Руткит-невидимка, тяжелый случай

[ZeroDance]

Постараюсь сразу вкратце описать проблему. Сталкиваюсь с этим нечто второй раз. Первый был в январе сего года, тогда была создана тема в разделе помощи на форуме аваста. Помочь так и не смогли, дошло все до того что я убил файловую систему на диске, купил новый диск, поставил операционку (XP SP3), антивирь (NOD32), файвол (Comodo), спайбот, после чего был подсоединен старый диск, при помощи GetDataBack спас необходимые данные, диск проверил антивирусом, ничего найдено не было. Впоследствии диск так и остался подключенным, я им не пользуюсь.

Сейчас все повторилось по старому сценарию, ни одна из защитных программ даже не подала виду, что что-то происходит. Симптомы: заблокирован диспетчер задач, заблокирована возможность редактирования реестра, в безопасном режиме загрузиться невозможно - сразу синий экран с ошибкой 0х0000007b. Периодически машина сама по себе падает в синий экран с разными ошибками (0х00000019, 0х0000008е).

Логи прилагаются. Надеюсь на помощь, не хотелось бы форматировать диски. Если это поможет могу здесь поместить ссылку на мою тему на форуме аваста.

[Гриша]

Пришлите пару exe файлов в архиве с паролем "virus" по красной ссылке вверху темы, у вас файловый вирус...

[ZeroDance]

отправил

[PavelA]

java.exe - Virus.Win32.Sality.aa - лечится Вам с ЛайвСД. Описание как это делать
есть в "Чаво".

[ZeroDance]

пролечился с лайвСД, не помогло.
вот логи.
кстати лайвСД нормально запустился тоько в режиме DrWeb-LiveCD (Safe Mode). в режиме DrWeb-LiveCD (Default) изображение такое как будто 8-битная гамма, практически ничего не видно, курсор мышки ваще не видно, но видно что он двигается (кнопки меню подсвечиваются), во время сканирования наглухо зависает.

[Aleksandra]

Скачайте сканер VBA32 c ftp://vba.ok.by/vba/Vba32Check.exe или с ftp://anti-virus.by/pub/Vba32Check.exe

И сделайте как написано здесь http://virusinfo.info/showpost.php?p...5&postcount=35

Скачивать, распаковывать и записывать нужно на чистой машине! После лечения прикрепите файл vba32.rpt и повторите логи по правилам.

[ZeroDance]

со второй попытки удалось таки полечить системный диск при помощи лайвСД, тут же скачал CureIT и остальные диски проверил ей.

Спасибо всем за помощь.

П.С.: кстати, я так понял вирус сей достаточно живуч и многим жизнь попортил, только на этом форуме про него несколько тем видел. так вот, на сайте каспера рекомендуют воспользоваться утилитой Sality_off. может кому-то поможет

[Aleksandra]

Повторите логи.

[ZeroDance]

вот и логи

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('abp470n5');
 DeleteFile('C:\WINDOWS\system32\drivers\mgmmoe.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');    
BC_Activate;
RebootWindows(true);
end.

Повторите пункт 2 диагностики...

[ZeroDance]

выполнено

[Гриша]

Хост файл сами правили? Если нет, в AVZ, пункт 13 восстановления...

В логах чисто...

[ZeroDance]

Хост файл сами правили?

ничо не правил, а что за хост файл?

можно про пункт 13 по подробнее? не понял что нужно сделать.

[Гриша]

AVZ, Файл, Восстановление системы, отметить пункт 13 и выполнить...

[ZeroDance]

все, сделал. спасибо за помощь.

еще вопрос, конечно может он не по теме, но у меня при загрузке винды комодо открывается окном, хотя раньше запускался свернутым в трей, в настройках не нашел пунктика "запускать свернутым". как это исправить?

[Гриша]

Обратитесь в раздел по firewall, я им не пользуюсь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. \java.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )