Как избавиться от последствий Sality.aa, Alman.b и rootkit.Agent.a?

[dthnth]

Добрый день.

Помогите пожалуйста решить следующую задачу:

После излечения данной пакости :Sality.aa, Alman.b и rootkit.Agent.a

 

не запускается regedit , диспетчер задач и gpedit.msc где можно включить реестр с диспетчером, руткит похоже поел все.

gpedit.msc не запускается со словами - "не найден файл msimg32.dl , не dll а именно dl

 

как сделать так, что бы редактор политик запускался , и может быть хотя бы реестр с таксменеджером что б работал ?

какой нибудь скрипт в avz или что нить еще ?

 

GetSystemInfo в прилагаемом файле.

GetSystemInfo_MICROSOF_2C954E_Максим_2009_08_04_14_04_21.txt

[antispy]

ВЫполните правила

[dthnth]

вот 3 лога:

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Chief]

Был подобный вопрос -Найти и Уничтожить Win32.Sector.17

Подробно рассказано, все нужные утилиты можно скачать и более ста комментариев о решении проблемы.

[antispy]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('18B0E5C0-4FCB-11CF-AAX5-004016608512');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1113\iuhi32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

2.Пофиксить в HijackThis следующие строчки

	O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)

 

Повторите логи.

 

 

Был подобный вопрос -Найти и Уничтожить Win32.Sector.17

Подробно рассказано, все нужные утилиты можно скачать и более ста комментариев о решении проблемы.

А это тут при чём?

Насколько видно, салити прибит, остался ещё один недобиток.

[dthnth]

вот новые логи после выполнения скриптов.

реестр и диспетчер задач уже запускаются, спасибо вам огромное !

 

судя по логу avz там еще есть недобиток,

делаю полную проверку KAV

 

quarantine.zip отправлен, жду ответа )

 

полная проверка ничего не нашла,

наверное все уже ок )

спасибо , antispy, вы очень помогли !

когда придет ответ newvirus@kaspersky.com - выложу

 

с newvirus@kaspersky.com ответили, что в приложенном файле Вредоносный код не обнаружен

 

все отлично )

спасибо !

 

Сообщение от модератора C. Tantin

Не выкладывайте, пожалуйста, карантин (файл virusinfo_cure.zip)

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\kienlf.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kienlf.sys');
DeleteService('abp470n5');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма