Удалить вирус без переустановки системы, Даже стыдно как то... Опции

Уважаемые специалисты по безопасности. Очень нужна ваша помощь.

OS - Windows XP SP3 заражённая вот этим вирусом (это на вирустотал ссылка, не бойтесь).
Анитивируса в системе нет. Установить не даёт вирус. Процесс вируса локализовать не получается, он присоединяется к какому-то системному.

При подключении к USB флеш накопителя, на нём создаются скрытая папка recycle.{645FF040-5081-101B-9F08-00AA002F954E} и скрытый файл Autorun.inf, а также модифицируются все файлы с расширением *.exe, скомпилированные без шифрования.

Портативный Dr.Web на машине запустить не удаётся, он модифицируется (а может просто блокируется) мгновенно.
Была попытка вылечить систему используя этот самый портативный Dr.Web на флешке, имеющей физический запрет на запись (выключатель такой на ней. Прелесть, а не устройство ). Антивирус запустился со второго раза и нашёл в системе более 40 инфицированных файлов. Отрапортовал о том, что успешно "вылечил" большинство и удалил, несколько dll-ок, которые, видимо, вылечить не смог. Система стала ругаться на модифицированные системные файлы, попросила установочный диск, потом ребутнулась и всё осталось по-прежнему.
В безопасном режиме загрузиться не получается (при нажатии F8 происходит перезагрузка).

Переустанавливать систему нежелательно.

То, что вирус пишет на новые флешки, у меня есть. Могу выслать запароленным архивом.

P.S. Компьютеры, с установленными антивирусами вполне успешно отлавливают эту заразу на флешках, что вы можете наблюдать в отчёте Virustotal.

Для начала: на флешке можно сделать пустой файл Autorun.inf и поставить атрибут readonly

Для начала: на флешке можно сделать пустой файл Autorun.inf и поставить атрибут readonly

Во-первых: К этому компьютеру в день подсоединяется более 20-ти новых флешек.
Во-вторых: Заражён компьютер. Заражённые флешки успешно лечатся на других компьютерах.
В-третьих: Пробовал - не помогает. Если флешка не защищена специальной программой или не имеет физического выключателя защиты от записи, создание на ней файла или папки Autorun.inf с любыми атрибутами не помогает. Файл или папка заменяется.

Сам исполняемый файл, который пишется на флешку в момент её заражения имеет какие-то хитрые атрибуты. Его даже в линуксе не удаётся удалить с диска с правами пользователя. Только от рута.

Для ясности - дома я не пользуюсь Windows. Заражённый компьютер на работе. К нему имеют доступ три или четыре оператора и осуществляется большой документооборот на съёмных носителях.

Др.Веб - это не антивирус. Можно поставить триал KAV, и если возможно - сделать это с другой машины подключив винчестер. Надеяться что уже на контролируемой зловредом машине можно поставить антивирь не стоит

gutallin
Пиши на диск _http://www.freedrweb.com/livecd/ проверяй, потом это _http://support.kaspersky.ru/viruses/avptool2010?level=2 в безопесном режиме желательно

gutallin
Я в основном выбираю следующее:
- проверка по сети с другого компа
- перестановка харда в комп с антивирусом
- liveCD с антивирусом

По сети проверить (вылечить) систему невозможно. Комп не подлючен ни к какой сети, и не должен быть подключен, ибо на HDD хранятся данные служебно-секретного характера.

По той же причине отпадает снятие винта и подключение к другой машине. Тем более, что выключать его нельзя, он должен работать круглосуточно. Его можно только иногда перезагружать

Проверка (лечение) с помощью разных антивирусов на LiveCD не помогает - вирус остаётся в системе.

Выходит остаётся только переустановка...

Этот вирус, кстати, заражает все файлы *.exe размером менее 10 Мб на всех локальных дисках.

З.Ы. Ещё раз:
Загрузка в безопасный режим заблокирована.
Ещё имеется такой симптом - во время работы постоянно идёт обращение к флоповоду.

А там какой-то специализированный винонли софт?

Нет там ничего специализированного. Любой десктопный Linux был бы вполне юзабелен.

У начальства "windows мозга" в хронической форме. Если на операторов (будут визжать, что ничего не работает) можно начихать - привыкнут, то с начальством пока так не получается.

Нет там ничего специализированного. Любой десктопный Linux был бы вполне юзабелен. У начальства "windows мозга" в хронической форме. Если на операторов (будут визжать, что ничего не работает) можно начихать - привыкнут, то с начальством пока так не получается.

Я бы предложил начальству все таки выбрать - или шашечки или ехать. Если нужны именно шашечки, то, поскольку лечение неэффективно, переставить систему и запланировать периодическую перестановку.

gutallin
Тот же др.Вэб добавил этот вирус в базу только 6 марта, скачай его свежий LiveCD и возможно он справится.

Я бы предложил начальству все таки выбрать - или шашечки или ехать. Если нужны именно шашечки, то, поскольку лечение неэффективно, переставить систему и запланировать периодическую перестановку.

Предлагал много раз уже - не помогает

Если система переустановится, то в ней уже будет установлен антивирус, хотя, конечно, нет никакой страховки от повторения неприятности.

gutallin
Тот же др.Вэб добавил этот вирус в базу только 6 марта, скачай его свежий LiveCD и возможно он справится.

Ну... Тот Curelt, которым я проверял, был от 4 марта - он вирус находил. И даже рапортовал об успешном излечении.

Попробую, конечно.

gutallin Ваша проблема решается в три этапа.
Первый - загрузка с приличного Лайф-СиДи с последующим прибитием ручками все автостарты в реестре.
Второй этап - на любой машине с резаком ставите триал Каспера, БартПЕ, разворачиваете дистр Винды - и с помощью Каспера создаёте "диск восстановления", с которого и грузитесь на заражённой машине. Откровенную гадость найдёт и вылечит. После этого - ставите на заражённую машину Каспера без активации, обновляете базы офф-лайн (подробные инструкции есть на сайте), затем - "Полная проверка" - и - усё в порядке.
К сожалению, подробных сцылок счас не дам - бо сижу в тьметаракане с очень медленным (100-120 кБит/сек) И-Нетом по сетям сотовой связи .
Орлуше в своё время давал неплохой образ Лайв-СиДи, в котором есть достаточно мощный редактор реестра - спросите, может поделится.

Спасибо за совет. Так я и поступлю.

gutallin Ваша проблема решается в три этапа.
Первый - загрузка с приличного Лайф-СиДи с последующим прибитием ручками все автостарты в реестре.
Второй этап - на любой машине с резаком ставите триал Каспера, БартПЕ, разворачиваете дистр Винды - и с помощью Каспера создаёте "диск восстановления", с которого и грузитесь на заражённой машине. Откровенную гадость найдёт и вылечит. После этого - ставите на заражённую машину Каспера без активации, обновляете базы офф-лайн (подробные инструкции есть на сайте), затем - "Полная проверка" - и - усё в порядке.
К сожалению, подробных сцылок счас не дам - бо сижу в тьметаракане с очень медленным (100-120 кБит/сек) И-Нетом по сетям сотовой связи .
Орлуше в своё время давал неплохой образ Лайв-СиДи, в котором есть достаточно мощный редактор реестра - спросите, может поделится.

:+: Отличная схема в 99% случаев. Однако я однажды попал на тот 1%, когда этот вариант не дал результата (экзотический локер).
В этом 1% помогают специализированные шарилки в реесте от Касперского и терпение. Много терпения.

Образ у меня в архиве, постараюсь актуализировать побыстрее.

А вот насчёт лечения заражённых экзешников... Почитайте у Касперского в базе, излечимы ли они. Не факт.

orlusha Вы, по Вашим словам - попали с траблом на 7-ке - а там немножко другие расклады (связанные с правами доступа к файлам и некоторым веткам реестра).
Тут же речь идёт о ХРени. Хотя - 100% анлиз удалённо просто невозможен.

gutallin,
попробуй avz (http://www.z-oleg.com/secur/avz/download.php)
скачай на домашний или другой комп (заодно и его проверишь)- обнови базы сканера -
потом - флешку и - на работу...
ежели чё - вышли ему свой вирус...
зы. в самом сканере оченна подробно Автор рассказывает о проге

Аноним Абсолютный, огромное спасибо за Ваш образ LiveCD. Проблема решена.

Есть у меня один товарищ, он пользуется Антивирусом Касперского. По моей просьбе, он создал диск восстановления со свежими базами и выслал образ мне.

Делал я следующее:
Загрузился с LiveCD, почистил разделы автозагрузки реестра, затем загрузился с диска восстановления Касперского (кстати, какой там Linux используется? не слакварь, случайно?) и запустил полную проверку. Удалил он больше тысячи файлов (зараженные файлы приложений со всех разделов). Затем запустил Dr.Web CureIt. Тот тоже 17 или 18 длл-ок убил.
Не скажу, что система стала идеально чистой, но прекратились постоянные обращения к флоповоду и флешки она больше не заражает. Спокойно доживёт до уже запланированной переустановки в конце месяца.

Отдельное спасибо, всем кто помогал, передавал дежурный оператор этой машины. Вся операция заняла 1,5 часа.

orlusha Вы, по Вашим словам - попали с траблом на 7-ке - а там немножко другие расклады (связанные с правами доступа к файлам и некоторым веткам реестра).
Тут же речь идёт о ХРени. Хотя - 100% анлиз удалённо просто невозможен.

Да, локер был на семёрке у друзей. А на ХРени (уже у меня лично) был gxvx, который так никто толком ловить и не выучился. Тут и касперский не помог. Не представляю, как он ко мне залетел, разве что с закрытого сайта заказчика.

Отличная схема в 99% случаев. Однако я однажды попал на тот 1%, когда этот вариант не дал результата (экзотический локер).
В этом 1% помогают специализированные шарилки в реесте от Касперского и терпение. Много терпения.

Образ у меня в архиве, постараюсь актуализировать побыстрее.

А вот насчёт лечения заражённых экзешников... Почитайте у Касперского в базе, излечимы ли они. Не факт.

Излечимы факт. Но опять же смотря чем заражены. Точно помню Касперским лечил от Virus.Win32.Sality экзешники, прошло без проблем, тогда как остальные антивиры требовали основательно избавиться от них. После этого на каспера пересел окончательно, пока не подводил, в том числе и с ехе.