Вирус win32.sector.22

Printable View

24.09.2010, 13:27
LAMBUSH

Вирус win32.sector.22

Здравствуйте!Несколько дней назад переустановил систему, так как старая жутко зависала.Думал что всё из-за того что долго (около года) не переустанавливал WINDOWS.Сразу-же установил Kaspersky Internet Security 2010, но он почему-то не заработал. После переустановки, где-то час-два, компьютер работал очень хорошо. Но потом опять начал зависать.В диспетчере задач появляются какие-то необяснимые процесссы, и после каждой перезагрузки системы всё время меняются их имена. В безопасном режиме просканировал компьютер Dr.Web'ом.Почти каждый exe-шник заражён вирусом win32.sector.22. Dr.Web показал что он их исцелил, но после перезагрузки системы ещё раз просканировал, и всё те же exe-шники всё также были заражены.Сайты антивирусов не доступны. В корне дисков создаются exe и pif файлы.
24.09.2010, 13:45
Шапельский Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\skflf.pif','');
QuarantineFile('D:\uesscd.pif','');
QuarantineFile('E:\ofogs.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
StopService('amsint32');
DeleteService('amsint32');
SetServiceStart('amsint32', 4);
QuarantineFile('C:\WINDOWS.2\system32\drivers\ggomk.sys','');
QuarantineFile('C:\DOCUME~1\ADMIN~2.MIC\LOCALS~1\Temp\2b367X5B.sys','');
QuarantineFile('C:\WINDOWS.2\TEMP\winyebj.exe','');
QuarantineFile('C:\WINDOWS.2\TEMP\winmehbjd.exe','');
QuarantineFile('c:\windows.2\temp\winyebj.exe','');
TerminateProcessByName('c:\windows.2\temp\winyebj.exe');
QuarantineFile('c:\windows.2\temp\winmehbjd.exe','');
TerminateProcessByName('c:\windows.2\temp\winmehbjd.exe');
DeleteFile('c:\windows.2\temp\winmehbjd.exe');
DeleteFile('c:\windows.2\temp\winyebj.exe');
DeleteFile('C:\WINDOWS.2\TEMP\winmehbjd.exe');
DeleteFile('C:\WINDOWS.2\TEMP\winyebj.exe');
DeleteFile('C:\WINDOWS.2\system32\drivers\ggomk.sys');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
[B]Скачайте AVZ v.4.35[/B]
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
24.09.2010, 14:39
LAMBUSH

Вот новые логи!
24.09.2010, 15:04
Шапельский Александр

У Вас Салити
Скачайте эту утилиту и запустите--[URL="http://support.kaspersky.ru/viruses/solutions?qid=208636131"]http://support.kaspersky.ru/viruses/solutions?qid=208636131[/URL]
Затем скачайте [URL="http://www.freedrweb.com/cureit/?lng=ru"]Куреит (др. Веб)[/URL] и просканируйте ПК.
Заново скачайте АВЗ и HijackThis сделайте новые логи логи
24.09.2010, 18:37
LAMBUSH

Думаю, проблема решена!!!Во второй раз уже встречаюсь с SALITY. Вот логи.
24.09.2010, 19:28
Шапельский Александр

Выполните скрипт
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\skflf.pif','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\jsatsm.pif','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('E:\kxdan.exe','');
BC_ImportAll;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
25.09.2010, 09:14
Шапельский Александр

Выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('C:\skflf.pif');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\jsatsm.pif');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\kxdan.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
25.09.2010, 22:36
LAMBUSH

Вот!
26.09.2010, 00:43
Шапельский Александр

В логе чисто, что с проблемой?
26.09.2010, 01:33
LAMBUSH

Проблема решена!Касперский работает.Неизвестные процессы и файлы исчезли.Спасибо за помощь!
27.09.2010, 01:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]52[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\ofogs.exe - [B]Virus.Win32.Sality.bh[/B] ( DrWEB: Win32.Sector.22, BitDefender: Trojan.SalityStub.A, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )[/LIST][/LIST]