[решено] Win32.Sector.12 \ Sality

okshef · Конфигурация компьютера

Цитата Xyloq:

но логи для меня нечитабельны ввиду моей некомпетентности »

а вам и не нужно их читать, просто сделать и прикрепить к сообщению.
Скачайте AVZ, сделайте логи по правилам и прикрепите к сообщению.
P.S. Базы AVZ обновлены на сегодняшний день.

Xyloq · Отправлено: **15:32, 31-01-2010** | #3

Прикрепил лог hijackthis к первому сообщению. AVZ, как я уже говорил, я скачать не могу, предположительно из-за деятельности вируса.

sanek_freeman · Отправлено: **15:44, 31-01-2010** | #4

Попробуйте скачать Полиморфный AVZ и сделать логи по той же инструкции с помощью него.

Xyloq · Отправлено: **17:04, 31-01-2010** | #5

sanek_freeman, спасибо за ссылку.
Логи AVZ и обновленный лог HiJackThis прикрепил к первому сообщению.

О главном то забыл сказать. Обновить базу AVZ не получается, кнопка "обновить базу" не кликабельна.

akok · Отправлено: **19:26, 31-01-2010** | #6

Пофиксить в HijackThis следующие строчки

Код:

R3 - URLSearchHook: (no name) - - (no file)
	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntfsours.exe,
	O4 - HKLM\..\Run: [AtiMonitor] C:\WINDOWS\system32\locale.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('abp470n5', 4);
 QuarantineFile('c:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('c:\WINDOWS\system32\netsh.exe','');
 QuarantineFile('C:\System_Cache\locale.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntfsours.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mjtgij.sys','');
 QuarantineFile('c:\docume~1\n1de\locals~1\temp\w9b5a8.exe','');
 QuarantineFile('c:\windows\system32\locale.exe','');
 QuarantineFile('c:\docume~1\n1de\locals~1\temp\gpllk.exe','');
 DeleteFile('c:\docume~1\n1de\locals~1\temp\gpllk.exe');
 DeleteFile('c:\windows\system32\locale.exe');
 DeleteFile('c:\docume~1\n1de\locals~1\temp\w9b5a8.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\mjtgij.sys');
 DeleteFile('C:\WINDOWS\system32\locale.exe');
 DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\System_Cache\locale.exe');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\System_Cache\locale.exe');
 DeleteService('abp470n5');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(9);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Воспользуйтесь рекомендациями из этой темы

После повторите логи.

Xyloq · Отправлено: **00:30, 01-02-2010** | #7

Все сделал сначала по инструкциям sanek_freeman, затем по инструкциям akok. Не помогло.
После выполнения скрипта указанного akok я обнаружил quarantine.zip с весом 4,00 КБ на диске и абсолютно пустой. Хотя после скрипта sanek_freeman какой-то результат был. Тот, более старый результат могу прислать если нужно, после подтверждения.
Прилагаю к этому сообщению последние логи AVZ и HiJackThis.
Первый карантин.зип отправил касперам 6 часов назад, ответа еще нет.

Xyloq · Отправлено: **00:33, 01-02-2010** | #8

Скачал Dr.Web LiveCD от соседа, нарезал на диск. В биосе поставил бут фром сиди, все равно запускается винда с харда.
Тут уже я точно что-то сделал не так. На диск помимо образа исо лежат еще pdf и txt. В чем может быть проблема?

okshef · Конфигурация компьютера

Цитата Xyloq:

Скачал Dr.Web LiveCD »

формат файла должен быть *.iso, для записи чем пользовались? Попробуйте ImageBurner.exe

akok · Отправлено: **11:13, 01-02-2010** | #10

Результат есть. Мы узнали, что файловый вирус активен в системе. Рекомендации по лечению я давал выше.