win32.sality.q

Printable View

12.04.2008, 12:14
SacreD46

win32.sality.q

Здравствуйте.
У меня следующие проблемы:
1. При запуске приложений появлялась ошибка: setupapi.dll
2. Чуть попозже начала появляться другая ошибка: "...у вас недостаточно прав для запуска данного приложения..."
3. В итоге полетел драйвер на видеокарту.
логи выложил, буду ждать ответа.
заранее спасибо.
[B][URL]http://virusinfo.info/attachment.php?attachmentid=42707&d=1207985557[/URL][/B]
[B][URL]http://virusinfo.info/attachment.php?attachmentid=42706&d=1207985557[/URL][/B]
[B][URL]http://virusinfo.info/attachment.php?attachmentid=42705&d=1207984945[/URL][/B]
12.04.2008, 12:43
kps

Ваши вложения не скачиваются. Прикрепите их через "Управление вложениями".
12.04.2008, 13:32
SacreD46

Вложений: 3

Вот. Всё вложил.
12.04.2008, 14:24
kps

Отключите восстановление системы, как написано в правилах!
У Вас файловый вирус.
Выполните вот это: [url]http://virusinfo.info/showthread.php?t=15927[/url]
Затем удалите AVZ и скачайте заново.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\adb487zz.SYS','');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('PowerManager');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=21421[/url] ).
Сделайте новые логи.
13.04.2008, 19:17
SacreD46

Скачал CureIT при помощи компьютера соседей (у них отсутствуют мои проблемы). При извлечении CureIT на моём компьютере появляется ошибка: "The archive is either in unknown format or damaged". Соседский компьютер тоже заражен?
13.04.2008, 19:30
wise-wistful

Распакуйте CureIT и запишите на CD. Проверьте свой компьютер с CD.
13.04.2008, 20:11
kps

И еще дополню:
Скачать CureIt! надо на чистой машине. Нужно распаковать cureit.exe - это обычный SFX-архив и записать на CD [u]на чистой машине[/u]. С CD нужно запустить _start.exe на больной машине и после экспресс-проверки нужно сделать полную проверку всех жестких дисков.
14.04.2008, 19:06
SacreD46

Проверил компьютер с помощью CureIt(оказывается у меня на жестких большой зоопарк). Увы выключить восстановление системы мне не удалось, т.к. невозможно открыть свойства Моего компьютера. Следовательно и скрипт AVZ был выполнен впустую, и в карантине ничего не было.
14.04.2008, 19:18
Гриша

Новые логи сделайте.
18.04.2008, 17:17
SacreD46

Вложений: 3

Новые логи.
p.s. Прошу прощения. Соединения с интернетом не было:(
18.04.2008, 17:25
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('E:\System Volume Information\_restore{33856607-445F-4D28-BAE0-0F9F4FC7E129}\RP24\A0006860.exe');
DeleteFile('E:\System Volume Information\_restore{33856607-445F-4D28-BAE0-0F9F4FC7E129}\RP26\A0009979.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21421[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: UserInit=E:\WINDOWS\System32\userinit.exe [/CODE]

Попробуйте отключить восстановление системы, после выполнения скрипта. Повторите логи.
18.04.2008, 18:08
SacreD46

карантин прислал. проблема исчезла, наверное:)
18.04.2008, 19:46
wise-wistful

Так а новый комплект логов где? просили же повторить логи.
19.04.2008, 08:49
SacreD46

Вложений: 3

прошу прощения, не подметил. вот новые логи
19.04.2008, 10:39
Гриша

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

В логах чисто,какие-то проблемы остались?
19.04.2008, 11:30
SacreD46

Всё пометил и пофиксил. Проблем больше нет. Спасибо!
19.04.2008, 11:32
Гриша

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение[/URL] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу [/URL]"Безопасный Интернет. Универсальная защита для Windows ME - Vista".