Страшный вирус w32.sality.aе, что делать

Работаю системным администратором, случилась такая беда, все по порядку:
на компьютере был установлен SAV 10.1 и при открытии любого файла или при попытке перехода из каталога в каталог, Симантек автоматически запускал инсталяцию;
при попытке выйти в и-нет, грузится домашняя страница, переход по сайтам невозможен, автоматически переходит на сайт [URL="http://rbk.ru/"]http://rbk.ru[/URL];
при попытке проинсталлировать SAV повреждался файл "Symantec AntiVirus.msi", то же самое происходило при попытке заменить этот файл на целый;
загрузка в безопасном режиме невозможна.

Расшарив диск С: зараженного компа, со своей машины провел проверку, все .ехе оказались зараженными. Выяснив, что, это - w32.sality.aе (классификатор Symantec). В и-нете нашел форум в котором обсуждался этот вирус [URL]http://team-madalf.com/index.php?showtopic=56536[/URL] .
При первом попытке AVZ и avira fntivir не загрузились и не запустились. используя Process Explorer увидел что при запуске антивирусов запускаются services.exe и mdm.exe и убивают приложение. Полез в конфигуратор системы там нашел сервисы:
deeg[число].exe
userinit.exe
при отключении этих сервисов, создаются новые в другими путями в deeg меняется число. Убил и то, и другое, userinit.exe восстановился. Подредактировал system.ini, там были лишние Теги [B][MCIDRV_VER] DEVICE=[ПРОИЗВОЛЬНОЕ ЧИСЛО][/B] и второй я не записал но там было присвоение переменной СС какой-то программы. После удаления этих тегов, первый восстановился при следующей перезагрузке, второй нет, но AVZ запустился!!! хотя при проверке каталога WINDOWS программа сама собой закрывалась. Антивирусы начали устанавливаться и [B]Curilt,[/B] и SAV, и NOD32, но ни один из них не запускается, сервисы сканирования системы умирают так-же быстро как и раньше.
Что делать?

PS: файлы пока не прикрепляю, архив 4,5 МегаБайта.

Делать Вам надо пункт 1 отсюда:
[url]http://virusinfo.info/showthread.php?t=15927[/url]

После этого сделайте логи по правилам.

[quote]1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном. [/quote]

Не запускается CureIT !!! его вирус знает и убивает процесс сканирования в самом начале. Попробую ХайДЖеком поправить, не знаю что получится.
Кстати, вирус подгрузил шутки, теперь после загрузки или простоя вываливается синий экран, при нажатии на любую клавишу сценарий нарушается и виден рабочий стол.

PS: при прикреплении файлов здоровой машиной, SAV вытащил w32.sality.aе из AVZ и HiJackThis.

Ну и помойка:(

Отключите восстановление системы!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить
[/URL]

[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: (no name) - {E38C2659-002F-409D-8DD5-56F13964865C} - C:\WINDOWS\system32\atmf.dll (file missing)
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdwhx.exe] C:\WINDOWS\system32\kdwhx.exe
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKLM\..\Run: [lphcv6pj0ep5g] C:\WINDOWS\system32\lphcv6pj0ep5g.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\User\svchost.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O4 - Startup: userinit.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A60209D1-8DDF-4D8A-B126-241CCF320D8F}: NameServer = 85.255.115.116,85.255.112.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD24CB39-DCE9-4EC8-80DD-CB68E4100B13}: NameServer = 85.255.115.116,85.255.112.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.222
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt64.dll
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\atmf.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt64.dll ',' ');
QuarantineFile('sockins32.dll','');
QuarantineFile('kdwhx.exe','');
QuarantineFile('WinNt64.dll','');
QuarantineFile('C:\WINDOWS\system32\kdwhx.exe','');
QuarantineFile('C:\WINDOWS\system32\blphcv6pj0ep5g.scr','');
QuarantineFile('C:\WINDOWS\helloserv.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\User\svchost.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe ',' ');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\srlghh.sys','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
QuarantineFile('C:\Documents and Settings\User\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
QuarantineFile('c:\windows\system32\drivers\services.exe','');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('c:\windows\system32\lphcv6pj0ep5g.exe','');
TerminateProcessByName('c:\windows\system32\lphcv6pj0ep5g.exe');
TerminateProcessByName('c:\windows\system32\drivers\services.exe');
TerminateProcessByName('c:\windows\services.exe');
DeleteService('aic32p');
DeleteService('apcsvra');
DeleteService('Schedule');
DeleteService('apcsvra32');
DeleteService('Google Online Services');
DeleteFile('c:\windows\system32\lphcv6pj0ep5g.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\WinNt64.dll ');
DeleteFile('c:\windows\services.exe');
DeleteFile('c:\windows\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\ftp34.dll');
DeleteFile('C:\Documents and Settings\User\ie_updates3r.exe');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srlghh.sys');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\Documents and Settings\User\svchost.exe');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\helloserv.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe ');
DeleteFile('C:\WINDOWS\system32\blphcv6pj0ep5g.scr');
DeleteFile('C:\WINDOWS\system32\kdwhx.exe');
DeleteFile('WinNt64.dll');
DeleteFile('kdwhx.exe');
DeleteFile('sockins32.dll');
DeleteFile('C:\WINDOWS\system32\atmf.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
DelBHO('{E38C2659-002F-409D-8DD5-56F13964865C}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('aic32p ');
BC_DeleteSvc('apcsvra ');
BC_DeleteSvc('Schedule ');
BC_DeleteSvc('apcsvra32 ');
BC_DeleteSvc('Google Online Services ');
BC_Activate;
ExecuteRepair(1 );
ExecuteRepair(6 );
ExecuteRepair(8 );
RebootWindows(true);
end.[/CODE]

Пришлите карантин и повторите логи.

карантин переслал:
Файл сохранён как 080618_005925_2008-06-18_4858a43d72550.ZIP
Размер файла 580778
MD5 95f47152b51288feeb43628cd72825fc

после чистки и выполнения скрипта AVZ перестал запускаться, вернее запускается на 2-3 секунды затем подгружаются services.exe и mdm.exe и убивают AVZ в процессах, так что логи с него снять не могу, только с HiJackThis.

Скачайте этот AVZ [url]http://z-oleg.com/avz.exe[/url] и сделайте логи...

умерли: выход в интернет, Тотал Командер, все браузеры (опера, мозила, IE), Процесс Експлорер. Обозреватель сети работает неустойчиво, зараженный компьютер регулярно перестает видеть сетевые ресурсы.

На рабочем столе появилось сообщение описанное в топике [url]http://virusinfo.info/showthread.php?t=24811[/url]

вот логи

Выполните отсюда [url]http://virusinfo.info/showthread.php?t=15927[/url] пункт 2. Нужно победить сначала файловый вирус.

я уже думал по этому поводу, но компьютер на гарантии, существуют ли портируемые антивирусы, или их можно собрать самому?
Симантек проверяет по сетке, но толка от этого нет, какой антивирус предпочтительнее?

Попробуйте либо [url=http://beta.drweb.com/news/show/3189/ru]DrWeb Live CD[/url] либо Kaspersky Rescue CD.

Нашел портируемый NOD32, проверил им (найден один вирус). Далее, все-таки снял жесткий диск, установил на незараженную машину, проверил CureIT в безопасном режиме (200+), снова проверил нодом (еще один вирус).
Вопрос, как можно убедиться что машина чистая?

PS: в безопасном режиме не загружается, все приложения и сервисы которые умерли, не восстановились

Я бы еще проверил Касперским или [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url].
Прикрепите новые логи версии AVZ, ссылку на которую Вам дали в посте номер 6.

проделал все опреации предложенные здесь + то, что предложили в приват.
не уверен в очистке, поэтому проверьте пожалуйста логи

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]62[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice\\svchost.exe - [B]P2P-Worm.Win32.Socks.ea[/B] (DrWEB: Trojan.DownLoader.63152)[*] c:\\documents and settings\\user\\svchost.exe - [B]P2P-Worm.Win32.Socks.ea[/B] (DrWEB: Trojan.DownLoader.63152)[*] c:\\documents and settings\\user\\главное меню\\программы\\автозагрузка\\userinit.exe - [B]P2P-Worm.Win32.Socks.ea[/B] (DrWEB: Trojan.DownLoader.63152)[*] c:\\windows\\services.exe - [B]Trojan-Proxy.Win32.Small.qq[/B] (DrWEB: Trojan.Packed.573)[*] c:\\windows\\system32\\drivers\\services.exe - [B]P2P-Worm.Win32.Socks.ea[/B] (DrWEB: Trojan.DownLoader.63152)[*] c:\\windows\\system32\\ftp34.dll - [B]Trojan-Downloader.Win32.Agent.nsx[/B] (DrWEB: Trojan.DownLoader.63153)[*] c:\\windows\\system32\\kdwhx.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.22)[*] c:\\windows\\system32\\lphcv6pj0ep5g.exe - [B]Trojan.Win32.Agent.rze[/B] (DrWEB: Trojan.Fakealert.767)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.cmi[/B] (DrWEB: Trojan.Packed.511)[*] c:\\windows\\system32\\winnt64.dll - [B]Trojan-Downloader.Win32.Mutant.aff[/B] (DrWEB: Trojan.DownLoader.63559)[*] \\2008-06-18\\bcqr00015.dta - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.22)[*] \\2008-06-18\\bcqr00016.dta - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.22)[/LIST][/LIST]