Показано с 1 по 11 из 11.

Проблема с системой после вируса sality (заявка № 52548)

  1. #1
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    16
    Вес репутации
    36

    Thumbs up Проблема с системой после вируса sality

    Здравствуйте!

    Прошу помощи в такой проблеме: компьютер был заражен вирусом sality (был заблокирован диспетчер задач, реестр, не показывались скрытые файлы, компьютер не грузился в безопасном режиме, блокировалась установка антивирусов - в общем целый набор).

    Сам вирус вроде бы вылечил (подкидывал жесткий диск к "здоровому" компьютеру и лечил Касперским). После этого восстановил систему и столкнулся с ошибкой службы windows installer (не устанавливались приложения). При попытке запустить службу - Ошибка 1083: исполняемая программа, на запуск которой настроена служба, не выполняет функции службы. Посмотрел свойства службы, вместо исполняемого файла "C:\WINDOWS\system32\msiexec.exe /V" было прописано "C:\WINDOWS\System32\svchost.exe -k netsvcs" и имя службы вместо стандартного "MSIServer" было "rxeuyxn" (очевидно последствия заражения вирусом). Нашел в реестре ветку "rxeuyxn", но на любые действия переименования/удаления/изменения - система выдавала "нет доступа".

    В общем, решил установить более свежий Windows Installer. После этого появилась служба "MSIServer" и приложения наконец-то начали устанавливаться (при это служба "windows installer" с этим странным именем "rxeuyxn" никуда не делась, все также отображается и не дает доступ на изменение.

    Поставил Касперского, установка прошла нормально, активировал приложение, но после перезагрузки компьютер висит. Если убрать Касперского с автозагрузки, то все работает нормально.

    Собственно, два основных вопроса: что делать с "левой" службой "rxeuyxn" и как все-таки "вылечить" Касперского.
    Логи прилагаются. Надеюсь, на Вашу помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Внимание !!! База поcледний раз обновлялась 09.07.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

    - Сделайте лог GMER
    - Обновите базы АВЗ: (Файл/Обновление баз)
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    16
    Вес репутации
    36
    Теперь опять заблокирован реестр и диспетчер задач... сидит еще вирус похоже..
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL2R3423321');
     DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431');
     DelCLSID('12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441');
     QuarantineFile('C:\F\UCK\FK.exe','');
     QuarantineFile('C:\MEMORY\S-v-6-2009\PeAcE.exe','');
     QuarantineFile('C:\WIN\DOWS\LAX.exe','');
     QuarantineFile('C:\WINDOWS\system32\01.tmp','');
     QuarantineFile('C:\WINDOWS\system32\iljttg.dll','');
     DeleteFile('C:\WINDOWS\system32\iljttg.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\fhjnek.sys');
     DeleteFile('C:\WINDOWS\system32\01.tmp');
     DeleteFile('C:\WIN\DOWS\LAX.exe');
     DeleteFile('C:\MEMORY\S-v-6-2009\PeAcE.exe');
     DeleteFile('C:\F\UCK\FK.exe');
     DeleteFile('E:\autorun.inf');
    BC_Importall;
     BC_DeleteSvc('vabkwuof');
     BC_DeleteSvc('txbgr');
     BC_DeleteSvc('tgvptci');
     BC_DeleteSvc('qmjvtxy');
     BC_DeleteSvc('lcrrdw');
     BC_DeleteSvc('kwahi');
     BC_DeleteSvc('iiuqom');
     BC_DeleteSvc('hqrfaqndk');
     BC_DeleteSvc('hgnhccpv');
     BC_DeleteSvc('hesuiyvpe');
     BC_DeleteSvc('evxdo');
     BC_DeleteSvc('abp470n5');
    ExecuteSysClean;
     ExecuteRepair(10);
     ExecuteRepair(11);
     ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


    Сохраните текст ниже как 123.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service ijcpqautp
    gmer.exe -del service rxeuyxn
    gmer.exe -del file "C:\WINDOWS\system32\iljttg.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ijcpqautp"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rxeuyxn"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ijcpqautp"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rxeuyxn"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ijcpqautp"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rxeuyxn"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ijcpqautp"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rxeuyxn"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ijcpqautp"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rxeuyxn"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\ijcpqautp"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\rxeuyxn"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\ijcpqautp"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\rxeuyxn"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ijcpqautp"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\rxeuyxn"
    gmer.exe -reboot
    И запустите 123.bat.
    Компьютер перезагрузится


    Пришлите карантин AVZ согласно правил по ссылке "Прислать запрошенный карантин"

    Сделайте это http://virusinfo.info/showthread.php?t=15927. Вариант с LiveCD предпочтительней.

    Повторите логи AVZ + Gmer.

  6. #5
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    16
    Вес репутации
    36
    Скрипт выполнил, левые службы исчезли, прогнал проверку Сureit-ом в безопасном режиме - опять обнаружил winsector.17.. Снова подключил жесткий диск к здоровому компу, проверил Касперским, все вылечил. Сделал логи и вот сейчас опять проверил с другого компьютера - вирусов не обнаружено.
    Посмотрите пожалуйста логи. Почему-то проблема возникает с Касперским, не хочет работать, вешает систему...
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от R-r Посмотреть сообщение
    Почему-то проблема возникает с Касперским, не хочет работать, вешает систему...
    Во-первых у Вас Авира не удалена до конца.
    Во-вторых я бы такую непатченную систему тоже повесил...

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Пофиксите
    Код:
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    -Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}');
     DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431}');
     DeleteFile('c:\WIN\DOWS\LAX.exe');
     DeleteFile('c:\MEMORY\S-v-6-2009\PeAcE.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.


    Пока суд да дело разработайте план следующих мерориятий:

    Platform: Windows XP SP2 (WinNT 5.01.2600)
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    - Установите IE 8
    C:\Program Files\Java\jre1.6.0_07
    - Обновите JavaRE
    C:\Program Files\Adobe\Acrobat 5.0
    - Обновите Acrobat Reader

  8. #7
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    16
    Вес репутации
    36
    Ого) Пошел заниматься

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от R-r Посмотреть сообщение
    Ого) Пошел заниматься
    Сначала - скрипт и доудаляйте Авиру - в логе увидите сами, что осталось, потом логи... Все в порядке поступления...

  10. #9
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    16
    Вес репутации
    36
    Авиру из реестра удалил, карантина не обнаружено...

    Поставил обновления XP, установил Касперского и все по-прежнему.. система висит с ним.. в чем же причина-то?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 22.08.2009 в 09:49.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Зловредного в логах не видно.
    Удалите Касперского, зачистите систему после удаления: http://support.kaspersky.ru/faq/?qid=208635705
    Скачайте самую последнюю версию с www.kaspersky.ru

  12. #11
    Junior Member Репутация
    Регистрация
    07.05.2008
    Сообщений
    16
    Вес репутации
    36
    К компьютеру уже доступа нет, поставил НОД32, заработал нормально без тормозов, полная проверка ничего подозрительного не показала.

    Большое спасибо за помощь!

  • Уважаемый(ая) R-r, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблема после вируса!
      От Alekss12345 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.12.2011, 20:50
    2. После удаления вируса sality
      От akalibr в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.07.2010, 20:27
    3. Проблема с системой после банервымогателя
      От Saruwatari в разделе Microsoft Windows
      Ответов: 2
      Последнее сообщение: 15.04.2010, 09:33
    4. Ответов: 6
      Последнее сообщение: 19.03.2009, 03:07
    5. Ответов: 0
      Последнее сообщение: 19.12.2008, 09:30

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01394 seconds with 17 queries