exe');
     DeleteFile('c:\windows\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\system32\ftp34.dll');
     DeleteFile('C:\Documents and Settings\User\ie_updates3r.exe');
     DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\srlghh.sys');
     DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
     DeleteFile('C:\Documents and Settings\User\svchost.exe');
     DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\userinit.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
     DeleteFile('C:\WINDOWS\helloserv.exe');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe ');     
     DeleteFile('C:\WINDOWS\system32\blphcv6pj0ep5g.scr');
     DeleteFile('C:\WINDOWS\system32\kdwhx.exe');
     DeleteFile('WinNt64.dll');
     DeleteFile('kdwhx.exe');
     DeleteFile('sockins32.dll');
     DeleteFile('C:\WINDOWS\system32\atmf.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
     DelBHO('{E38C2659-002F-409D-8DD5-56F13964865C}');     
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('aic32p ');
    BC_DeleteSvc('apcsvra ');
    BC_DeleteSvc('Schedule ');
    BC_DeleteSvc('apcsvra32 ');
    BC_DeleteSvc('Google Online Services ');    
    BC_Activate;
    ExecuteRepair(1 );
    ExecuteRepair(6 );
    ExecuteRepair(8 );    
    RebootWindows(true);
    end.
    Пришлите карантин и повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    17.06.2008
    Адрес
    Кемерово
    Сообщений
    9
    Вес репутации
    31
    карантин переслал:
    Файл сохранён как 080618_005925_2008-06-18_4858a43d72550.ZIP
    Размер файла 580778
    MD5 95f47152b51288feeb43628cd72825fc

    после чистки и выполнения скрипта AVZ перестал запускаться, вернее запускается на 2-3 секунды затем подгружаются services.exe и mdm.exe и убивают AVZ в процессах, так что логи с него снять не могу, только с HiJackThis.
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Скачайте этот AVZ http://z-oleg.com/avz.exe и сделайте логи...

  8. #7
    Junior Member Репутация
    Регистрация
    17.06.2008
    Адрес
    Кемерово
    Сообщений
    9
    Вес репутации
    31
    умерли: выход в интернет, Тотал Командер, все браузеры (опера, мозила, IE), Процесс Експлорер. Обозреватель сети работает неустойчиво, зараженный компьютер регулярно перестает видеть сетевые ресурсы.

    На рабочем столе появилось сообщение описанное в топике http://virusinfo.info/showthread.php?t=24811
    Последний раз редактировалось AddMen; 18.06.2008 в 12:52.

  9. #8
    Junior Member Репутация
    Регистрация
    17.06.2008
    Адрес
    Кемерово
    Сообщений
    9
    Вес репутации
    31
    вот логи
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните отсюда http://virusinfo.info/showthread.php?t=15927 пункт 2. Нужно победить сначала файловый вирус.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Junior Member Репутация
    Регистрация
    17.06.2008
    Адрес
    Кемерово
    Сообщений
    9
    Вес репутации
    31
    я уже думал по этому поводу, но компьютер на гарантии, существуют ли портируемые антивирусы, или их можно собрать самому?
    Симантек проверяет по сетке, но толка от этого нет, какой антивирус предпочтительнее?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Попробуйте либо DrWeb Live CD либо Kaspersky Rescue CD.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Junior Member Репутация
    Регистрация
    17.06.2008
    Адрес
    Кемерово
    Сообщений
    9
    Вес репутации
    31
    Нашел портируемый NOD32, проверил им (найден один вирус). Далее, все-таки снял жесткий диск, установил на незараженную машину, проверил CureIT в безопасном режиме (200+), снова проверил нодом (еще один вирус).
    Вопрос, как можно убедиться что машина чистая?

    PS: в безопасном режиме не загружается, все приложения и сервисы которые умерли, не восстановились
    Последний раз редактировалось AddMen; 20.06.2008 в 11:21. Причина: Добавлено

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Я бы еще проверил Касперским или AVPTool.
    Прикрепите новые логи версии AVZ, ссылку на которую Вам дали в посте номер 6.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Junior Member Репутация
    Регистрация
    17.06.2008
    Адрес
    Кемерово
    Сообщений
    9
    Вес репутации
    31
    проделал все опреации предложенные здесь + то, что предложили в приват.
    не уверен в очистке, поэтому проверьте пожалуйста логи
    Вложения Вложения

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,514
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 62
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\localservice\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      2. c:\\documents and settings\\user\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      3. c:\\documents and settings\\user\\главное меню\\программы\\автозагрузка\\userinit.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      4. c:\\windows\\services.exe - Trojan-Proxy.Win32.Small.qq (DrWEB: Trojan.Packed.573)
      5. c:\\windows\\system32\\drivers\\services.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152)
      6. c:\\windows\\system32\\ftp34.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153)
      7. c:\\windows\\system32\\kdwhx.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22)
      8. c:\\windows\\system32\\lphcv6pj0ep5g.exe - Trojan.Win32.Agent.rze (DrWEB: Trojan.Fakealert.767)
      9. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.cmi (DrWEB: Trojan.Packed.511)
      10. c:\\windows\\system32\\winnt64.dll - Trojan-Downloader.Win32.Mutant.aff (DrWEB: Trojan.DownLoader.63559)
      11. \\2008-06-18\\bcqr00015.dta - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22)
      12. \\2008-06-18\\bcqr00016.dta - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22)


  • Уважаемый(ая) AddMen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Страшный вирус! Помогите, пожалуйста!
      От Паттттт в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.03.2012, 17:26
    2. Вирус Win32.Sality поймал что делать
      От Memo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.04.2011, 09:58
    3. Помогите! потцепил страшный вирус!
      От toxa1 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 05.11.2010, 21:45
    4. Страшный вирус! помогите
      От Роман777 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.11.2009, 07:05
    5. Помогите страшный вирус)
      От Neolit в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.06.2009, 19:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00026 seconds with 22 queries