Проблема с системой после вируса sality

Printable View

20.08.2009, 15:45
R-r

Вложений: 3

Проблема с системой после вируса sality

Здравствуйте!

Прошу помощи в такой проблеме: компьютер был заражен вирусом sality (был заблокирован диспетчер задач, реестр, не показывались скрытые файлы, компьютер не грузился в безопасном режиме, блокировалась установка антивирусов - в общем целый набор).

Сам вирус вроде бы вылечил (подкидывал жесткий диск к "здоровому" компьютеру и лечил Касперским). После этого восстановил систему и столкнулся с ошибкой службы windows installer (не устанавливались приложения). При попытке запустить службу - Ошибка 1083: исполняемая программа, на запуск которой настроена служба, не выполняет функции службы. Посмотрел свойства службы, вместо исполняемого файла "C:\WINDOWS\system32\msiexec.exe /V" было прописано "C:\WINDOWS\System32\svchost.exe -k netsvcs" и имя службы вместо стандартного "MSIServer" было "rxeuyxn" (очевидно последствия заражения вирусом). Нашел в реестре ветку "rxeuyxn", но на любые действия переименования/удаления/изменения - система выдавала "нет доступа".

В общем, решил установить более свежий Windows Installer. После этого появилась служба "MSIServer" и приложения наконец-то начали устанавливаться (при это служба "windows installer" с этим странным именем "rxeuyxn" никуда не делась, все также отображается и не дает доступ на изменение.

Поставил Касперского, установка прошла нормально, активировал приложение, но после перезагрузки компьютер висит. Если убрать Касперского с автозагрузки, то все работает нормально.

Собственно, два основных вопроса: что делать с "левой" службой "rxeuyxn" и как все-таки "вылечить" Касперского.
Логи прилагаются. Надеюсь, на Вашу помощь.
20.08.2009, 16:14
Rene-gad

[COLOR="Red"][B]Внимание !!! База поcледний раз обновлялась 09.07.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/B][/COLOR]

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Обновите базы АВЗ: (Файл/Обновление баз)
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
20.08.2009, 19:16
R-r

Вложений: 4

Теперь опять заблокирован реестр и диспетчер задач... сидит еще вирус похоже..
20.08.2009, 19:37
light59

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL2R3423321');
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431');
DelCLSID('12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441');
QuarantineFile('C:\F\UCK\FK.exe','');
QuarantineFile('C:\MEMORY\S-v-6-2009\PeAcE.exe','');
QuarantineFile('C:\WIN\DOWS\LAX.exe','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\system32\iljttg.dll','');
DeleteFile('C:\WINDOWS\system32\iljttg.dll');
DeleteFile('C:\WINDOWS\system32\drivers\fhjnek.sys');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WIN\DOWS\LAX.exe');
DeleteFile('C:\MEMORY\S-v-6-2009\PeAcE.exe');
DeleteFile('C:\F\UCK\FK.exe');
DeleteFile('E:\autorun.inf');
BC_Importall;
BC_DeleteSvc('vabkwuof');
BC_DeleteSvc('txbgr');
BC_DeleteSvc('tgvptci');
BC_DeleteSvc('qmjvtxy');
BC_DeleteSvc('lcrrdw');
BC_DeleteSvc('kwahi');
BC_DeleteSvc('iiuqom');
BC_DeleteSvc('hqrfaqndk');
BC_DeleteSvc('hgnhccpv');
BC_DeleteSvc('hesuiyvpe');
BC_DeleteSvc('evxdo');
BC_DeleteSvc('abp470n5');
ExecuteSysClean;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

Сохраните текст ниже как 123.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service ijcpqautp
gmer.exe -del service rxeuyxn
gmer.exe -del file "C:\WINDOWS\system32\iljttg.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\rxeuyxn"
gmer.exe -reboot[/CODE]И запустите 123.bat.
Компьютер перезагрузится

Пришлите карантин AVZ согласно правил по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]"

Сделайте это [URL="http://virusinfo.info/showthread.php?t=15927"]http://virusinfo.info/showthread.php?t=15927[/URL]. Вариант с LiveCD предпочтительней.

Повторите логи AVZ + Gmer.
21.08.2009, 20:12
R-r

Вложений: 4

Скрипт выполнил, левые службы исчезли, прогнал проверку Сureit-ом в безопасном режиме - опять обнаружил winsector.17.. Снова подключил жесткий диск к здоровому компу, проверил Касперским, все вылечил. Сделал логи и вот сейчас опять проверил с другого компьютера - вирусов не обнаружено.
Посмотрите пожалуйста логи. Почему-то проблема возникает с Касперским, не хочет работать, вешает систему...
21.08.2009, 20:41
Rene-gad

[QUOTE=R-r;453624]Почему-то проблема возникает с Касперским, не хочет работать, вешает систему...[/QUOTE]
Во-первых у Вас Авира не удалена до конца.
Во-вторых я бы такую непатченную систему тоже повесил... 8)

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}');
DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431}');
DeleteFile('c:\WIN\DOWS\LAX.exe');
DeleteFile('c:\MEMORY\S-v-6-2009\PeAcE.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Пока суд да дело разработайте план следующих мерориятий:

[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)[/QUOTE]
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[QUOTE]MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]
- Установите IE 8
[QUOTE]C:\Program Files\Java\jre1.6.0_07[/QUOTE]
- Обновите JavaRE
[QUOTE]C:\Program Files\Adobe\Acrobat 5.0[/QUOTE]
- Обновите Acrobat Reader
21.08.2009, 20:44
R-r

Ого) Пошел заниматься :)
21.08.2009, 20:48
Rene-gad

[QUOTE=R-r;453648]Ого) Пошел заниматься :)[/QUOTE]Сначала - скрипт и доудаляйте Авиру - в логе увидите сами, что осталось, потом логи... Все в порядке поступления... ;)
21.08.2009, 23:13
R-r

Вложений: 4

Авиру из реестра удалил, карантина не обнаружено...

Поставил обновления XP, установил Касперского и все по-прежнему.. система висит с ним.. в чем же причина-то?
22.08.2009, 10:53
Rene-gad

Зловредного в логах не видно.
Удалите Касперского, зачистите систему после удаления: [url]http://support.kaspersky.ru/faq/?qid=208635705[/url]
Скачайте самую последнюю версию с [url]www.kaspersky.ru[/url]
23.08.2009, 23:20
R-r

К компьютеру уже доступа нет, поставил НОД32, заработал нормально без тормозов, полная проверка ничего подозрительного не показала.

Большое спасибо за помощь!