Последствия Win32.Sality.aaa
 

После заражения и лечения вируса Win32.Sality.aa в Windows XP Home появились некоторые проблемы.
Вычистил диски с помощью CureIT и утилиты Касперского. AVZ, на мой взгляд, ничего криминального не показал.
Но тем не менее проблемы такие:
1. Жму: "Рабочий стол - Свойства - закладка "Оформление" - "Окна и кнопки" выбираю "Классический стиль". Если автоматический вход в систему не стоит, то после перезагрузки сохраняется классический стиль, а если ставлю через реестр автоматический вход, то Windows всегда загружается со стилем Windows XP. Хоть меняй на классический, хоть не меняй - все равно после перезагрузки будет стиль ХР.
2. При перезагрузке компьютера не всегда включается резидентный модуль AMON антивируса НОД-32. При автоматической перезагрузке ночью включается, а при ручной перезагрузке - нет. Логика, честно говоря, мне не понятна. Переустановка не помогает, вернее иногда помогает, но после обновления баз и последующей перезагрузке AMON опять не загружается.
Логи прилагаю.
Спасибо.

sasha-lav, Здравствуйте. С помощью AVPTool систему проверяли?
Деинсталлируйте Target Marketing Agency (C:\Program Files\Common Files\Target Marketing Agency)
Файлы
проверьте на virustotal.com
Отключите восстановление системы или очистите предыдущие точки восстановления (см. правила)
Рекомендую временно деинсталлировать AGAVA Firewall (чтобы не мешал), отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Очистите временные файлы с помощью ATF Cleaner (см. правила)
Включите AVZM (см. правила) и повторите логи.

С помощью AVPTool систему проверял, на virustotal.com файлы проверил.
Восстановление системы: включено - в логе AVZ стоит и сейчас, но я выключил службу, оставив тип запуска "Вручную". Надеюсь, так можно.
AGAVA Firewall деинсталлировал, скрипт выполнил, логи повторяю. Оформление рабочего стола как классическое вроде бы теперь закрепилось, и Amon НОДовский запускается, НО только если компьютер перезагружается в автоматическом режиме ночью (он работает круглосуточно, каждую ночь перезагружаясь). Если же перезагружать его вручную через "Пуск-Завершение работы", то AMON не запускается. В чем разница - не понимаю. И еще вопрос: а чем Антивирусу Зайцева не угодил AGAVA Firewall и в частности его рекламный модуль Target Marketing Agency, без которого AGAVA работать не будет? Почему Зайцев его удаляет?
Спасибо.

sasha-lav, Target Marketing Agency - это adware
c:\cachesys
C:\Program Files\Katren\WinPrice2
знакомо? Если да, то логам больше придраться не к чему.
Возможно из-за установленного софта, м.б. несовместимого.
Можете дополнительно провериться с помощью MBAM
Советую отключить неиспользуемые службы, отключить автозапуск со съемных носителей и настроить безопасность.
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь, если что не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

Но его же ставит Agava, только с ним можно бесплатной Агавой пользоваться!
Знакомей некуда.:-)Правда, началось это после заражения... Ну да ладно, не так часто приходится делать.Прикольно, я это убирал, у меня, слава Богу, "Безопасный Интернет. Универсальная защита для Windows ME - Vista" - настольная книга.:-) Уберу, спасибо, а то я даже и не смотрел на это.
И Internet Explorer'ом я не увидел, чтобы там кто-то пользовался в последнее время, а там девчонки работают, которые не умеют скрывать следы своего присутствия в инете. Они пользуются только заявочными программами поставщиков, от которых, по идее вреда-то быть не должно, НО тем не менее это произошло. И обновления все стоят там. Там одна проблема, инет очень медленный Dial-up, антивирусник просто не успевает обновить свои базы, а вирусы похоже успевают пролезть. Так что "следи за собой, будь осторожен!" (В.Цой) Спасибо за рекомендации, и все же вопрос про Агаву, что же её - не ставить?
Спасибо огромаднейшее!

TMAGENT . DLL , Prevx
TMASRV . EXE , Prevx
Как хотите, можете пользоваться, но вас передупреждали.
Восстановление сист. файлов sfc /scannow делали? См. метод лечения системы от файловых вирусов. Можно продолжить проверку другими утилитами, но если exe файлы изменены, что часто бывает после файлового вируса, то утилиты могут ничего не найти.
Если хотите продолжить проверку:
Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте OTListIt2, сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

До заражения стоял только штатный брандмауэр с убранными исключениями, но зараза прошла. А есть еще какие бесплатные, но русскоязычные файерволлы, Вы можете подсказать?
Да, делал. Что интересно, несмотря на то, что установлена XP Home Edition, утилита потребовала диск Professional. Или это так и должно быть?
И спасибо за дальнейшие рекомендации, сделаю!

Если вы о файловом вирусе Sality, то этот вирус не использует для распространения сеть (кроме общих файловых ресурсов), т.е. ту технологию, которые используют черви типа Net-Worm.Win32.Kido
FAQ | Firewalls (AKA Файеры, брандмауэры, МЭ или ПСЭ) - ТОЛЬКО ОБЩИЕ вопросы

Разное - sfc /scannow - проверка целостности системных файлов - .: [все вопросы] :.

Pili, высылаю логи прикрепленными файлами.

sasha-lav, сохраните текст ниже как fix.reg и примените
Проверьте на флешке есть ли файл F:\nuejrk.exe, если есть - удалите.
Больше ничего плохого не вижу.
Судя по папкам
У вас начинает сыпаться винт.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTListIt2, нажмите CleanUp!
Временные файлы можете удалить.
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Проблемы ещё наблюдаются?

Pili, спасибо, всё сделал. Наблюдается только одна проблема: при перезагрузке компьютера вручную не запускается Amon НОДа-32. Но так как компьютер этот как правило перезагружается в автоматическом режиме, то проблема не сильно актуальна. Хотя всё же интересно, чем же отличаются эти два способа перезагрузки.
Спасибо огромное за помощь.

sasha-lav, я с подобным вирусом расправился с помощью После запустил восстановление системы в AVZ4. После перезагрузки установил бесплатную Avira. По очереди позапускал установленные программы. Всё, что не удалили и не исправили вышеперечисленные, Авира плевалась на битые "экзешники". При запросе "чё делать" нажимал "лечить". При повторном запуске уже проблем не было. А у тебя, скорее всего, вирус Нода сожрал. Удали и установи заново. Просто НОД работает, можно сказать "никак". Всё пропустил.

sasha-lav, NOD попробуйте удалить и установить заново.

Pili, спасибо за помощь. Сейча всё успокоилось на том, что при перезагрузке включается стиль ХР, даже если перед этим стоял классический стиль. Зато НОД работает нормально. Попробовал переустановить, ничего не изменилось. Ну, да Бог с ним.
Нет идеальных антивирусников, как и идеальных людей.:-) А НОД-32 мне подходит по ряду причин, потому и стоит везде.

Симптомы червя kido, проверьтесь точно как сказано в рекомендациях Утилита для удаления Net-Worm.Win32.Kido (Conficker,Downup, Downadup)

Никакого kido у меня не оказалось, похоже, что это всё-таки последствия Sality.

sasha-lav, проблема, о которой вы упоминали в посте 14 ещё осталась? Брандмауэр windows включили? При проверки утилитой антивирус отключали? Обновления все установили?

Я без калькулятора с трудом до 14-ти считаю...:-) Если Вы имеете в виду самопроизвольное переключение в стиль ХР после перезагрузки, то да, проблема осталась. Брандмауэр включил. Антивирус при проверке отключал. Обновления стоят все, кроме мартовских, причем, они стояли, насколько я помню, еще до заражения.

Еще забыл упомянуть одну неприятную вещь. 21-го марта и сегодня комп вываливался в BSOD 0x000000c2 (0x00000007, 0x00000c3e, 0x00000000, 0xe2535433).
Microsoft Windows XP [Версия 5.1.2600]
Анализ дампа показал, что проблема в незнакомом мне драйвере:

Crash date: Sat Mar 21 00:11:23.593 2009 (GMT+3)
Stop error code: 0xc2_7
Process name: System
Probably caused by: uziznzyw.sys ( uziznzyw+177b )

Описание его я в инете не нашел. Не знаете, что это за драйвер?

д.б. от AVZ, выполните скрипт
Украшательства, типа VistadriveIcon не используются?
Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Скачайте DDS DDS.scr, DDS.pif или DDS.com сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

Нет.

Логи прилагаю (упакованы в один архив).

sasha-lav, в логах чисто.