[решено] Win32.Sector.12 \ Sality - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Win32.Sector.12 \ Sality (http://forum.oszone.net/showthread.php?t=165718)

Win32.Sector.12 \ Sality

Доброго времени суток. Начну по порядку.
Запрос о помощи оформляю не по правилам, хотя с оными ознакомлен. Причина несоблюдения правил состоит в невозможности выполнения нескольких первых их пунктов. Похоже, вирус блокирует доступ к сайтам программ-антивирусов, из всего рекомендованного получилось скачать только HighJackThis, но логи для меня нечитабельны ввиду моей некомпетентности, так что я как бы в ситуации.
За ~10 лет брожения в сети я ни разу ни во что такое не наступал и никогда не пользовался антивирусами, так что почти наверняка можно сказать что вирус я словил с одной из двух флешек, которые подключались к компьютеру как раз часа за два до первого обнаружения симптомов вируса.
Вирус блокирует запуск диспетчера задач и редактора реестра. Впрочем, я уже научился их разблокировать, так что воспользоваться ими в целях лечения если что смогу.
В диспетчере появился ранее не обнаруживавшийся процесс 'locale.exe', явно чужой. После перезагрузки в диспетчере были спалены еще 2 левых процесса - 'w2a9406.exe' и 'rvbw.exe'.
Еще, после того как началась вся эта чехарда, перестала запускаться моя любимая игрулька. С заражением это может быть не связано, так как на официальном форуме игры приличное количество жалоб на ту же ошибку (начиная с 2007 года) и ни слова о вирусах. Тем не менее, я нахожу такое совпадение подозрительным. Что-то здесь не так, Холмс!
Пожалуй, других симптомов я пока не заметил.
Ну так что, мне еще можно помочь? Или стоит уже морально готовить себя к жесткому сексу с переносом важных данных с хардов?
Моя судьба висит на волоске и зависит теперь только от Вас.

Цитата:

Цитата Xyloq

но логи для меня нечитабельны ввиду моей некомпетентности »

а вам и не нужно их читать, просто сделать и прикрепить к сообщению.
Скачайте AVZ, сделайте логи по правилам и прикрепите к сообщению.
P.S. Базы AVZ обновлены на сегодняшний день.

Прикрепил лог hijackthis к первому сообщению. AVZ, как я уже говорил, я скачать не могу, предположительно из-за деятельности вируса.

Попробуйте скачать Полиморфный AVZ и сделать логи по той же инструкции с помощью него.

sanek_freeman, спасибо за ссылку.
Логи AVZ и обновленный лог HiJackThis прикрепил к первому сообщению.

О главном то забыл сказать. Обновить базу AVZ не получается, кнопка "обновить базу" не кликабельна.

Пофиксить в HijackThis следующие строчки

Код:

R3 - URLSearchHook: (no name) - - (no file)

        F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntfsours.exe,

        O4 - HKLM\..\Run: [AtiMonitor] C:\WINDOWS\system32\locale.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

 SearchRootkit(true, true);

 SetAVZGuardStatus(true);

 SetServiceStart('abp470n5', 4);

 QuarantineFile('c:\WINDOWS\system32\userinit.exe','');

 QuarantineFile('c:\WINDOWS\system32\netsh.exe','');

 QuarantineFile('C:\System_Cache\locale.exe','');

 QuarantineFile('C:\WINDOWS\system32\ntfsours.exe','');

 QuarantineFile('C:\WINDOWS\system32\drivers\mjtgij.sys','');

 QuarantineFile('c:\docume~1\n1de\locals~1\temp\w9b5a8.exe','');

 QuarantineFile('c:\windows\system32\locale.exe','');

 QuarantineFile('c:\docume~1\n1de\locals~1\temp\gpllk.exe','');

 DeleteFile('c:\docume~1\n1de\locals~1\temp\gpllk.exe');

 DeleteFile('c:\windows\system32\locale.exe');

 DeleteFile('c:\docume~1\n1de\locals~1\temp\w9b5a8.exe');

 DeleteFile('C:\WINDOWS\system32\drivers\mjtgij.sys');

 DeleteFile('C:\WINDOWS\system32\locale.exe');

 DeleteFile('C:\WINDOWS\system32\ntfsours.exe');

 DeleteFile('C:\autorun.inf');

 DeleteFile('C:\System_Cache\locale.exe');

 DeleteFile('E:\autorun.inf');

 DeleteFile('E:\System_Cache\locale.exe');

 DeleteService('abp470n5');

 BC_ImportALL;

 ExecuteSysClean;

 BC_Activate;

 ExecuteRepair(6);

 ExecuteRepair(8);

 ExecuteRepair(9);

 RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Воспользуйтесь рекомендациями из этой темы

После повторите логи.

Все сделал сначала по инструкциям sanek_freeman, затем по инструкциям akok. Не помогло.
После выполнения скрипта указанного akok я обнаружил quarantine.zip с весом 4,00 КБ на диске и абсолютно пустой. Хотя после скрипта sanek_freeman какой-то результат был. Тот, более старый результат могу прислать если нужно, после подтверждения.
Прилагаю к этому сообщению последние логи AVZ и HiJackThis.
Первый карантин.зип отправил касперам 6 часов назад, ответа еще нет.

Скачал Dr.Web LiveCD от соседа, нарезал на диск. В биосе поставил бут фром сиди, все равно запускается винда с харда.
Тут уже я точно что-то сделал не так. На диск помимо образа исо лежат еще pdf и txt. В чем может быть проблема?

Цитата:

Цитата Xyloq

Скачал Dr.Web LiveCD »

формат файла должен быть *.iso, для записи чем пользовались? Попробуйте ImageBurner.exe

Результат есть. Мы узнали, что файловый вирус активен в системе. Рекомендации по лечению я давал выше.

Скачал у соседа ImageBurner, нарезал CureIt. Быстро просканил, "пролечил". Имя заразе - Win32.Sector.12, или Sality, как я узнал. Похоже, не повезло мне) Кажется, лечить этого монстра совершенно бесполезно, он сразу же копирует себя обратно черт знает откуда. Какие соображения?

Xyloq, выполните рекомендации, указанные тут.

Xyloq,

Цитата:

Цитата Xyloq

Имя заразе - Win32.Sector.12, или Sality, как я узнал. Похоже, не повезло мне) Кажется, лечить этого монстра совершенно бесполезно, он сразу же копирует себя обратно черт знает откуда. Какие соображения? »

Скачайте - Quick Killer - GUI для консольных утилит Лаборатории Касперского - распакуйте и запустите файл Quick Killer.exe - установите переключатель в положение SalityKiller - выставьте галочки напротив пунктов:

1. Записать в лог 'report.txt'
2. По окончании не ждать нажатия клавиши...

Нажмите кнопку Выполнить, дождитесь окончания работы утилиты и после чего в той же директории появится файл report.txt прикрепите его сюда.

2 дня читал всякие форумы, вдумывался, пробЫвал разные замороченные скрипты запускать в AVZ. В итоге все свелось к тому, чтобы с помощью .reg файла разрешить загрузку сейф моуда и запустить из-под него CureIt. Кажись, вылечился.
Всем спасибо, вы мне очень помогли :)

Цитата:

Цитата Xyloq

Кажись, вылечился. »

Вы понимаете что такое файловый вирус? Он заражает ваши исполнимые программы, и запуск однажды заражённой программы, которой вы в данное время не пользуетесь, может привести к повторному заражению. Проверьте компьютер по рекомендации выше. Вам абсолютно ничего не нужно будет делать, но вы будете уверены что Sality обезврежен. Кстати, Sality, не только заражает, но и портит файлы, так что пролеченые файлы возможно в итоге не смогут полноценно запуститься и работать.

Цитата:

Цитата Drongo

Да полно вам кошмарить :) По результатам первого сканирования CureIt'ом было найдено несколько сотен зараженных файлов, все они вылечены\удалены. Все 3 последующих сканирования (сделал 3, да, не поленился :) ) ничего не показали, так что вроде все чисто. Пролеченные экзешники какие надо было - порепейрил\переставил. Уже несколько дней все в полном порядке.
Если будут проблемы - обязательно снова обращусь сюда. Еще раз большое спасибо за оказанную помощь.