Сильно захламлен вирями (win32.sector.5 и др)

[Synd]

1. компом долго не занимались.
2. Первой ласточкой был кричащий Nod32 во время прохождения по очередной интернет-страничке
3. После перезагрузки периодически выдавал синий экран
4. Антивирусы отключились. После проверок оказались заражены Sector.5
5. За сутки работы заразились более 450 файлов (много баз данных от 1С + куча всякого другого софта)
6. Реестр не открывается, диспетчер тоже.
7. Безопасный режим не работает (синий экран при любом раскладе)

Было проведено: полностью проверка на другом компе при помощи CureIt (более 450 файлов вылечено Sector.5, Trojan.PSW.Lich и другие - не помню названия)
После перезагрузки зараженные файлы появились снова (сразу же отключил восстановление и провел проверку еще раз)
Отключи лвсе подозрительные (и не только их) службы
Поведение: Постоянно лезет в сеть (сетевая активность)
Было б проще форматнуть если б не базы...
Помогите пожалуйста справиться с бедой..
На данный момент антивирусы показали что комп чист.. но мне почему-то так не кажется.

[kps]

На данный момент антивирусы показали что комп чист.. но мне почему-то так не кажется.

Мне тоже не кажется

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\wpx59.cpx','');
 QuarantineFile('C:\WINDOWS\iexplorer.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Npx57.sys','');
 QuarantineFile('C:\huadio.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\glpphn.sys','');
 QuarantineFile('C:\WINDOWS\twain_1d.dll','');
 QuarantineFile('c:\windows\msauc.exe','');
 DeleteFile('c:\windows\msauc.exe');
 DeleteFile('C:\WINDOWS\twain_1d.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\glpphn.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Npx57.sys');
 DeleteFile('C:\WINDOWS\iexplorer.exe');
 DeleteFile('C:\WINDOWS\system32\wpx59.cpx');
DelCLSID('53B95212-7D77-11D2-9F80-00104B107C97');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Npx57');
BC_DeleteSvc('asc3360pr');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(17;
ExecuteRepair(16);
ExecuteRepair(10);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27672 ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

[Synd]

Скрипт выполнил (кстати там скобочки в 26 строке не хватило - я не сразу сообразил чего он от меня хочет).
Карантин выслал (добавились не все). Ток запаролировать забыл... Если надо - еще раз запаролированный вышлю.
К утру получу и логи.
Кеш чистим.

[Synd]

После выполнения скрипта комп "взбесился":
отключил все антивирусыы (даже CureIt не дает грузить - пробовал под разными именами). Едва смог запустить AVZ (Переименовал русскими буквами).
Нод32 перед смертью попросился отправить подозрительные файлы для проверки... я разрешил..
Nod32 уже больше не грузится... и не ругается.
Кто-то Что-то кидает в сеть...
IE загрузился только после нескольких попыток. РегЕдит и Диспетчер запрещены... ((

[Synd]

Вкратце..
Все-таки после нескольких попыток перезагрузки-очистки-перезагрузки-очистки с помощью ClearProg он пустил CureIt, но тот ничего не показал (!)..
Заново собрал логи.
Комп дискету перестал просить.

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите

Код:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('dac970nt');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\glpphn.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\glpphn.sys');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll,');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('dac970nt');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

[Synd]

Отключил от локалки.
Отрубать ничего не пришлось - итак нифига не работает.. ни файр ни антивирь
Пофиксил.
Скрипт выполнил.
Очистил-переочистил временные папки.
Все делал по пунктам и по инструкции.
Антивирь не работает. Никакие запуски вручную не помогают..
Из Файрвола только брандмауэр стоит. Выставил Включить и запретить исключения.
Карантин выслал.

Сам по логам посмотрел - то что пофиксил вылезло снова...

[Rene-gad]

Выполните скрипт

Код:

begin
executerepair(6);
executerepair(9);
executerepair(11);
executerepair(17);
rebootwindows(true);
end.

После перезагрузки повторите фиксение и скрипт из предыдущего сообщения.
Если не поможет : Выполните проверку системы АВПтул (качать по ссылке в подписи).

[Synd]

не помогло..
по процессам смотрю что в темп-папке постоянно что-то копошится..
Поотключал загрузку всего чего только можно.
если запрещать процессы - затихает на некоторое время. потом опять пошло-поехало.. антивири запретил, AVZ пришлось переименовать - под стандартным названием грузить отказывается.
гружу AVPTOOL

Добавлено через 2 минуты

CureIt кое-как запустил с CD - ничего не находит..

Добавлено через 49 минут

Нашел и вылечил в нескольких файлах Virus.win32.sality.ab
Пофиксил сразу.(их CureIT не углядел!)
Запускаю полную проверку, но она займет очень много времени (куча баз 1с).
Есть какие-либо рекомендации?

[kps]

Несколько таких зараженных файлов Sality, которые CureIt! не разглядел, просьба прислать сюда http://virusinfo.info/upload_virus.php?tid=27672 в архиве с паролем virus.
А рекомендации - лечите комп AVPTool дальше, либо можно пролечить его, загрузившись с Kaspersky Rescue CD.

[Synd]

Файлы попробую найти по логам или где они еще могут сохраниться.. (антивирь написал что он их вылечил).
Насчет Rescue CD - откуда его можно подгрузить?
Как факт (судя по тому что строки, которые пофиксил) комп остается активно больным..? или это не показатель?
Файл отчета АVPTool надо присылать?

[kps]

Файл отчета можете прикрепить.
Зараженные файлы - если будут еще обнаружены, Вы можете отправить в карантин и оттуда прислать нам...

Kaspersky Rescue CD можно сделать в KAV/KIS последних версий, насколько я знаю.

[Synd]

Вкратце ..
то множество файлов, что ранее было распознано с win32.sector.5 (CureIt) сейчас заражены win32.sality.ab (AVPTools)..
Это одно и то же или нет? Он сейчас шуршит-проверяет.. часа на 3-4 полная доскональная проверка... и вижу, что практически те же самые файлы..
и в памяти еще какая-то гадость не поймалась... так и не дает реестр править. Попытки пофиксить - говорит удалось. На практике все так и остается как было. Мне б хотя бы базу чистой выцепить - уже на другой винт систему поставил.
Память проверял CureIt! и AVPTool - обе говорят чисто.

[kps]

Лучше лечить с Rescue CD либо как написано тут:
http://virusinfo.info/showthread.php?t=15927
Метод 1 или 2.

[Synd]

Вот такую штуку выдернул
win32.buzus.pdf
файлы собираю, чтобы отправить для карантина.

Добавлено через 43 минуты

1. binkdnt - файл на который ругался обновленный NOD32 что это ВОЗМОЖНО WIN32/Sality.NAR (новая система, обновленный антивирь. пока что живой)
2. Rp06q1grp - это один из тех файлов которые постоянно оказывались заражены (их лечил CureIt потом Avptool).
3. system32 - там лежат несколько файлов зараженных модификациями win32.buzus.pdf (а эти папки проверялись несколько раз)
Надеюсь это поможет в выявлении этой самой неуловимой заразы.
С очищенного винта пока не грузился - чувствую, что это далеко не все (НОД32 ругается на все файлы которые чистили CureIt и AVPTool)
Благодарю Вас за помощь и терпение.

Добавлено через 50 секунд

Как проверялся - подрубил к чужому компу и в безопасном запустил AVPTOOL.. вот собственно так..

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 27
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\akcizn3.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
  2. \\akciz9.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
  3. \\binkdnt.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.10)
  4. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.yai (DrWEB: Trojan.Siggen.171)
  5. c:\\windows\\iexplorer.exe - Trojan.Win32.Buzus.ogp (DrWEB: Trojan.MulDrop.18267)
  6. c:\\windows\\msauc.exe - Trojan.Win32.Buzus.pni (DrWEB: Trojan.MulDrop.18267)
  7. c:\\windows\\system32\\wpx59.cpx - Backdoor.Win32.Agent.nzp (DrWEB: BackDoor.MinBot.5)
  8. c:\\windows\\twain_1d.dll - not-a-virus:AdWare.Win32.SuperJuan.cqw (DrWEB: Adware.Searcher.33)
  9. \\wpx119.cpx - Trojan-Mailfinder.Win32.Agent.pr (DrWEB: BackDoor.MinBot.5)
  10. \\wpx123.cpx - Trojan-Downloader.Win32.Obfuscated.cgy (DrWEB: Trojan.MulDrop.18279)
  11. \\wpx88.cpx - Trojan.Win32.Buzus.pdf (DrWEB: Trojan.MulDrop.18267)
  12. \\wpx91.cpx - Trojan.Win32.Buzus.pni (DrWEB: Trojan.MulDrop.18267)
  13. \\wpx97.cpx - Trojan.Win32.Agent.ycf (DrWEB: Trojan.Spambot.353