Проблема с системой после вируса sality

[R-r]

Здравствуйте!

Прошу помощи в такой проблеме: компьютер был заражен вирусом sality (был заблокирован диспетчер задач, реестр, не показывались скрытые файлы, компьютер не грузился в безопасном режиме, блокировалась установка антивирусов - в общем целый набор).

Сам вирус вроде бы вылечил (подкидывал жесткий диск к "здоровому" компьютеру и лечил Касперским). После этого восстановил систему и столкнулся с ошибкой службы windows installer (не устанавливались приложения). При попытке запустить службу - Ошибка 1083: исполняемая программа, на запуск которой настроена служба, не выполняет функции службы. Посмотрел свойства службы, вместо исполняемого файла "C:\WINDOWS\system32\msiexec.exe /V" было прописано "C:\WINDOWS\System32\svchost.exe -k netsvcs" и имя службы вместо стандартного "MSIServer" было "rxeuyxn" (очевидно последствия заражения вирусом). Нашел в реестре ветку "rxeuyxn", но на любые действия переименования/удаления/изменения - система выдавала "нет доступа".

В общем, решил установить более свежий Windows Installer. После этого появилась служба "MSIServer" и приложения наконец-то начали устанавливаться (при это служба "windows installer" с этим странным именем "rxeuyxn" никуда не делась, все также отображается и не дает доступ на изменение.

Поставил Касперского, установка прошла нормально, активировал приложение, но после перезагрузки компьютер висит. Если убрать Касперского с автозагрузки, то все работает нормально.

Собственно, два основных вопроса: что делать с "левой" службой "rxeuyxn" и как все-таки "вылечить" Касперского.
Логи прилагаются. Надеюсь, на Вашу помощь.

[Rene-gad]

Внимание !!! База поcледний раз обновлялась 09.07.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

- Сделайте лог GMER
- Обновите базы АВЗ: (Файл/Обновление баз)
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[R-r]

Теперь опять заблокирован реестр и диспетчер задач... сидит еще вирус похоже..

[light59]

В AVZ -> файл-> Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL2R3423321');
 DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431');
 DelCLSID('12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441');
 QuarantineFile('C:\F\UCK\FK.exe','');
 QuarantineFile('C:\MEMORY\S-v-6-2009\PeAcE.exe','');
 QuarantineFile('C:\WIN\DOWS\LAX.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\WINDOWS\system32\iljttg.dll','');
 DeleteFile('C:\WINDOWS\system32\iljttg.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\fhjnek.sys');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WIN\DOWS\LAX.exe');
 DeleteFile('C:\MEMORY\S-v-6-2009\PeAcE.exe');
 DeleteFile('C:\F\UCK\FK.exe');
 DeleteFile('E:\autorun.inf');
BC_Importall;
 BC_DeleteSvc('vabkwuof');
 BC_DeleteSvc('txbgr');
 BC_DeleteSvc('tgvptci');
 BC_DeleteSvc('qmjvtxy');
 BC_DeleteSvc('lcrrdw');
 BC_DeleteSvc('kwahi');
 BC_DeleteSvc('iiuqom');
 BC_DeleteSvc('hqrfaqndk');
 BC_DeleteSvc('hgnhccpv');
 BC_DeleteSvc('hesuiyvpe');
 BC_DeleteSvc('evxdo');
 BC_DeleteSvc('abp470n5');
ExecuteSysClean;
 ExecuteRepair(10);
 ExecuteRepair(11);
 ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.


Сохраните текст ниже как 123.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service ijcpqautp
gmer.exe -del service rxeuyxn
gmer.exe -del file "C:\WINDOWS\system32\iljttg.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\rxeuyxn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\ijcpqautp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\rxeuyxn"
gmer.exe -reboot

И запустите 123.bat.
Компьютер перезагрузится


Пришлите карантин AVZ согласно правил по ссылке "Прислать запрошенный карантин"

Сделайте это http://virusinfo.info/showthread.php?t=15927. Вариант с LiveCD предпочтительней.

Повторите логи AVZ + Gmer.

[R-r]

Скрипт выполнил, левые службы исчезли, прогнал проверку Сureit-ом в безопасном режиме - опять обнаружил winsector.17.. Снова подключил жесткий диск к здоровому компу, проверил Касперским, все вылечил. Сделал логи и вот сейчас опять проверил с другого компьютера - вирусов не обнаружено.
Посмотрите пожалуйста логи. Почему-то проблема возникает с Касперским, не хочет работать, вешает систему...

[Rene-gad]

Почему-то проблема возникает с Касперским, не хочет работать, вешает систему...

Во-первых у Вас Авира не удалена до конца.
Во-вторых я бы такую непатченную систему тоже повесил...

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите

Код:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}');
 DelCLSID('{67XOR2B0-3GMC-89VV-JIJ1-24KL2R3251431}');
 DeleteFile('c:\WIN\DOWS\LAX.exe');
 DeleteFile('c:\MEMORY\S-v-6-2009\PeAcE.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.


Пока суд да дело разработайте план следующих мерориятий:

Platform: Windows XP SP2 (WinNT 5.01.2600)

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

- Установите IE 8

C:\Program Files\Java\jre1.6.0_07

- Обновите JavaRE

C:\Program Files\Adobe\Acrobat 5.0

- Обновите Acrobat Reader

[R-r]

Ого) Пошел заниматься

[Rene-gad]

Ого) Пошел заниматься

Сначала - скрипт и доудаляйте Авиру - в логе увидите сами, что осталось, потом логи... Все в порядке поступления...

[R-r]

Авиру из реестра удалил, карантина не обнаружено...

Поставил обновления XP, установил Касперского и все по-прежнему.. система висит с ним.. в чем же причина-то?

[Rene-gad]

Зловредного в логах не видно.
Удалите Касперского, зачистите систему после удаления: http://support.kaspersky.ru/faq/?qid=208635705
Скачайте самую последнюю версию с www.kaspersky.ru

[R-r]

К компьютеру уже доступа нет, поставил НОД32, заработал нормально без тормозов, полная проверка ничего подозрительного не показала.

Большое спасибо за помощь!