[решено] Заражение Sality, Virut'ом и (не)работающий интернет

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Заражение Sality, Virut'ом и (не)работающий интернет

Товарищ принёс компьютер из ПЧ (пожарной части), просил как можно быстрее сделать, машина стояла у диспетчера. Для начала устранил "железные" проблемы в лице замены высохших электролитов с высоким ESR в выходных цепях источников (мелочи), затем началась фаза два, то бишь борьба с вирусами. Сразу же проверил систему с загрузочного диска KRD, вылечил что можно. После запуска утилиты winsockxpfix интернет вернулся в наш дом. Осталось добить "гадов". Прощу помочь.

Залейте файл virusinfo_cure.zip с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Выполнено. А я пока с вашего позволения накатаю на ОС обновления в лице PreSP4, им это пригодится я думаю.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Win\lsass.exe','');

 QuarantineFile('C:\WINDOWS\System32\userinit.exe','');

 QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');

 QuarantineFile('C:\RECYCLER.lnk','');

 QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\egqrcwdk.exe','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\РЕКОМЕНДАЦИИ.exe','');

 QuarantineFile('C:\WINDOWS\system32\drivers\jrqgll.sys','');

 QuarantineFile('c:\windows\system32\wdfmgr.exe','');

 QuarantineFile('c:\windows\vsnpstd3.exe','');

 QuarantineFile('F:\bfmwl.pif','');

 QuarantineFile('C:\WINDOWS\system32\8F00B2\1D8CD9.EXE','');

 QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchost.exe','');

 DeleteFile('F:\bfmwl.pif');

 DeleteFile('C:\WINDOWS\system32\8F00B2\1D8CD9.EXE');

 DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\svchost.exe');

 DeleteFile('C:\WINDOWS\system32\drivers\jrqgll.sys');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\РЕКОМЕНДАЦИИ.exe');

 DeleteFile('C:\Documents and Settings\user\Application Data\egqrcwdk.exe');

 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');

 DeleteFile('C:\RECYCLER.lnk');

 DeleteFile('C:\Win\lsass.exe');

 DeleteFileMask('C:\Program Files\pchd\', '*.*', true);

 DeleteDirectory('C:\Program Files\pchd\');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Recycler');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','run32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','F:\bfmwl.pif');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','c:\Win\lsass.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\8F00B2\1D8CD9.EXE');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\user\LOCALS~1\Temp\svchost.exe');

 DeleteService('abp470n5');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteFile('C:\WINDOWS\system32\drivers\jrqgll.sys');

BC_Activate;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Извиняюсь за долгое отсутствие - был на работе. Приступаю.

Тоже извиняюсь за долгое отсутствие, как ни странно, но тоже был на работе)))

Повторите сканирование в MBAM и удалите все строки кроме следующих:

Код:

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

C:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1059\A0327555.exe (Trojan.Agent) -> Действие не было предпринято.

C:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1064\A0328067.exe (Trojan.Agent) -> Действие не было предпринято.

C:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1064\A0329192.exe (Trojan.Agent) -> Действие не было предпринято.

G:\Program Files\Lavalys\EVEREST Ultimate Edition\Keymaker.exe (Trojan.Downloader) -> Действие не было предпринято.

G:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1056\A0327029.exe (Trojan.Downloader) -> Действие не было предпринято.

G:\System Volume Information\_restore{2D487360-C9D5-4B8D-9EB1-620E1AEB989C}\RP1059\A0327583.exe (Trojan.Downloader) -> Действие не было предпринято.

G:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Действие не было предпринято.

G:\WINDOWS\Активация_WinXP_SP2_from_mskd.ru\XPKey.exe (Trojan.Downloader) -> Действие не было предпринято.

Далее, выполните скрипт в AVZ:

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFileMask('C:\Win\', '*.*', true);

 DeleteDirectory('C:\Win\');

 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\srtserv\', '*.*', true);

 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\srtserv\');

 DeleteFileMask('C:\WINDOWS\system32\8F00B2\', '*.*', true);

 DeleteDirectory('C:\WINDOWS\system32\8F00B2\');

 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then

 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');

ExecuteSysClean;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(false);

end.

компьютер перезагрузится

Далее, подготовьте установочный диск Windows XP SP3 такой же разрядности и языка как установленная система, поместите диск в привод, запустите командную строку и введите:

Код:

sfc /scannow

нажмите кнопку Enter и дождитесь окончания операции.

Подготовьте новый лог AVZ - virusinfo_syscheck.zip

+

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

М-да. Спать я сегодня отправлюсь не скоро. :))
Так. Заминка получается, однако: SFC требует диск, а тот, что я скармливаю, не подходит, хотя WinXP SP3 Rus. Кстати, давно заметил такой прикол: даже будучи уверенным, что ОС устанавливалась именно с конкретного диска, SFC практически всегда ругалась. М.б. дело в обновлениях, которые заменили некоторые системные файлы новыми версиями? На сегодня придётся закончить.
P.S. Утро вечера мудреннее. :)

Эту ветку экспортируйте и выложите:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

+

какую букву имеет привод?

Благодарю, разобрался с SFC. :)

Отлично, почти все красиво:

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

+

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска, например C:\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

+

Протестируйте установленный софт - позапускайте, проверьте функционал - что не работает - то переустановите

Всё сделано.

Автоматическое обновление отключено-включить
остальное обновить
Adobe Flash Player 11 ActiveX v.11.4.402.278 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.4.402.278 Внимание! Скачать обновления
Adobe Reader 7.0.5 v.7.0.5 Внимание! Скачать обновления
-------------Browser------------------------------
Rambler Nichrome v.12.0.742.122 Внимание! Скачать обновления
Google Chrome v.4.0.249.89 Внимание! Скачать обновления

Выполните рекомендации после лечения

Попутно после всех манипуляций выявилась проблема с невозможностью удалить/установить кое-что из ПО - система ругалась на Windows Installer. Установка его заново (WindowsXP-KB942288-v3-x86.exe) не помогла, зато действенным методом оказалась статья из саппорта Microsoft. Можно считать победу окончательной. Остатки предыдущих антивирусных продуктов вычистил, теперь по желанию заказчика будем ставить ESET. Хозяин - барин. ;)