Работаю системным администратором, случилась такая беда, все по порядку:
на компьютере был установлен SAV 10.1 и при открытии любого файла или при попытке перехода из каталога в каталог, Симантек автоматически запускал инсталяцию;
при попытке выйти в и-нет, грузится домашняя страница, переход по сайтам невозможен, автоматически переходит на сайт http://rbk.ru;
при попытке проинсталлировать SAV повреждался файл "Symantec AntiVirus.msi", то же самое происходило при попытке заменить этот файл на целый;
загрузка в безопасном режиме невозможна.
Расшарив диск С: зараженного компа, со своей машины провел проверку, все .ехе оказались зараженными. Выяснив, что, это - w32.sality.aе (классификатор Symantec). В и-нете нашел форум в котором обсуждался этот вирус http://team-madalf.com/index.php?showtopic=56536 .
При первом попытке AVZ и avira fntivir не загрузились и не запустились. используя Process Explorer увидел что при запуске антивирусов запускаются services.exe и mdm.exe и убивают приложение. Полез в конфигуратор системы там нашел сервисы:
deeg[число].exe
userinit.exe
при отключении этих сервисов, создаются новые в другими путями в deeg меняется число. Убил и то, и другое, userinit.exe восстановился. Подредактировал system.ini, там были лишние Теги [MCIDRV_VER] DEVICE=[ПРОИЗВОЛЬНОЕ ЧИСЛО] и второй я не записал но там было присвоение переменной СС какой-то программы. После удаления этих тегов, первый восстановился при следующей перезагрузке, второй нет, но AVZ запустился!!! хотя при проверке каталога WINDOWS программа сама собой закрывалась. Антивирусы начали устанавливаться и Curilt, и SAV, и NOD32, но ни один из них не запускается, сервисы сканирования системы умирают так-же быстро как и раньше.
Что делать?
PS: файлы пока не прикрепляю, архив 4,5 МегаБайта.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.
Не запускается CureIT !!! его вирус знает и убивает процесс сканирования в самом начале. Попробую ХайДЖеком поправить, не знаю что получится.
Кстати, вирус подгрузил шутки, теперь после загрузки или простоя вываливается синий экран, при нажатии на любую клавишу сценарий нарушается и виден рабочий стол.
PS: при прикреплении файлов здоровой машиной, SAV вытащил w32.sality.aе из AVZ и HiJackThis.
Последний раз редактировалось AddMen; 18.06.2008 в 08:28.
карантин переслал:
Файл сохранён как 080618_005925_2008-06-18_4858a43d72550.ZIP
Размер файла 580778
MD5 95f47152b51288feeb43628cd72825fc
после чистки и выполнения скрипта AVZ перестал запускаться, вернее запускается на 2-3 секунды затем подгружаются services.exe и mdm.exe и убивают AVZ в процессах, так что логи с него снять не могу, только с HiJackThis.
умерли: выход в интернет, Тотал Командер, все браузеры (опера, мозила, IE), Процесс Експлорер. Обозреватель сети работает неустойчиво, зараженный компьютер регулярно перестает видеть сетевые ресурсы.
я уже думал по этому поводу, но компьютер на гарантии, существуют ли портируемые антивирусы, или их можно собрать самому?
Симантек проверяет по сетке, но толка от этого нет, какой антивирус предпочтительнее?
Нашел портируемый NOD32, проверил им (найден один вирус). Далее, все-таки снял жесткий диск, установил на незараженную машину, проверил CureIT в безопасном режиме (200+), снова проверил нодом (еще один вирус).
Вопрос, как можно убедиться что машина чистая?
PS: в безопасном режиме не загружается, все приложения и сервисы которые умерли, не восстановились
Последний раз редактировалось AddMen; 20.06.2008 в 11:21.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: