Sality.Nau - тяжёлый бой с этим вирусом, нод помер, авз еле дышит...

Нод заметил этот вирус и начал детектить заражённые exe файлы, я их очищал, но толку мало, они появлялись один за другим. Нод вырубился и больше не запускается. Запуск авз не удался, окно постоянно закрывалось, помогло переименование exeшника в 111. Запустил скрипты согласно правилам, прилагаю их к сообщению. Компьютер постоянно перезагружается, поэтому сообщение пишу поэтапно.
HijackThis не пашет - лог приложить не могу, поиск по этому форуму, если вписать sality тож не пашет (пришлось искать по форуму через яндекс, но ничего толкового не нашёл).

[url]http://virusinfo.info/showthread.php?t=15927[/url]

[QUOTE=V_Bond;313346][url]http://virusinfo.info/showthread.php?t=15927[/url][/QUOTE]

Скачивание CureIt прервалось на 94% и вообще с такими лагами и подвисанием системы сложн что-либо сделать, может мне хоть скрипт подкинете - хотя бы немного разгрузить систему..

Курейт нужно качать и записывать на диск на здоровой системе...

[QUOTE=Гриша;313356]Курейт нужно качать и записывать на диск на здоровой системе...[/QUOTE]

Это понятно, но у меня пока нет доступа к здоровой системе, мне нужн хотя бы временно разгрузить комп, неужели нет скрипта который удаляет вирус до следующей перезагрузки? Одна из прог по поиску spyware советует удалить следующие файлы:
%tempdir%\SYSLIB32.DLL
%tempdir%\OLEDSP32.DLL
SYSDLL.DLL
SYSLIB32.DLL
OLEDSP32.DLL
Может так и сделать?

у вас файловый вирус авз не предназначен для этого ...
заражаются [B]все[/B] исполняемые файлы ....

[QUOTE=V_Bond;313363]у вас файловый вирус авз не предназначен для этого ...
заражаются [B]все[/B] исполняемые файлы ....[/QUOTE]

Это понятно, но мне нужн восстановить комп сейчас, хотя бы частично. Нашёл в инете ссылку на sality_off, но он лежит на сайте каспера, куда мне вирус доступ закрыл. Может ли кто-нибудь выложить его сюда или дать альтернативную ссылку? Восстановители диспетчера и реестра авз и других прог не помогают. Можно ли как-нибудь остановить перезагрузки компа?

Еще раз, скачайте на [B]здоровой[/B] системе CureIT, запишите на диск и сделайте полную проверку... пока этого не сделаете бороться бесполезно...

[QUOTE=Sality;313389]нужн восстановить комп сейчас, хотя бы частично.[/QUOTE]
Частично - это бесполезно. Файловый вирус надо изгонять полностью, иначе он опять всё попрезаражает.

Частично разгрузить комп от этого вируса помогла прога Sality_off с сайта Касперского, сам я её скачать не смог, так как вирь закрыл доступ на сайт Каспера, друг кинул мне её по квипу. Если кто-то столкнётся с такой же проблемой, попробуйте эту прогу (в приложении к этому сообщению).
Сегодня попробую записать CureIt и LiveCD на здоровом компе.

К сожалению, доступа к незаражённому компу так и не получил - вся сеть заражена (у них ссылки указываются как битые - видимо вирь не даёт качать). А нельзя ли эти программы заархивировать под паролем и затем запустить установку, нераспаковывая архив? Ведь в этом случае вирус не сможет убить инсталл, так как без пароля изменения в файл вносить нельзя, но инсталл можно будет запустить - получится установка как с диска :). Если мои предположения верны, прошу залить CureIt и сопутствующие программы в запароленном архиве на сторонний ресурс или прямо на этот форум, только название файла смените (вирус не даст скачать, если в названии будет AVP, CureIt итп.). Спасибо ).

CureIt это самораспаковывающийся архив. Можно распаковать на другой машине.

[QUOTE=PavelA;314210]CureIt это самораспаковывающийся архив. Можно распаковать на другой машине.[/QUOTE]
Ещё раз перечитайте моё предыдущее сообщение, я не об этом вообще. Я скачал CureIt, но при инсталляции он указывает на то, что каких-то файлов не хватает и вообще инсталл повреждён, так что качайте заново. Как я понял - это дело рук вируса. Поэтому мне посоветовали скачать CureIt на здоровой машине и записать его на сд, а затем уже с сд запустить установку, в этом случае вирь не сможет повредить инсталл. Так вот, я и говорю, а чем хуже запароленный архив, содержащиеся в нём файлы нельзя повредить также как и файлы на сд. Значит если кто-нибудь из хелперов вирусинфо скачает CureIt, заархивит его и установит пароль, а затем даст мне ссылку на скачивание и пароль, то я смогу избавиться от этого вируса. Так?

Вы все не так понимаете, у CD отсутствуют права на запись, вирус их физически не может заразить, а как только вы распакуете курейт на своей машине ему кердык...

[QUOTE=Гриша;314544]Вы все не так понимаете, у CD отсутствуют права на запись, вирус их физически не может заразить, а как только вы распакуете курейт на своей машине ему кердык...[/QUOTE]

Это вы не так понимаете, я собираюсь установить курейт НЕ распаковывая его, а запустив прямо из архива: два раза кликаем на архив, вводим пароль, два раз кликаем на курейт - запускается установка. То, что вирус убьёт распакованный курейт - это и так понятно, но сможет ли вирус убить курейт, если его не распаковывать, а запустить прямо из архива - вот в чём мой вопрос :).

Не городите огород, как написано тут [url]http://virusinfo.info/showpost.php?p=166807&postcount=1[/url] так и делайте...

[QUOTE=Гриша;314795]Не городите огород, как написано тут [url]http://virusinfo.info/showpost.php?p=166807&postcount=1[/url] так и делайте...[/QUOTE]

Уважаемый Гриша, неужели так сложно ответить на прямо заданный вопрос? Я его уже несколько раз задал и пояснял. Понятное дело, я так и сделаю, как указано в ссылке, как только ПОЯВИТСЯ ВОЗМОЖНОСТЬ. Но, пока, такой возможности нет.
Если вирь способен убить инсталл в запароленном архиве и альтернатив использования здоровой системы вы не знаете - так и скажите (из ваших предыдущих сообщений не ясно, возможен ли предложенный мною вариант, вы не знаете ответа на вопрос, либо такое решение просто сомнительно).
Если моё предположение верно, заархивьте CureIt и выложите на форум - вот и всё.
Спасибо.

То есть, вы хотите чтобы мы вам дали курейт в запароленном архиве, вы его скачаете, запишите на CD и проверитесь, так? Я возможно до этого не так понимал...

Вот вам запароленный CureIT [url]http://slil.ru/26370725[/url]

Пароль 123

[QUOTE=Sality;314699]То, что вирус убьёт распакованный курейт - это и так понятно, но сможет ли вирус убить курейт, если его не распаковывать, а запустить прямо из архива - вот в чём мой вопрос :).[/QUOTE]
А запуск из архива делается через неявную распаковку на диск, во временный каталог. Так что всё равно убьёт. Не в архиве, конечно, а запускаемую копию.

От вируса я вроде бы избавился. Распаковал CureIt на своём компе, запустил - а он всё ещё живой, провёл быструю проверку - ничего, кроме srvany.exe не нашёл (а эт ясно что :) ). Отсюда вывод, CureIt не был убит вирусом, так как к тому времени вируса на компе уже не было. Я кроме sality_off ничего не юзал, знач именно он мне и помог. Так что я оч. рекомендую всем хелперам ознакомиться с прогой и в дальнейшем рекомендовать её пользователем с вирями типа Sality. Полная проверка CureIt выявила несколько простеньких и по-видимому безвредных вирей, adware и spyware (по крайней мере я их вредоносной деятельности ранее не замечал).
На всякий случай делаю повторную проверку Avz и HijackThis.
Просмотрите, мож осталась какая-нить зараза, спасибо.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\qrepvm.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите 2 стандартный скрипт...

[QUOTE=Гриша;315980]Повторите 2 стандартный скрипт...[/QUOTE]
Повторил, прилагаю

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
DeleteService('PDSched');
QuarantineFile('PDSched.sys','');
DeleteService('PDEngine');
QuarantineFile('PDEngine.sys','');
DeleteService('NBService');
QuarantineFile('NBService.sys','');
DeleteService('MyWebSearchService');
QuarantineFile('MyWebSearchService.sys','');
DeleteService('Asyndewman');
QuarantineFile('Asyndewman.sys','');
DeleteFile('Asyndewman.sys');
DeleteFile('MyWebSearchService.sys');
DeleteFile('NBService.sys');
DeleteFile('PDEngine.sys');
DeleteFile('PDSched.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

Ошибка: Undeclared identifier: 'BC_Imporall' в позиции 20:12
На всякий случай обновил avz, мож думаю такой идентификатор (метка) ток в более новой версии есть, но нет, ошибка осталась. Выполнить этот скрипт без этой строчки (без неё проверка синтаксиса ошибок не находит) ?

поправлено - выполняйте ...

При выполнении скрипта вылезло много ошибок, в карантине только один файл, его и высылаю:
Файл сохранён как 081129_164828_virus_4931c6bcc205d.zip
Размер файла 13190
MD5 bc47291565d1ee70e64a59df8b5e8237

P.S. Из скрипта убрал строчку с ребутом и перезагрузился через пару мин самостоятельно, карантин просматривал после перезагрузки. Разве это могло послужить причиной ошибок?

Давайте новые логи, будем смотреть, что получилось.

В последнее время зачастили ошибки "память не может быть read", к чему бы это. Новые логи сделал.

пуск выполнить sfc /scannow

[QUOTE=V_Bond;316400]пуск выполнить sfc /scannow[/QUOTE]

Сделал, просит диск XP (для восстановления файлов), коего у меня нет. Без диска комп не вылечить? А если достану XP, любой подойдёт или нужен именно тот, с которого установлена нынешняя винда?

нужен диск с той же языковой локализацией и тем же сервиспаком ....

[QUOTE=V_Bond;316436]нужен диск с той же языковой локализацией и тем же сервиспаком ....[/QUOTE]

Тогда эт подождёт до лучших времён, наверн переставлю винду чуть позже. Значит больше вирей на компе не осталось? Большое спасибо за помощь ).

[QUOTE]А запуск из архива делается через неявную распаковку на диск, во временный каталог. Так что всё равно убьёт. Не в архиве, конечно, а запускаемую копию.[/QUOTE]
Если не затруднит, поясните чем отличается загрузка с диска от загрузки с запароленного архива. Я так понимаю, сд диск тож должен выкладывать чтот в оперативку или во временный каталог, чтобы запустить прогу тип CureIt - и эти данные, по идее, вирус также "должен мочь" убить. Если вы говорите о распаковке из-за того, что данные заархивированы, то можно ведь архивить "без сжатия" - тогда данные будут находиться в архиве, как в некоей коробочке, защищающей их до тех пор, пока они не будут запущены.

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 6 минут[/I][/B][/color][/size]

Только что повторно заразился вирусом Sality (блокада дз и реестра), теперь я знаю источник заразы, т.к. принимал сегодня только один файл из лок. сети. Мне удалось проверить собственную гипотезу. CureIt при запуске указал на то, что файл повреждён и запуск не возможен, однако при запуске из запароленного архива он заработал и начал процесс поиска вирусов. Таким образом запароленные архивы могут заменить болванки с CureIt и другим инструментарием, надеюсь это поможет в борьбе с вирусами для тех юзеров, что не имеют доступа к незаражённым компам.

Запуск с CD выполняется напрямую. Архивы (пока что) в любом случае распаковываются на диск во временный файл.

CureIt в конце недели подкручивали для борьбы против очередных модификаций Sality/Sector, вам повезло.

[QUOTE=pig;316602]Запуск с CD выполняется напрямую. Архивы (пока что) в любом случае распаковываются на диск во временный файл.

CureIt в конце недели подкручивали для борьбы против очередных модификаций Sality/Sector, вам повезло.[/QUOTE]

Как это мне повезло? Ведь распакованный CureIt убился, а нераспакованный запустился. Если бы повезло, то запустились бы оба.

Возникли новые проблемы с компом.
1.Прежде всего, перестал работать wand оперы (автозаполнение пароля) для многих сайтов, в том числе mail.ru и этого портала. При ручном вбивании пароля ситуация та же -скидывает на повторную авторизацию, при этом в IE авторизация проходит нормально. Я предполагаю, либо это глюки с настройками оперы (но я вроде в них не копался), либо это то, о чём написано в faq mail.ru: "При включении этой опции проверяется, что все запросы в сессии идут с того же адреса, с которого она началась, если не с того, то сессия считается неправильной — и отправляет на авторизацию."- Т.е. может это троян пытается подменить адрес, поэтому сессия считается неправильной?
2 Кроме того, участились ошибки explorer'a и ошибки память не может быть read.
3 Хотел установить Касперского, но там нужн прописать /ncrc в командной строке, вроде прописываю, не помогает, установка не запускается - научите, пжлста, как эт правильно прописывать в ком.строке.
4 В HijackThis мне не нравятся строчки с O17 и O23: 1.журнал событий - что это? 2.служба записи дисков - если это запись моим двд-рв, то оставить 3.нетмитинг не нужен 4.диспетчер сеанса справки - не нужен 4.модуль поддержки и сами смарт-карты не нужны (правд я не совсем понимаю, что это) 5.теневое копирование тома. Перечисленные O23 пытался пофиксить несколько раз, но они восстанавливаются.
Также хотелось бы позакрывать ненужные и неиспользуемые порты и службы.

Я так понимаю, для этого нужна инфа по компу, так вот: это домашний ПК с выделенным интернетом, подключён к локалке, время от времени качаю файлы с компов из сетевого окружения и иногда открываю доступ, чтобы и у меня что-то скачать могли.

Всевозможные порты и службы по удалённому администрированию, управлению мне не нужны. Как можн определить ненужные порты и службы и заблочить их? Пользовался минипрогой по закрытию портов от 2ip.ru, но там всего 3-4 самых опасных порта закрыло, онлайн сканирование показало ещё 2-3 открытых порта, но я не знаю, можно ли их закрывать.
Кроме того, есть подозрения на трату излишнего траффика то ли вирусом, то ли ещё какой-нить заразой. Скачал NetMonitor от 2ip.ru - хорошая прога, но только показывает, никаких действий. Траффик Инспектор непонятная и громоздкая прога, после установки у меня вообще инет работать перестал, пришлось удалить. Посоветуйте какие-нить проги для контроля траффа, желательно с возможностью блока "левых" соединений. Спасибо.

Up

Профиксить вот это надо:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

И это всё? Хотелось бы, чтобы хелперы прокомментировали мои предположения (хотя бы вкратце, верно/неверно, почему) по поводу автозаполнения паролей и ответили на [B]все[/B] вопросы, по возможности. Короч, если другие хелперы увидят, что последним сообщение в теме оставил другой хелпер, то даж заглядывать сюда не будут, между тем, осталось много чего "дохелпить"). Так что спасибо, но либо более или менее полный ответ, либо ничего.
Кстати, этот процесс userinit.exe ведь системный, я почитал в инете, что его блокировка может привести к неправильной загрузке винды. Точно можно его фиксить?

Можно. Делается это для того чтобы поправить ключик реестра. Там в конце должна запятая стоять, тогда его Хиджак не будет в логе показывать.

По портам: есть APS на сайте Олега Зайцева.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 49 минут[/I][/B][/color][/size]

На вопрос о Хиджаке: на oszone.net есть хорошее описание всех служб. Советую почитать.
Выполнить скрипт для отключения удал. администрирования:
[CODE]begin
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RemoteRegistry', 4);
end.[/CODE]

[QUOTE=PavelA;322491]
По портам: есть APS на сайте Олега Зайцева.
На вопрос о Хиджаке: на oszone.net есть хорошее описание всех служб. Советую почитать.
[/QUOTE]
Описание всех служб почитал, многие ненужные отключил, спасибо.

APS скачал, поставил и почти каждые 5мин получаю предупреждения об атаке хакера. Часть из них я и сам могу разобрать, например сканирования локальной сети прогами типа lanscope APS воспринимает как атаку, то же и при активности некоторых портов сетевых игр. Но что делать с остальными, как понять какие из них являются параноей APS, а какие - действительно атаки? Выкладывать логи сюда? Но ведь атаки идут постоянно, причём с разных адресов.
Для примера:
атака на порт 1080;
описание: Socks 5, CoolProxy, Wingate Proxy;
статус: Тревога - хакер!!!!, Flood;
доп.сведения: 118.167.139.187 118-167-129-187.dynamic.hinet.net;
попытка: 91