Последствия вируса Sality и тучи других

[Perri Koks]

Посмотрите пожалуйста лог AVZ и GMER. Комп был заражен вирусом Sality, запустил курейт как доверенный, через AVZ с включенным AVZGuard, вроде удалось прибить а заодно сотню другую других вирей. Шас сканирую NOD-ом (правда базы старые). Система вроде пашет, но че то много глюков (Рабочий стол появляется через несколько минут, файлы не копируются и.т.д.). Дистрибьютив к сожалению утерян. Перебить не выход.

[Aleksandra]

Внимание !!! База поcледний раз обновлялась 11.10.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ и переделайте логи!

Добавлено через 6 минут

Посмотрите пожалуйста лог AVZ и GMER.

В правилах написано, сколько должно быть логов и какие. Если уж так захотели сделать и приложить лог Gmer, то нужно было скачать актуальную версию GMER 1.0.15.15281.

[Perri Koks]

Обновите базы AVZ и переделайте логи!

Чем богаты, тем и рады. Переделал.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
 QuarantineFile('C:\WINDOWS\system32\regsvr.exe','');
 DeleteService('aic32p');
 DeleteFile('C:\windows\system32\drivers\ilhkqm.sys');
 DeleteFile('C:\WINDOWS\system32\regsvr.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Msn Messsenger');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=65194

4. Пофиксите в HijackThis:

O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\TrafInspAg_Tollbar.dll
O4 - Startup: explorer.lnk = C:\WINDOWS\explorer.exe

5. Повторите логи.

[Perri Koks]

Aleksandra, спасибо за помощь! Скрипт выполнил. Рабочий стол по прежнему грузиться около 2-х минут, копирование и отправка файлов, а также поиск не работает. Ну это по видимому системные файлы покоцаны. Мне бы с копированием и отправкой файлов разобраться.
З.ы. С карантином непонятка, че то маловат. И происходит ощибка при загрузке по ссылке: "Ощибка. Данный файл был уже загружен". Сюда залил.

[Aleksandra]

Ну это по видимому системные файлы покоцаны.

Очень может быть. Проверьте целостность системных файлов через sfc /scannow

З.ы. С карантином непонятка, че то маловат. И происходит ощибка при загрузке по ссылке: "Ощибка. Данный файл был уже загружен". Сюда залил.

Тут все просто. В карантин ничего не попало по причине отсутствия этих файлов. Удалите quarantine.zip из темы и приложите повторные логи.

Также выполните http://virusinfo.info/showthread.php?t=3519

[Perri Koks]

Выложил лог. Не пойму почему не работает копирование. Копирую файл, а опция "Вставить" неактивна. Ну это по видимому в форум другого направления.
Все равно большое спасибо!

Проверьте целостность системных файлов через sfc /scannow

Жаль дистрибьюва нет.

[Aleksandra]

В логах ничего подозрительного не увидела.

Жаль дистрибьюва нет.

А это уже плохо...