Не могу избавиться от вируса Win32.Sector.6 (Sality.NAO)

В общем, данная зараза липнет ко всем исполняемым (*.exe) файлам. В первую очередь - это текущие процессы системы (nwiz.exe, oodag.exe, rundll32.exe и тд)

Также она блокирует доступ к сайтам антивирусной тематики, не позволяет запускать AVZ (возможно, и другие утилиты подобного рода), не позволяет загружаться в безопасном режиме.

Суть действия данного вируса я не понял, но по мере роста количества зараженных файлов производительность системы заметно падает.

В первую очередь раздобыл Cureit. После быстрой проверки в памяти всегда обнаруживается какой-то обычный процесс (см. выше), зараженный этой гадостью, идентифицируемой Др. Вебом как Win32.Sector.6. Помимо этого обнаруживаются другие процессы, но идентифицируются они уже как Win32.Sector.5.

Полная проверка Cureit'ом общей картины не меняет. Только лишь существенно возрастает количество файлов, зараженных Win32.Sector.5

Также в процессах всегда висит один-два непонятных процессов с именами, типа "wc0d50.exe". Cureit'ом они тоже определяются. Причем он выводит два обозначения одного и того же файла: Win32.Sector.5 (который он лечит), и что-то еще, типа "Trojan.Mail.Spam" (точно не помню написание) - их он удаляет. Данные файлики сидят в папке Documents and Settings/Администратор/Local Settings/temp. Удаление не помогает, после перезагрузки они появляются вновь (а возможно и регулярно, независимо от перезагрузки).

Ну вот, собственно, попытался максимально подробно изложить проблему. Если я правильно понимаю, то тело вируса - это Win32.Sector.6, и файл, который им заражается, заражает уже остальные файлы.

Win32.Sector скачивает троянские модули и обновляет сам себя через Интернет.
Некоторые файлы, похоже, заражены двумя вариантами вируса.
AVZ.exe тоже заражен. Удалите его, а когда вылечите компьютер, распакуйте из zip-файла снова и сделайте логи.
Как лечить файловый вирус: [url]http://virusinfo.info/showthread.php?t=15927[/url]

Ну вроде сделал... Но все так и осталось.

При создании первого лога AVZ был здоров, во втором снова заражен. :(
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ExecuteRepair(6);
SetAVZPMStatus(True);
DelCLSID('{88888888-8888-8888-8888-888888888888}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\goqojr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\awv1eg6z.SYS','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\0eO7x7YJ.sys','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Сделал. Карантин выслал.

После перезагрузки [B]avz.exe[/B] снова заразился и запускаться не стал. Заменил его незараженным из архива avz, который скачал утром.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\orwj50Zj.sys','');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\w83232.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\w83232.exe','');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\goqojr.sys','');
SetServiceStart('dpti930', 4);
DeleteService('dpti930');
DeleteFile('C:\WINDOWS\system32\drivers\goqojr.sys');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\w83232.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\orwj50Zj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Сделал.

PS. После каждой перезагрузки приходится проводить быструю проверку Cureit'ом: он "обезвреживает" процесс, зараженный [B]Win32.Sector.6[/B] и "исцеляет" несколько процессов и файлов, зараженных [B]Win32.Sector.5[/B] (в общем, как в первом посте я описал). Иначе AVZ не запускается.

Бесполезная борьба. Лечитесь с LiveCD

[QUOTE=thyrex;434709]Бесполезная борьба. Лечитесь с LiveCD[/QUOTE]

Дак вроде лечился DrWebLiveCD... Просканил в SafeMode, кучу поубивал он, но ничего не изменилось... :(

Вы не перепутали CureIt с LiveCD? Это разные способы борьбы

[QUOTE=thyrex;434714]Вы не перепутали CureIt с LiveCD? Это разные способы борьбы[/QUOTE]

Нет, не перепутал..

[QUOTE='Baz1k;434674']После каждой перезагрузки приходится проводить быструю проверку Cureit'ом[/QUOTE]А как понимать это, если Вы лечитесь с DrWeb LiveCD?

[QUOTE=thyrex;434741]А как понимать это, если Вы лечитесь с DrWeb LiveCD?[/QUOTE]

Ну так и понимать.. После сканирования с диска DrWebLiveCD (именно с диска...специально нарезал) в SafeMode ничего не изменилось...

А мои сканирования Cureit'ом - это, уже ставшие "обычными", манипуляции, чтобы запустить AVZ.

Что не изменилось? Safe Mode не работает, Сектор жив - так?

[QUOTE=pig;435480]Что не изменилось? Safe Mode не работает, Сектор жив - так?[/QUOTE]

SafeMode начинал работать после его восстановления через AVZ. Сектор никуда уходить не собирался.

Все в прошедшем времени, так как я его в конце концов осилил.

[B]Делал следующее:[/B]
1. Удалил ветку из реестра: [B]HKCU\Software\user914[/B], где [B]user - имя пользователя[/B] (у меня ветка называлась Администратор914).
2. Открыл файл [B]c:/windows/system.ini[/B] и удалил вот это:
[CODE][MCIDRV_VER]
DEVICEMB=127446824460[/CODE]
3. Прогнал Cureit'ом.
4. После перезагрузки сделал полную проверку Dr. Web 5, дабы вылечить все зараженные файлы.

PS. Существуют еще утилитки [B]sality_off [/B]и [B]sality_remover[/B] от Касперского. Мне они не понадобились. Но думаю, что они тоже должны помочь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]