Ежовый угол

похоже Drweb этот вирус пропускает ,в некоторых инсталляторах он его просто не видит хотя каспер нод и др определяют как зараженный.
Интересно а лечить нормально его какой нибудь из антивирусов умеет,а то оставляют после него какие то обрезки.

я вот свой способ лечения от этого вируса нашел
достаточно все очень просто как окаазалось
если кому будет интересно пишите!

Ребята, подскажите как победить эту заразу, третий день все компы по пятому разу лечим.

Format C + проверка всего бекапа на другой, не инфицированной машине… по другому не получилось

Подцепил винт на другую машину - полностью проверил антивирусом, после этого подцепил обратно, внес изменения в реестр на восстановление (спасибо файл выложили). Вроде нормально пока.

еперь эта сволочь не дает запускать ни один антивир, отрубает диспетчер задач и не дает редактировать реестр (поймал на флэшке на не вирусованной машине) а насчет инет кафе это бред такого дерьма оттуда можно принести….

Сотрудник подцепил такой вирус флешкой (и я от него тоже). Повозился, но вроде вылечил. Грузился с диска. Пользовался Dr.Web CureIt! и потом НОД+файрвол. Полезно также:

Для редактирования реестра пользовался прогой rrtri.exe

включение диспетчера задач:
ставим ноль в ветке реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr

реестр разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001

Отличный способ!! Рекомендую всем. Только, если он в сети предприятия, то обязательно отсечь все компьютеры и подключать к сети только после выполнения этой проверки (и обязательно со свежим антивирусом. Можно тестовую версию касперского КИС 7. Думаю, месяца хватит, чтобы вытравить следы этой гадости с флэшек и прочих клиентских носителей :))

На прошлой неделе возникла ситуация, что этот вирус парализовал работу всего офиса. В субботу вроде как все вылечили, но после запуска сервера все пошло по новой. Обновленный DrWeb нашел такую штуковину как win32.sector.9 Вроде все обыскал в инетрнете, ничего не слышал, на официальном сайте веба тоже ничего нету. Может кто сталкивался?

На днях столкнулся с той же ситуацией. Нод32 с актуальными базами пропустил «заразу» с флеш накопителя. Вирус идентифицированный DrWeb-ом как win32.sector.9 при сканировании Нод-ом32 был определен как файловый вирус Sality.NAR. Причем Нод излечить зараженные файлы отказывался и тупо их валил. DrWeb в этом случае проявил менее радикальный подход. Решил проблему излечив систему Dr.Web CureIt!. предварительно записав ПО на диск и собственно загрузившись с загрузочного диска, в этом же режиме подгрузивши в первую попавшуюся под рукой утилиту (RegCleaner) файл реестра ntuser.dat (актуальной учетной записи) в ветви [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалил параметры: REG_DWORD DisableTaskMgr и REG_DWORD DisableRegistryTools
Перегрузился и порядок.
P.S. Хотя форматирование оно все равно надежнее :))

Win32.sector.10 попал через флешку на 2 компа. Один вылечен переустановкой WinXP и немедленным запуском CureIt. Второй по следующей схеме:
1)Загрузил ERD Commander с диска
2)Запустил CureIt с чистой флешки (заранее скачанной чистым компом) на полную проверку с самыми жесткими установками
3)Затем перезагрузка компа, восстановление доступа к реестру и диспетчеру задач, а также ветвей реестра, ответственных за безопасный режим, с помощью RegOrganizer.

Поздно заметил заразу .. Обе домашние машины (xp sp2 x32, xp sp2 x64) оказались плотно инфецированны Sality.z и Trojan.Win32.DNSChanger.ech (который кстати никак не скрывал свое присутствие)
Возможности подключить устройства хранения данных к чистым машинам не было, лечился (точнее пробивался) установкой с CD (с третьего на одной и со второго на друго) касперского 7 сразу после загрузки ОС (видимо вирус не всегда прогружается первым …) не давая перезагрузится после установки обновил базы до 17.08.08 и после чего касперский ругнувшись на поврежденные базы и невозможность загузить компоненты защиты успешно покинул память. Перезагрузка с ресета и касперский таки начал делать свое чистое дело, одновременно повторно обновил поврежденные базы и приступил к лечению (всего было обнаружено 22 инфецированных объекта на одной машине и 148 на другой, которые все располагались в зоне используемых приложений и системных компонентов, все были успешно излечены) проверил по описанию вируса (указанное вверху страницы) места заражения и следы вируса, система чистая.
Я не призываю делать то же самое, лечить полиморфы поражающие исполняемые файлы с зараженной машины занятие не просто глупое, я бы даже сказал бесполезное. однако факт на лицо, не имя возможности подключится к другой чистой машине - не надо отпускать рук.
p.s. откатил реестр на дату до заражения вируса …

Компьютер был заражен Virus.Win32.Sality.z, но это никак не проявлялось, после одноразового отключения защиты (не помню по какой причине) Касперский просто перестал запускаться, появились глюки при работе других программ.
Снял винт и подключил к другому компу с установленным Касперским, после повторной перезагрузки и на этом компе перестал запускаться антивирь, еще раз перегрузил комп в безопасном режиме , вручную запустил касперского , пролечил зараженный винт, пролечил саму машину. Пока все работает нормально!
Вывод - не лениться делать полную проверку на вирусы )))

Я принесла на домашний комп данный вирус с флешки… причем побочные действия очень разные. Сначала заразился рабочий комп, действия были такие:
1.почту на мыле можно было только писать, читать возможности не было
2. комп гулял по интернету где ему вздумается (когда проверяли на сервере куда делся траффик, были показаны интернет сайты, которые не существуют!!!
3. отключился диспетчер задач и редактор реестра (в реестр можно было проникнуть только через regcleaner)
Когда же злополучный вирус пришел ко мне домой на флешке, он начал вести себя очень агрессивно и совсем не так…
1. начал просто выключаться монитор (комп работает, а монитор нет)
2. перестали загружаться сайты антивирусов
3. отключился диспетчер задач и естественно редактор реестра
4. комп просто висел и ничего не делал, видимо вирус творил свое грязное дело.

Сейчас обновила полностью антивирусные базы и комп стоит на полной проверке…Посмотрим что из этого получиться(((( форматировать так не хочется…. но чувствую что придется….
Главное чтоб после формата он нигде не остался…. а то это будет совсем обидно(((((
Кстати антивирусник стоит NOD32 и находит данное ZLOOO под именем WIN32/Sality.NAR

Описанный выше способ эффективен с одним “но” - надо зайти в безопасный режим, который блокируется вирусом, что составляет проблему. Но это решается просто - валим систему ресетом и после ребута появится меню некорректного завершения работы, в котором есть безопасный режим и работает клавиатура для его выбора. А дальше - дело техники.

Ключ не помогает, точнее уже не вылетает экран смерти при запуске safe mode, но загрузка висит с надписью “запуск Windows”. Дальше не идет Что делать ?

Да, респект большой.

Загрузка в безопасном режиме не работает, это факт. Зато работает загрузка с восстановлением каталогов (вроде так оно звучит).
Сначала происходит check disk, а потом происходит загрузка в безопасном режиме!
После этого вставляется диск с записанным Cureit и Nod32.
Сначала прогоняем Cureit’om, ему не нужна никакая установка, делаем полную проверку. У меня при этом обнаружилось 1320 зараженных файлов.
После этого добиваем полной проверкой NOD32 и лечим реестр.

Люди, подскажите, курейтом лечить лучше в безопаснике и достаточно обычного режима?!… просто у меня ситуация такая, поймал я Секторо.10… диспетчер и реестр не подвластный, и самое ужасное, что поймал всё енто дело на Сервер…. а у нас тут магазин… все почти в терминале трудятся… прям щас гоняю Сервер Курейтом, уже нашёл более 400 *.exe и исцелил… что потом делать после прогона? подскажите?!

Вопрос не в том как его сейчас вылечить а как найти спопсоб не дать ему распространица через флэшки сотрудников которые они таскают то домой то куда либо еще. разьяснения типо вставил проверил не действуют.

может тоже полезно будет кому…
недели две назад в сети на работе завелся вирус, в процессе выявления хотябы названия каспер обозвал sality.aa, а дрвеб sector.11.
Естесственно редактор реестра, таск менеджер и безопасный режим были заблокированы. Создавали пользователей на машинах с НЕ АДМИНСКИМИ ПРАВАМИ, почемуто в таком случае вирус себя так рьяно не проявлял. Далее качали CureIT и AVP Tool и запускали их с компакт дисков от имени администратора. Доктор вебовский куреит обнаруживал вирус в редких случаях, авп тул находил в большом количестве в файлах *.exe и вроде как излечивал (часть файлов портилась).
Ну а далее ребут, восстановление реестра и запуск в сеть…
Так как организационно достаточно сложно (около 200 компов, истерика в бухгалтерии) то вирус и по сей день гуляет. Замечено что компы без расшареных ресурсов вновь пока не заразились.
Надеюсь кому поможет, а пока лажу по инету в поисках приемлемого для себя решения.

Про расшаренные ресурсы, это правда, было у нас около 10 компов в бухгалтерии, заразились только те, у которых были сетевые папки расшарены

у меня появилась эта зараза как Sality.s, касперский только успел на нее ругнутся и тут же умер. у меня стоит 2 винды на разных винтах, при том второй винт как раз отдал другу. Загрузился с него, обновил каспера, проверил все, вылечило 85 файлов. Первый диск с виндой отформатил, но как начал ставить прорги, эта гадость снова появилась! за день переустановил винду 4 раза!
Появились 2 подозрения:
- после быстрого форматирования (очистка оглавления) на диске остается рабочий код вируса, который снова активируется при установке винды.
- в вылеченных прогах остается какой то рабочий код тела вируса, который антивиры уже не видят (касперский 7 и нод32), но он может снова раработать.
Может такое быть?

P.S. при последней установке винды я сделал полный формат диска С (из второй винды) и не трогал те проги из инстала, что были вылечены.

Последние три дня бились с Win32.Sector.10
Стабильно его видел только Avira, но не лечил. Кое-как кое-что лечил AVP Tool. Но это 20% от всех зараженных файлов
Сегодня cureit сообщил что это Win32.Sector.12 и удачно его излечил. Дальше действия по первому посту.,

Это убийственый вирус :((( большинство exeшников скушалал :’(

подхватил сегодня утром этот вирус каждый антивирь по разному его пишет…во время заметил не ладное, было заражено 3 машины, 2 сразу успел вылечить, пробежавшись в каждом компьюторе антивирусом nod32,kis7.0,b dr.wed с последними базами, вроде помогло, а инициатор заражения вылечить не могу..все время появляется заново..не чего нельзя открыть требует права администратора..но антивирус кое как запустить на нём смог..посмотрим что будет дальше..самое обидное тот компьютер сервер..пришлось выдернуть шнур..так как он еле еле работает..производительность упала до минимума..пытаешься что нибудь запустить виснет..диспетчер не открывает..просто работает как калькулятор..)))) вообще откуда это зараза полезла???

В пятницу объявилась новая модификация которую cureit не видел.
avira по прежнему видит, но не лечит.
Сегодня утром cureit по прежнему не видел. По virustotal.com эту версию определяли 26 из 36 антивирусов. К обеду отправили ещё один зараженный файлик на вирустотал. 11 из 36 )
После обеда ещё одна версия вируса отправлена на вирустотал - ещё меньше антивирей видят эту гадость. Cureit, по прежнему не видит. Перестал видеть nod32. Avast и Avira вроде как ловят.
Завтра попробую отловить откуда эта гадина обновления утягивает..

Вчера принесли на флешке Sector.12, сразу по сети он прорвался ко мне на сервер, nod32 один раз ругнулся на него и брагополучно вышел из строя. Сижу лечу его cureit-ом, но он все время размножается.
Помогите, ответте плиз, он портит часть реестра или только его блокирует. У меня на серваке висит связь с банками, и переустановка винды особенно в конце отчетного периода мне смерти подобна.

Попробовал такую последовательность, помогло (почти):
- Скачал CureIt!
- Скачал Registry Manager (rrti.exe)
- Скачал .reg файл для восстановления SafeBoot
- Отрубил сеть
- Поставил rrti.exe
- Запустил его, поправил строки HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System\DisableRegistryTools
- Зарегил .reg файл (до этого, ясное дело, нельзя было!)
- Перезагрузился в Safe Mode
- CureIt! всё полечил

Перезагрузка - и всё ок (вируса нет)!
Теперь проблема - этот комп не видит других компов в домене…

>Теперь проблема - этот комп не видит других компов в домене…

Уже решил:
вирус запортил реестр(?), не работал NetBT
sfc /scannow не стал пробовать - не было диска под рукой
скачал WinSockXPFix, он полечил соединение
а потом просто передобавил в домен…

подскажите плиз…. уже отписывался по поводу Sality.aa, так его каспер 7.0 видит, а курейт видит как win32.sector.10… вообщем у мну на сервере эта хрень присела, прогнал курейтом… старым… вообщем полечил он мне, а вот вчера закачал нового, запустил… вообщем какого-то хрена у меня в процессах повис курейт и setup его, а скидываться не хотит (диспетчер отключен, поэтому обнаружил процессы путём procceskillera, но он мне не сбрасывает всё равно данные процессы)…. я вот думаю, что мне делать, сервер ещё ни разу не перезагружал.. если честно боюсь енто делать, так как у нас торговый центр, и база 1С-совская висит на сервере, ну соответственно, время - деньги, а начинаю прогонять новым курейтом, он виснет при обнаружении в оперативке старого курейта… не знаю чего теперь делать?!

Боюсь, что при перезагрузке сервера он не загрузится снова *( (верны ли мои опасения? кто знает?!)

Здравствуйте товарищи по несчастью. Данный вирус на моих машинах определился как Win32.Sector.5(или Sector.8, если в процессах). Почитав ваши посты, пришел к выводу что у меня все не так уж и страшно, пока что, думаю что то мешает этой гадости нормально обновлятся, возможно прокси? Пока что вирус ведет себя довольно тихо, реестр и диспетчер не убивает, тихо в уголочке калечит “екзешники”, 70% которых потом вылечивает ДрВэб(который компактный, без установки), Касперский так-же его лечит и даже не умирает. Симантек был убит везде, где побывал вирус, так же эта сволочь постоянно убивает РАдмин Viewer 3.2 на одном из моих рабочих компов. Юзеров гад особенно не тревожит, работу 1С во всяком случае не убивает, но затормаживает, так что паники нет, пока что. Очень надеюсь на появление эффективного способа лечения гада, чтоб сразу машины десятками чинить.

Zerdna все лечиться реест только блокируется…разблокировать можно..у нашего сотрудника это благополучно получилось..с помошью проги открыл реестр и просто заменил то ли 0 на 1 толи наоборот..

Zerdna все лечиться реест только блокируется…разблокировать можно..у нашего сотрудника это благополучно получилось..с помошью проги открыл реестр и просто заменил то ли 0 на 1 толи наоборот..

читайте способ предоставленный в начале статьи..он все же помогает..только приходиться по 4 раза подряд антивирусник пускать..мне помогло))3 своих машины я вылечил таким способом))

Спасибо, много полезного почерпнул.

Доброго времени суток, уважаемые дамы и господа.
Столкнулся с подобной проблемой неделю назад, методы лечения, описанные выше, оказались весьма эффективными, но есть кое-какие досадные мелочи, которые не дают жить спокойно. Ну обо всём по порядку.
Клиентские машины: Windows XP Professional, sp2.
1. На 3-х машинах из 5-ти правка реестра не потребовалась: отключение от сети, Safe-mode, быстрый прогон, полный прогон, загрузка в обычном режиме и снова полный прогон с помощью Dr.Web CureIt! Лечение удалось, машины в сети, всё в порядке.
2. Оставшиеся 2 компа. На 1 одной машине так и не удалось излечить файл system32\mmc.exe по причине ошибки чтения. 2 машина сдалась только после 2-го полного курса лечения по инструкции.
Теперь о самом грустном:
1. Сервер под управлением Windows 2000 Server. Подняты роли: контроллер домена, сервер печати, файловый сервер. Имеется раздел на втором жёстком для обмена информацией между отделами. В первую очередь вирус сел именно туда, причём с неким файлом autorun.inf, который не удавалось ни открыть, ни удалить как средствами Windows, так и специальными прогами. Решить проблему удалось с помощью программы UnHackMe, проверка boot. Только тогда удалось избавиться от данного файла. Сделано это только сегодня утром, до этого победить заразу не удавалось никак.
Встречал ли кто такой файл среди своих вирусов? Или у меня своя разновидность с ручной доработкой? Привожу пример скрипта:
[KILL.B]
audiohqu.exe
rcman.exe
ctsysvol.exe

ну и далее всё в таком же духе.

Есть подозрение, что это дописка не входила в комплект с самим вирусом, а дописана каким-то умельцем. Выводы сделаны на основе системного журнала больной машины.
2. Второй сервер, под управлением Windows 2003 Server R2. Подняты роли: файловый сервер, сервер печати. На нём крутится несколько программ, в том числе “Консультант +”. В папке с “Консультантом” были обнаружены небезызвестный файл autorun.inf и различного имени файлы с расширением *.pif
Эти pif’ы легко выносились с помощью NOD32, но с autorun.inf ничего сделать было невозможно, также как и в случае с первым сервером.
Что вы по этому поводу думаете? Есть ли варианты полного излечения серверов от этой заразы? Потому что падение сервера не приведёт ни к чему хорошему, даже при наличии бэкапов.

Автораны можешь смело удалять. Если они на сервере заняты на расшареных ресурсах - значит какой-то комп по сети их держит. Заходи в “Мой компьютер” - “управление” - “Общие папки” - “Открытые файлы” и смотри какой комп держит эти автораны. Потом там же, но в “Сеансах” находишь этот комп и прерываешь ему сеанс доступа (правый клик и выбор). Но может и не помочь, потому как это признак того, что удаленный комп заразный и он снова полезет на сетевые ресурсы. Так что смотри, кто у тебя на сервере эти автораны держит, выключай те машины, лечи их (100% заразные!) и удаляй эти автораны на сервере (не забудь удалить с ними и пифы). Ну и прогони сервад для порядку антивирем.
Новая разновидность этого вируса (Win32.Sector.12) кстати блокирует доступ к реестру и к диспетчеру задач. Лечится сторонним редактором реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
Там ключи ниженазванные дожны иметь значение “0″
DisableTaskMgr
DisableRegistryTools
Если их значение “1″ то быстро меняй второе значение на 0, применяй скрипт для безопасной загрузки и грузись в безопасном режиме. Дальше всё то же. Потом можешь после лечения пройтись AVZ и исправить непорядки в реестре.
Бывает иногда, что после вебовской утилиты вирус остается. Т.е. при нормальной загрузке он заново активируется. Помог в этом случае KAV 2009 на исправной машине - подцепил винт и вылечил все без остатка.

Возможно это пригодится кому.) Нам надо защитить файл от изменения, от вируса.
Защитим файл Explorer.exe , идем в безопасный режим, открываем свойства файла,
ставим атрибут Только чтение, далее в вкладку Безопасность.
Здесь стоит добавить, эта вкладка часто содержит права для нескольких юзеров,
проверка этих прав, если их много , занимает время, т.е. снижается производительность диска,
загружен процессор. Так вот Добавляем сюда пользователя Все, по возможности оставить только этот ,
другие удалить, и ставим атрибут запрет записи.
Теперь этот файл неудалить , не изменить, незаразить ) также можно защитить и другие уязвимые файлы, пример, regedit.exe , файлы системных процессов svchost.exe , csrss.exe , isass.exe
services.exe , smss.exe , taskmgr.exe , winlogon.exe и др, только не те которые система изменяет часто,
логи и реестр.

Не забываем, что sality залазит в system volume information. Curelt все файлы не находит, надо обновленным антивирусом прогонять.

Привет всем! я дважды натыкался на эту мерзасть,первый раз пришлось форматировать все лок.диски,потом нашел решение:

ОБЯЗАТЕЛЬНО ОТКЛЮЧИТЬ КОМПЬЮТЕР ОТ СЕТИ!!!! ВЫНУТЬ ПРОВОД ИЗ СЕТЕВОЙ КАРТЫ!!!
1) Скачать на НЕзараженном компьютере с этого сайта бесплатную утилиту для удаления вирусов CureIT от DrWeb и записать её на диск или если есть флешка с защитой от записи, то можно на неё.
2) Далее копируем вот это:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
“AlternateShell”=”cmd.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@=”FSFilter System Recovery”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@=”Universal Serial Bus controllers”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@=”CD-ROM Drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@=”DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@=”Standard floppy disk controller”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@=”Hdc”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@=”Keyboard”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@=”Mouse”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@=”PCMCIA Adapters”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@=”SCSIAdapter”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@=”System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@=”Floppy disk drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@=”Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@=”Human Interface Devices”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@=”FSFilter System Recovery”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@=”Universal Serial Bus controllers”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@=”CD-ROM Drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@=”DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@=”Standard floppy disk controller”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@=”Hdc”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@=”Keyboard”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@=”Mouse”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@=”Net”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@=”NetClient”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@=”NetService”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@=”NetTrans”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@=”PCMCIA Adapters”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@=”SCSIAdapter”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@=”System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@=”Floppy disk drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@=”Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@=”Human Interface Devices”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
“Authentication Packages”=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00
открываем блокнот, вставляем туда этот текст и сохраняем файл с именем restore_boot.reg (предварительно в “свойствах папки” необходимо снять галочку с “скрывать расширения для зарегистрированных типов файлов”)
После того как сохранили, запускаем его и на вопрос о “слиянии с реестром” отвечаем: ДА
3) Отключаем восстановление системы:
На рабочем столе значок “Мой компьютер” по нему правой кнопкой мышки > СВОЙСТВА > В свойствах выбираем вкладку “Восстановление системы” и ставим галочку где написано “Отключить восстановление системы на всех дисках”
4) Делаем перезагрузку компьютера и заходим в безопасном режиме. Для того что бы загрузится в безопасном режиме необходимо во время загрузки нажимать клавишу F5 , на некоторых компьютерах F5 не срабатывает и необходимо вместо F5 использовать F8.
После того как загрузились в безопасный режим, вставляем в привод диск с записанной утилитой CureIT и выполняем ПОЛНУЮ проверку компьютера. Те файлы которые возможно вылечить исцеляться, которые невозможно вылечить удаляем.
5) После полной проверки компьютера в безопасном режиме, перезагружаемся и входим как обычно, устанавливаем заново свежий DrWeb и выполняем полную проверку снова.
Надеюсь комуто поможет

Да, есть над чем задуматься. Спасибо!

http://www.musthavesoft.com/download/Windows_Utilities-System_Utilities-Advanced_Process_Termination-2.1.html
Альтернативный диспетчер задач, мочит всё, что угодно (12 разных способов)
Юзал его, хотя было уже поздно.
Про CureIt не знал, комп таскал к другу и катал НОДом, потом - реинсталл Винды.

Здравствуйте, короче хочю я вас обрадовать, вылечил я эту заразу, говорю все по порядку что нада сделать!

1. Скачиваем програмку Sality_0ff.exe (Только понятное дело не с зараженого компьютера, и запускаем её с архива так как этот вирус незаражает “.rar” ждем пока она просканирует и она когда просканирует вылечит эту заразу!)
2. Скачиваем CureIT (И сканирум им)
3. Чиним реестр с помощью установки ключа как указано выше в инсрукции.

И комп супер работает! ))

А флешки только лечита форматом и все!

Тут что-то похожее на Sality_off.exe:
http://translate.google.ru/translate?hl=ru&sl=en&u=http://www.4shared.com/file/44269760/cd6a02be/SALITY-CLEANER.html%3Fs%3D1&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3Dsality%2Bcleaner%26hl%3Dru%26lr%3D%26newwindow%3D1%26sa%3DG

У меня даже реестр заблокирован, что делать?

Arthuryk огромное спасибо, сделал все как ты описал и помогло!!! правда есть небольшие нюансы) описываю: помимо обычного заражения файлов может быть так же занесен непосредственно сам файл установки вируса, как в моем случае. Эти папки, с установочными файломи вируса, так же удаляються в безопаснорм режиме. единственное что необходимо открыть полный доступ к ним.
А так все получилось просто супер, без всяких форматирований и так далее, СП еще раз.

внесите изменение в реестр… ну как вы это сделаете если доступ к реестру эта дрянь тоже отрубает. если удаётся попасть в реестр другим способом и изменить значение на разрешение доступа в реестр то через несколько секунд у вас на глазах это значение меняется на предыдущее запрещающее доступ к реестру.

хех непойму зачем такие страдания если можно элементарно поставить себе антивирусник Avast и непариться как это сделал я подцепил где то этот вирусняк как только вирус заразил пару эксешников сразу сработала резидентная защита в итоге антивирь убил процесс с вирусом перезагрузил комп далее аваст активируеться до загрузки приложений удалил 2 программы чтоли почитстил систему и все проблемы с этим вирусом на этом и закончились флешку просканил удалил вирусняк на этом история благополучно заканчиваеться AVAST мега антивирь сколько раз в этом убеждаюсь… хоть он по большей части и не лечит как другие дак и не в этом его фишка суть в том что он сразу находит либо предотвращает появление на компе вируса а даже если вирус и попадет то просто тупо тут же сносит зараженный файл тем самым избавляя от проблем…

Сейчас воюю с ним. Если у кого-то полная попа могу посоветовать вебер с новыми базами запустить через дос. Он всё понаходил. Но правда немного дерьма осталось. Есть ещё апупенная прога avz.exe она и в реестр залезет, и ещё много куда.

Только-только отвоевался!
Использовал в безопасном режиме Dr.WEB с последними базами.
Перезагрузившись решил на всякий случай проверить с помощью Dr.WEB LiveCD (http://www.freedrweb.com/livecd) (грузится из биоса на основе Линукс, что позволяет незаразится после проверки, прога бесплатная с лицензией на несколько месяцев).
Результат: win32.sector.12 находила в папке System Volume Information.
Т.о: виру себя резервирует в этой папке.
Совет: 1. С помощью MidnightCommander’а (аналог ТоталКомандера в Линуксе) мочить System Volume Information незадумываясь, чем сэкономим время на проверку;
2. Проверять нужно только файлы с расширением *.exe, посему в Вэбе выставляем проверку только данного формата файлов. Т.о. экономим приличное количество времени на проверку.

Хэв Фан!
open_sky Ярослав

как в безопасный режим зайти у меня не заходит из за вируса?? можно удалить вирус без безопасного режима???

А у заразившихся sality нет выхода на сайт касперского.-)

А заранее ставить на комп антивирус никто не пробовал??? Вот у меня 4 года каспер стоит (версии, естественно меняются)! Я в инете постоянно + приношу почти каждый день заразное железо!!! Работа такая :))) И НИОДНОГО глюка! Щас KIS 8 стоит, интерфейс тупой конечно, но сканер ничего так! Заплатки на винду ставить НЕ забывайте товарищи! А когда ПИ…. поздно думать…

Борюсь с этой заразой, пока не особо получается.. скажите, а кто-нибудь юзал тулзу Sality_off? Только что слил ее с сайта каспера, хочу запустить ее, после прогона CureIt. Есть ли смысл в этом?

Кстати, непогрешимая Авира, которую я постоянно использовал, пожрала сама себя xD

вчера на 9 компах лечил эту заразу в безопасный режим заходил используя файл реестра приложенный в первом посте внедренный в систему при помощи тоталкомандера вкладки Сеть/FSплагины заходил там в реестр и тупо удалял ветку которая отвечает за редактирование реестра и мгоновенным запуском файла безопасного режима если не успели то повторяем заново потом после удачного завершения включался в безопасный режим и начинал сканить курелтои от веба потом восстановление реестра установка нод32 обновление баз перезагрузка и запуск полной проверки курелтом с включенным нодом для надежности ( то что не схватит вэб блокирует нод) все работает вирусов нет можно вздохнуть спокойно…

Мой комп заражён Virus.Win32.Sality.aa и Virus.Win32.Hidrag.a
Вопрос простой.
Заражают они медиа файлы (фотки, музыку, фильмы и т.п.) или нет?
Спрашиваю к тому, что хочу перенести их на чистый жёсткий диск, а заражённый просто напросто
отформатировать.
Не перекочуют ли эти вирусы вместе с этими файлами?

У меня все новый CureIt лечит скачал с официалки дохтора веба все пролечил и поставил касперского и норм работает

Фильмы и музыка не заражаются, а вот носитель на который ты будешь их копировать будет заражён.

ВСЕМ ВСЕМ ВСЕМ!!!!!!!!!!!!! Я СКАЧАЛ Panda Global Protection 2009 И ВСЁ ВЫЛЕЧИЛ, СОВЕТУЮ!!!

Приехал ночью домой сел за комп по мсну прислали мрз песню одну потом установил старую версию QIP и перезагрузил комп в связи с устоновкой последних обновлений для винды хр,и тут началось))) к Ctrl+Alt+Del доступ закрыт ,к regedit в командной строке заблокирован,CCleaner,AnVir Task Manager,Spybot - Search & Destroy эти проги тоже не запускаються.сайт касперского заблокирован ,попытался установить касперского тоже не получаеться блокируеться. работает только Ad-Aware SE Personal и тот находит 6 троянов удаляет их,но после они снова появляються,пытаюсь зайти в безопастный режим а там вылетает синий экран смерти вообщем и туда доступ закрыт,ну думаю приехали)))))

В итоге получилось только откатить систему на более ранеее число и после этого только заработало всё и смог в безопастном режим просканировать весь ком итог 547 файлов заражены одним и тем же вирусом Virus.Win.Sality.aa + 7 троянов. 3 террабайта касперский сканировал 9 часов))))

все превед! пригласил товариж в гости и показал эту дрянь. пробовал прогонять куретом вебовским лечит покалечанные .ехе но не более. нод вируса видит но не удалял(страые базы на машинке) сейчас скачал утилитку http://support.kaspersky.ru/faq/?qid=208636131
http://notes.rudomilov.ru/wp-content/uploads/2008/07/restore_safe_boot.zip отсюда ключ . порядо следущи: на флешку ключ,утилитку от каспера, (два ключика оттуда же). запускаем ключ restore_safe_boot/ отвечаем ДА/перезагружаем машинув порцессе загрузки жмем ф8/ выбираем безопасный режим/ запускаем утилиту от касперыча(на сайте хороший мануал)/ после в том же безлоапсном режиме к4урета. мне помогло.

НЕреклама Касперского, быть может кому-нибудь и поможет.
http://www.kaspersky.ru/support/viruses/solutions?qid=208636131

Бля….почему я не догадался найти эту стаью раншье. Уже запустил переустановку винды…Фак! это вирус мне вытрахал мозг вообще конкретно. Если бы я увидел создателя, сначала бы пожал ему руку, а потом бы уебал со всей дри ему в торец!

Вы мне объясните Скачать CUREIT ПРОВЕРИЛ ВЫЛЕЧИЛ СНОВА ЗАПУСТИЛ И СНОВО НАШЕЛ????????? ЧТО ДЕЛАТЬ????((((((((((((((((((((((((((((((((((((:(((

виндовс перестановил, думал всё чисто никаких вирусов, к никакой сети не подключен, но потом смотрю диспетчер задач и реестр опять заблокированы, скрытые системные файлы показывает 1 минуту и опять скрывает, опять на вкладке показывать скрытые системные файлы вставляешь галочку и снова через минуту скрывает… Что это за вирус и как можно лечиться, по-моему при блокирование реестра и диспетчера задач системные файлы вообще не показываются…..

[Можете считать рекламой]
О господи… Сколько же проблем приносит обычный автозапуск на флешках! А ведь спасение есть - “Зоркий Глаз 5.1″ ))) Моё творение. Блокирует ВСЕ, даже новые и неизвестные вири. (если что, всегда можно восстановить). качайте, я не жадный: http://www.exnax.narod.ru в разделе МОИ ПРОГРАММЫ.

на рабочем компе вирус sector 12 лечил так достал винт подключил к другому компу и запустил Dr.web
обнаружил и вылечил 1500 вирусов. теперь работает

всем привет
короче цепанул се эту заразу
если кто знает как конкретно избавиться от этой байды напишите мне плиз на мыло все возможные способы
как же я хочу отпиздошить этого народного умельца…

Чуваки кому нужна помощь с лечением Sality могу помочь! У меня эта хрень побывала и я её вылечил! Кому нужно могу кинуть вам на мыло или на асю файл который разблокирует безопасный режим и всё остальное и проги которые мне помогли! Мой номер аси 436215165! Пишите постараюсь помочь!

Есть куча способов избавится от ентой гадости,,,самый надежный - это леченее в безопасном режиме…
есть программка Sality_off.exe, разработка касперского ,где найти точно незнаю ,,,в поисковике поройтесь,,,или с мобилы,другого компа зайдите на сайт касперыча, там раздел бесплатные утили,,,
а вообще ставте себе Vista, там даже антивирь не нужен,,,в висте я сэйлити я так запускал ,,,так он в ней не активен,,,просто живет в своем одном файле и не прыгает по компу,,,и не вредит,,тоже и с другими вирусами,,,

Заразились 2-е тачки, НоД хуякнул дописты файлов! долго мозк ипать не стал! переустанавливаю винду =)

А у меня антивируса нет в принципе. просто надо соблюдать некоторые несложные правила бугага.
и ставить висту уже.

У меня тоже была та же проблема, но я его преодолел! Слушайте все сюда, если хотите оставить свои данные целыми и невредимыми, нужно сделать откат системы.
Пуск
программы
стандартные
служебные
Востановление системы “указываете дату и нажимаете востановить”
Сразу после востановления ставите Kaspersky 6 или 7 (лицензионную и с обновлением)
Проверяете на вирусы и все!!!
Установочные EXE файлы кирдык полюбому.

Подцепил Win32.Sector.16, все симптомы совпадают с описанными. Проблема только в том что при лечении CureIt с флешки убил файловую систему (не очень в этом разбираюсь, но при загрузке не определяется файловая система диска и наблюдается синий экран с ошибкой 0×00000024). Так, что скопирую необходимую информацию на другой диск, а этот форматировать.

блин,никак не могу восстановить реестр?через restore_safe_boot.reg не получается,запрещено.диспетчер тоже отрублен!

блин,никак не могу восстановить реестр?через restore_safe_boot.reg не получается,запрещено.диспетчер тоже отрублен!

У меня блин взрыв мозга изза этой хрени,три дня епусь уже!CureIt при повторной проверке обнаруживает теже самый зараженные exe’шники,с реестром вабще ничего сделать немогу,полностью сносил винду и формачил жестянку,но всеравно нихрена не помагает…хотя когда отфармачил и поставил винду все вроде норм было,как только ставлю антивирь(пробовал каспера и нод)эта херь опять появляется!!!помогите плизз ктонибудь,че делать!?!?

толковая зараза как-будто комп включил дурака форматнул и все прошло единственно некоторые проги пришлось заново скачивать

Недавно тож подцепил эту хрень с флешки соседа. Долго мучался, а потом просто надоело всё, взял и снес винду к черту и полностью отформатировал диск С. Самое главное после переустановки не запускать никакие файлы с расширением ехе с компа иначе всё начнётся заново. Запустил dr.web curelt с флешки полностью просканировал все диски оказалось заражено около 2000 файлов в основном с расширением ехе и в основном в папке system volume, но не только. Они кстати могут оставаться в папке system volume так что лучше повторно просканировать именно эти папки.

Эту заразу лечить бесполезно. Портит ОСь безвозвратно. Вчера еле справился с этой шнягой. Пытался установить Авиру с флешки что бы пофиксить все эти вирусы, дык этот вирусняк пофиксил все мои ЕХЕшники на флешке включая авиру. Пришлось к клиентам во второй раз идти с новой авирой и ехешниками. Прально говорили предыдущие господа. Не трогайте ЕХЕшники. Если нет возможность форматировать диск С то ставьте винду лучше в отдельную папку (Пример WinXP), а не по умолчанию Windows, а то получите новенькую венду уже пропатченную “Win32/Sality.NAU”nod32 или Win32/Sality.Y как сказала AviraAntivir. Я сразу же поставил Aviru, что сэекономило мне время, поскольку когда я начал ставить дрова вирус моментально стал себя проявлять. Боюсь если бы я стал ставить сепрва дрова а потом антивирь, то пришлось бы грохать винду в третий раз=)) Так что эта зараза довольно не приятно и никуя не лечится, only delete =((((

Столкнулся с несколькими модификациями этой штуки.
1) просто заражала экзешники (возможно не был активирован основной потенциал) НОД32 определил как просто Sality и не смог вылечить.
Легко лечится Dr.Web.CureIT. Для предотвращения повторного заражения закрыл все ненужные шары с полным доступом. Где полный доступ к папке обязателен по возможности ограничил доступ к *.exe только чтением и исполнением.
2)модификация которая блокирует диспетчер задач, безопасный режим и с частотой примерно 5 секунд закрывает антивирусные утилиты, также заражает флешки.НОД32 определил как Sality.NAU и сам излечил.
Лечится трудно. Для обезвреживания была использована флешка с защитой от записи, на которую были записаны AVZ4 и Dr.Web.CureIT.Основная трудность - успеть за 5 секунд запустить AVZ4 и использовать несколько пунктов из Файл-Восстановление системы.В первую очередь разблокировать диспетчер задач и пройтись CureIT по дискам
Возможно подключение к чистой машине либо сканирование с чистой машины по сети было бы проще, но проблема решилась.После перезагрузки ещё раз проверил систему сначала CureIT потом NOD32, чтобы найти и добить остатки.
Профилактика: отключение автозапуска флешек, проверка антивирусом перед использование и меры указанные в пункте 1)

Блин, подцепил эту гадость, первый симптом-отключился диспетчер задач, начал виснуть комп… нод не лечит.. как думаете если форматнуть винт ПОЛНОСТЬЮ поможет?

Диспетчер можна включить (XPTweaker), а сайты не загружает потом что на ссылке находит имя антивируса и автоматически блокирует.Если бы на сайтах не кидали ссылки, а просто написали - СКАЧАТЬ то скачать было бы возможно (хотя толку мало - все равно не даст установить). У меня самого завелся, довольно неплохая работа - 5+ автору, но есть прорехи которые можно использовать для уничтожэния или лечения. Думаю, скоро, в новых базах антивирусов, будет что-то и насчет Sality. Так что либо разбирайтесь с вирусом сами, как показано вышэ, либо немного подождите…

Это бесплатная программа для борьбы
с компьютерным вирусом Virus.Win32.Sality.aa
, а также - защиты от проникновения через интернет
выполняемых файлов, для проверки целостности файлов
на дисках. WindowsXP только. Программа позволяет на
зараженном компьютере произвести очистстку от вируса.
Зараженные файлы складируются в отдельную директорию,
а оригиналы - обезвреживаются.
Называется она RedCross, скачать можно тут: http://www.alexklm.ru/zip/RedCross.zip
Удачит всем, и здоровья Вашим машинам!

Антивирус Avast 4.8 Professional я им уже несколько компов вылечил

Подцепил win32.sector.12
Лечил так:
1. Переустановка винды с полным форматирование диска С
2. Не перегружать комп !!!
3. Отключение востановления системы на всех дисках.
4. Запуск с чистой флешки Dr.Web CureIt (ссылка в первом посте)
5. Удаление ВСЕХ инсталяшек (exe), игр, програм на дисках D,E…..
6. Установка винды с форматирование диска С
7. Повторная проверка Dr.Web CureIt (уже не было вирусов)
Мне помогло.
Спасибо всем за советы.

Мда, последний рецепт прикольный…) Есть ещё такая программка fdisk. Её под дос загружаете и сносите всю разметку на винте. Потом заново размечаете и форматируете. 120% гарантия никаких вирусов…
Спасибо тем, кто дал дельные советы)

У меня не одна машина уже вылечена. Преимущественно ходит по флешкам (уже с них, естественно, по сети). Винду перебивать НЕ НАДО, надо МИМО НЕЕ либо с LiveCD, либо с LiveUSB (ну масса их уже есть в интернете!!! пора завести себе на такие случаи!!! а флехи сейчас копейки стоят!!), лечимся последним Cureit-ом, далее, уже в вылеченной винде - если нет желания руками ковыряться - есть хорошая быстрая штука которая восстанавливает значения реестра VirusVaccine. Все, машинка чистая. Для профилактики идем Мой компьютер-управление-службы-определение оборудования оболочки - отрубаем. Ставим антивирь и обновляем его. УЧТИТЕ. Антивирус нормальный надо держать на компе, товарищи…. Нод идет с урезанными базами (чаще всего!!). Каспер-брр…. ваще молчу… Макаффи - непонятно что. AVZ хорош но им надо уметь и учиться пользоваться, а так будет мертвым грузом. А у веба (продукт которого и помогает в этой проблеме) лицензия не такая дорогая чтобы нельзя было ее купить Этот антивирь с купленным ключом и обновленными базами каку Sality на комп не пускает. В крайнем случае как вариант - avira.

ну и как же!!!!

Рецепт прикольный? Есть у Касперского на сайте утилитка, она лечить экзэшн-файлы
которые Sality заразил.
Я скачивал отсюда: http://support.kaspersky.ru/downloads/utils/sality_off.rar
Если вирус орудует, запускать с ключем -m, если без, - то лечит экзэшники.
Инструкцию лучше прочитать там у него на сайте.
Я проверял, работает, а насколько хорошо лечит, - не знаю, но с десяток файлов она вылечила.
А чтобы снова не попал вирус я пока использую свою (ссылка в пред. посте).
Кто бы ещё ссылочку дал на вирусную страницу, а то старая ссылка с Virus.Win32.Sality.aa
не работает, - видимо достали-таки их, месяца два на http://live-counter.net/ работал вирус,
раздавал всем кому надо.
Мне это надо чтобы проверять программу, убедиться как она мочит их, в сортире.

раскажи плиз

раскажите плиз как бороться с sality заранее спасибо

AVG 8 хорошо это говно лечит

А у меня ощущение, что этот вирус сами др-вебовцы и сделали.
(всё к этому сходится..)

На работе вирус win32.sector.12 и всети гуляет
Помагите избавится пожалуста!!!

Что делать если вирус убил Диспетчер задачь
подскажите как его заного в ключить!!! ПОЖАЛУЙСТА!!!!

Сегодня столкнулся с этой заразой, стали ставить машинки новые вместо старых и они одна за другой при подключении к сети стали ребутатся, не одна программа не запускается, антивир сам себя пожирает и покидает память в связи с ошибкой ядра антивиря (Каспер 6 предустановленный), нод 32 2.7 тот же пролет на Европой, в итоги развернули базу с обновлениями Нод 32 версия 3 (т.к. инет у нас отсутствует).
Лечили следующим образом
1) отрубаем от сети машинку
2) через выполнить -> msconfig ->режим загрузки ставим диагностика (так как у вас отсутствует возможность загрузится в безопасном режиме)
3) перезагружаемся валим убитый антивирь , за одно и в брандмауре мочим IPSEC правило исключения обычно их там штук 5-20.
4) ребутаемся через выполнить -> msconfig ->режим загрузки выборочно ставим галки на всем кроме автозагрузка, после этого переходим в закладку Службы снимаем галочки с служба сети IPSEC - это вирусняк к стати , ну и все что не нужно можно снять, иногда зависают службы антивиря мертвого их тоже лучше снять.
5) после этого перезагружаемся и спокойно ставим последний Нод32 с диска, настраиваем обновление и не перезагружаясь подрубаем шнурок с инетом или как в моем случае к сети и апаем базу
6) Сканим все несколько раз, в первую очередь оперативку, после чего можно и reboot и заного все проверить, на 10 машин 7 без проблем и потерь прошли лечение, оставшиеся 3 потребововалось повторить процедуру заного так как вирь съел нод и софт.
С уважением Евгений.

Лечил вчера 16 машин следующим образом(win32.sector был)
Устанавливаю NOD32 2.7. Гденить с 5-го раза вирус его пропускает и он устанавливаеца. Отменяю перезагрузку. Скидываю сразу же новые базы и затем перезагружаю. После перезагрузки нод канешнаж не грузится. Но работает сканер нода. Им то всё и вылечиваю. После этого удаляю поражённый нод и после перезагрузки снова его устанавливаю. Потом им же долечиваю систему. Затем AVZ восстанавливаю систему(диспетчер задач, реестр, эксплорер, хост и т.д)

Способ элементарный! Поставь USB Disk Security.(могу дать!). Находит на раз!

Включить диспетчер задач и редактор реестра при этом вирусе можно простой прогой - XPTweaker.exe
как только снимаем галочки с опций - запретить вызов диспетчера задач и запретить редактирование реестра жмем применить после этого можно включить дисп задач и реестр,но нельзя медлить так как через пару секунд он снова их отключает.я избавился от виря следующим способом - формат диска С (т.к у меня все проги и софт находятся на диске D)-не быстрое а полное форматирование. далее запускаем чистый виндовоз и не трогая диск D ставим с CD любой антивирь какой поимет эту заразу.в моем случае я скачал с нета касперыча 8.0.0.506 обновил его базы и полная проверка уже диска D.итог-135 файлов с данным типом вируса.конечно не все теперь запускается но в этом случае мы имеем кристально чистый виндовоз и пару сотен сломанных экзешников)))нужно не забывать если на чистой винде запустишь любой экзешник которые остались после переустановки винды,то вирь активируется.В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево подкаталогов сетевых ресурсов и заражает все PE-файлы с расширениями .OCX, .SCR и .EXE. Вирус записывает свой код в последнюю секцию файла и добавляет в стартовый адрес файла инструкцию “JumpVirus”. Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы.

что делать если я немогу установить ни одну антивирусную программу?

cureit полюбому должен встать,сам сейчас лечу машикну

Файл SOI.EXE он же W32/Sality virus.Перестал запускаться диспечер и реестр.NOD32 начал грохать ехе-шники с пометкой W32/Sality virus. Reg Organizer нашел ключ Администратор914 или Ваша учека(с которой ВЫ входите в систему)914.Уничтожил.Загрузился с CD диска c системой(установленна на самом диске) и в скрытых файлах нашел и грохнул SOI.EXE приетом он был на всех дисках компа.Каспер его пропустил а НОД,cureit и avz4 нашли остатки. 80% ехе-шников повреждено безвозвратно.Или формат всех дисков компа.Он не только на С,а обнаружился на всех дисках и в ЕХЕ-шных файлах.И по адресу[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
создается параметр REG_DWORD DisableRegistryTools со значением 1).
А чтобы их (вирусы) нельзя было выкорчевать из системы, они и делают невозможным запуск Редактора реестра Windows.
Значение System удалил.И вроде все пока работает уже две недели без збоев.Пару раз проверял чисто.

Скажи плиз как ты от него избавился

Скажи плиз как ты от него избавился!?

от дятлы xD
по три раза переустанавливают винду, по десять, форматируют, снова запускают вирус, и никуя не понимают почему они дятлы =)))))
1. на компе ставится 2 винды: основная, запасная. зачастую при отсутствии антивируса, или невозможности обнаружении новой версии, нестабильность/левые процессы/лишняя инет активность/др. выявляет трояна/вируса/др. фигню, которую можно вообще грохнуть врукопашную =), либо загрузится в альтернативную винду/др. ось и пройтись антибактерицидным средством =).
2. live cd, периодически обновляемый, с антивирусом. позволяет работать, даже когда винт накроется медным тазом, а при правильном подходе - провести диагностику винта/др. оборудования =))))
3. вместо стандартного виндового “восстановления системы” юзается аналог (такой, который позволит при любом заражении файлов вернуться к запрашиваемой точке восстановления)… эх, 9 жизней

что касается избавления от гумна, в которое уже встал, так лучший вариант - придти к другу, подрубить винт, запуститься с винта !друга! и пофиксить проблем =)
ps. запомните: лечить всегда сложней и с последствиями, чем предупредить и без последствий ;).
pps. за всю историю войны с вирусами, никогда не пользовался форматированием, ибо, не мазахист =)
удачи!

а, это, забыл главное…. =)
есть желание потрахаться? так идите на улицу, с человеками веселей

Поддерживаю! Трахать лучше баб, чем комп!

Восстановить безопасный режим этим ключом канеш можно, но вот тока вопрос - а не будет ли эта ветвь в реестре обновляться этим самым вирусом с периодичностью примерно в 3-5 секунд, как это происходит с диспетчером задач и самим, собственно, реестром??? Или же его нужно добавить из рекавери???

Выше описанный способ и комп полностью вылечен.
Live cd нужен с нодом т.к. каспер тупо не видит вирусняка(и не только етого).
А востановление системы с ЛЮБЫХ точек бесполезна еси грипп уже прописался.
COI.EXE удалось достать Regrun-ом.Насколько понял он стартует с реестра,но точно не уверен.
В принцепе после уничтожения в реестре ветви—-914 и значения HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
параметр REG_DWORD DisableRegistryTools NOD и REGRUN избавляю от следов,но вход надо делать под учеткой только Администратора,а не с правами Админа.
УДАЧИ.

Когда вирус лечится, это ещё только первая стадия. На второй и третьей стадиях уже ничего не поможет, только полный формат.

Comment by kpirat.
Согласен)))
У меня с начала на флешке то и дело появлялась эта дрянь в папке RECYCLER, каждый раз подключая её в USB, удалялась касперычем и реанимировалась из интеграции где то в винде снова и снова)))
Затем “откинул копыта” антивир KIS7, перестал лезть за обновами в инет, хотя по локалке лез и ещё как.
Затем мне всё это надоело и я снёс винду… кстати потом также обнаружил на флешке эту папку
после проверки опять же KIS7 и обновами минутной давности RECYCLER с вирусником, удалил её и всё)))
А началось это всё после обновления драйверов к материнской плате с офф сайта (скорее всего к USB).
Матка - M3A - H/HDMI асус.
Кстати это повторилось и второй раз. Вот тогда я и понял где собака зарыта и изложил вам…..ППЦ
Помог всего лишь откат дров (конрольная системная точка) и проскан всей системы, всё.

расскажи как, а то меня этот салют задолбал уже!

я вчера расправился с чем-то подобным - на имя вируса внимания не обратил, но все симптомы такие же как здесь описано, плюс немного новых. после всех мер, описанных в предыдущих постах ни nod3 ни kaspersky2009 не хотели устанавливаться. лечится так: пытаемся поставить kaspersky (он просто вылетает и все) идем в панель управления/администрирование/просмотр событий/приложение и смотрим инфо о последней ошибке - там указано правило, в соответствии с которым антивир не смог установиться, копируем имя правила (куча буковок/циферок), идем в редактор реестра, поиск ctrl+f и вводим скопированное имя. по нахождении удаляем эту ветку, а также и все, что рядом - там запреты на установку других антивирусов.

Принесли мне комп на чистку от вирей… а там оказалась эта вот хрень… обидно то что эта поганка заразила мне все exeшники… даже те которые глубоко по дереву каталогов… и самое смешное что я даже не гуля по каталогам… а лишь грузнул Cureit из корневого флешки… Мне не по вкусу такое самоуправление… травить таких надо… а писателю такого зла по самую самописсанку ответку вставить… а если по делу то Cureit это самы актуальный дохтор!!!

Я установил Avast и назначил проверку после запуска винды. Правда, перед этим сделал формат с: и переустановил окошка. ВИРУС внедряется на другие диски, кроме С !!!

Клиент подхватил этот самый Sality уже давно.
И проявляется вирус практически так же, как здесь описано, но есть весьма существенные отличия:
а) Любые попытки редактирования реестра пресекаются вирусом с ошибкой:” Изменение реестра запрещено администратором” (вход выполнен под админским аккаунтом),
б)в безопасный режим не пускает, при попытке загрузки вылетает синий экран BSOD.
в) Попытка запустить Cureit с флешки привела к автоматической перезагрузке, когда Cureit был скопирован на диск компа, архив программы был тут же поврежден и не запускался.
г) При запуске Sality-off от Касперского с ключем -m, как рекомендуется, открывается окошко архиватора и на этом все заканчивается.
д) При попытке запуска с помощью msconfig в режиме “диагностического запуска” система вылетает в перезагрузку, после которой показывается ошибка: “редактирование рестра запрещено администратором”
е) Regedit не запускается.

Форматировать нельзя, на диске вся бухгалтерия двух немаленьких предприятий. Вынуть диск, чтобы просканировать на другом компе, нельзя, комп на гарантии.

Вылечил две машины на работе при помощи записанной на CD-RW утилиты AVPTool и добил виря Sality-off

Пиздец вы чайнки… Я хую - аказываеццо, вирус не так рьяно ведет себя, если он не может запустиццо с правами локльного или доменного администратора! охуеть как удивительно!

До сих пор лечил так (на разных машинах)
1. Загрузка с чистой системы (например, с CD Windows XPE)
2.Запускаю с этого - же CD предварительно скопированный туда Dr.Web или cureit от Данилова
3. В настройках отключаю поиск в архивах и файлах справки.
4. Пролечиваю все диски
5. Перезагружаюсь в обычном режиме, и запускаю Kaspersky Virus Removal Tool.
6. Настраиваю его на максимальный анализ и проверку всех файлов на всех дисках.
7 Наслаждаюсь.
Но последнее время появились новые разновидности паразита, или это зависит от винды,
но вирус возникаете вновь. Слышал, что часть или полностью код вируса хранится в реестре.
Кто может сообщить подробнее? Мои наблюдения:
Вирус никогда не ходит один. Он заражает другие вирусы и трояны. При попятке вылечить - убивает антивирус.
NOD32 любой версии бесполезен, он не предотвращает заражение и при лечении убивает все заражённые файлы.
Каспер очень тяжёлый, поэтому я его не ставлю. Но одноразовая утилита лечит хорошо.
DrWeb444 не всегда всё пролечивает, но один раз отбил Sality (sector) на моих глазах.

А ветка с реестром для Windows 2003 подходит или только для XP

Особенно прикольно: “… устанавливаем НОРМАЛЬНЫЙ антивирус… :-D”

У Касперского, в стате посвещённой Sality (там где описана работа с Sality-off) ест REG файлы хля 2000 XP 2003 и Vista.

короче, народ вроде я его полечил. короче так.
1) с чистого компа скачал sality_off, записал на диск проверил, что смог вылечил.
2) На чистом компе взял каспера, запаковал в архив, и на заражённом компе поставил.
3) Сделал последние обновления, проверил нашёл кучу вирусов. После этого перезагрузился и антивирус всё вылечил.
Вроде всё работает нормально. на касперский, дрвеб и вируслист заходит. Реестр редактируется, диспетчер вызывается
Касперский 8.0.0.0.506, базы вчерашние.

Инфа как удалить вирус http://www.oblrada.ucoz.ru/news/2009-02-04-7

Удаление вируса. http://toktiksblog.blogspot.com/2009/04/win32sality.html

А у менЯ антивирус AVG и он сразу обнаружил эту тварь и удаление папки спасло от последствий, так как вылечить он не смог. Главное вовремЯ обнаружить и удалить папку!

тест

Недавно на выходных, у меня был заказ, на лечение одного компьютера.
Владелец жаловался, на “тугую” работу системы, заблокированный реестр, диспетчер задач, “убитый” антивирус, невозможность зайти на сайты антивирусных компаний, невозможность запустить антивирус (сразу вылетает) невозможность запуска каких либо других антивирусных утилит (вылетают тоже) невозможность загрузиться в безопасный режим.
На лицо работа вируса, но какого?? Для начала действовал для определения вируса простым дедовским способом. Записал на болванку утилиту Dr.Web Cureit! и пару минут подождал, что б он просканил немного, что то нарыл. И что вы думаете? да, нарыл SEKTOR 17. Ну думаю, веселая ночь обеспечена хотя еще поглядим …

Ну это семейство вирусов я знаю, гадость еще та! Поэтому приготовил для борьбы, следуйщие инструменты. 1) Live CD 2) Dr.Web Cureit! (Игоря Данилова) 3)AvpTool (от Касперски) 4)спец. утилиту от Ксперски “Sality_Off” на той же станице второй архив с ветками реестра для восстановления безопасного режима Sality_RegKeys.zip. 5) утилиту AVZ 4.3 Олега Зайцева. 6) утилиту ATF Cleaner. Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную Вами папку, например на рабочем столе, после этого записываем ее на Live CD. Записываем все скачанные со списка программы на болванку с Live CD. Устанавливать и писать утилиты, на не зараженной машине!!!!!!!!!!!!!!!!!!!

Записали все это на Live CD? тогда вперед…

Ниже я приведу список действий, действуйте строго по списку.

1) Загружаемся в обычный режим, и отключаем восстановление системы.

2) Загружаемся с нашего Live CD (курим )

3) Заходим в любую папку, кликаем сервис> свойства папки > вкладка вид, ставим галку на “Отображать содержимое системных папок”, убираем галку на “Скрывать защищенные системные файлы”, ставим галку на “Показывать скрытые файлы и папки”.

4) Заходим в каждый локальный диск (жесткий) и ищем папку в корне, с названием System Volume Information, заходим в нее и удаляем все ее содержимое. Там же, на дисках, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое.

5) Запускаем (с диска) утилиту Dr.Web Cureit! жмем настройки >изменить настройки>типы файлов> ставим сканировать все файлы, файлы в архивах. Вкладка действия> Инфицированные> Лечить, Неизлечимые>удалить. На той же вкладке снимаем галочку запроса подтверждения. Жмем кнопку ОК и ставим галку на полную проверку машины, жмем пуск.

6) Пьем чай, курим спим

7) После сканирования системы Dr.Web Cureit! смотрим на проделанную им работу, сколько гадости нашел и пролечил
Закрываем программу.

Распаковываем на рабочий стол утилиту Sality_Off.exe запускаем двойным кликом, ждем, не трогаем и даем программе доработать После того как программа доработает закрываем ее.

9) Копируем папку с AvpTool с диска, на рабочий стол. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол программу, изменяем настройки. Максимальный эвристический анализ “детальный” жмем ОК, Сканировать все файлы, жмем ОК в разделе “действие” ставим галку “запросить по окончании проверки” жмем ОК. Для сканирования ставим галки, на всех локальных (жестких) дисках, и жмем кнопку “поиск вирусов”.

10) После сканирования Касперским, все найденное, фигачим, т. е. удаляем ничего не оставляем

11) Загружаемся в обычный режим. Болванку с Live CD не вытаскиваем, она нам нужна еще для работы, вернее не она, а утилиты записанные в ее корень

12) Заходим на болванку с Live CD ищем утилиту Sality_Off, кликаем по ней правой клавишей на мышке, и отправляем ярлык на рабочий чтол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, кликаем по нему правой клавишей меняем немного его имя, пишем Sality_Off.exe-m кидаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей и нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.

13) Перезагружаем компьютер, загружаемся в обычном режиме. При загрузке, начинает сразу работать программа Sality_Off и начинает фиксить, чистить, систему (возможно еще что то осталось)
дожидаемся окончания работы программы, до слов “Для продолжения нажмите любую клавишу…” После этого закрываем программу.

14) Далее открываем (с болванки) утилиту AVZ 4.3 , после открытия жмем Файл>восстоновление системы и ставим галки на пунктах 8, 10, 11, 13, 17 и жмем выполнить скрипт.

15) Далее открываем наш диск, ищем скачаный архивчик Sality_RegKeys.zip на сайте Касперского, ищем в названиях содержимого архива, Вашу версию операционной системы, в моем случае это был файл SafeBootWinXP.reg, кликаем на него два раза вносим данные в реестр, и кликаем в том же архиве на файл с названием Disable autorun.reg вносим данные в реестр.

16) Перезагружаем Windows, (ярлык Sality_Off в автозапуске пока не трогаем!!) После запуска Windows, начинает работать программа Sality_Off, пускай еще раз пройдется, на верочку…

17) После окончания работы утилиты, убираем ее ярлык с Автозагрузки.

18) Запускаем утилиту ATF Cleaner, ставим везде галочки и жмем очистить, ничего не жалеем!!.

Все 98% работы сделано, все разблокировано, все вылечено, но еще не все…

Дело в том что после всего лечения
1) Очень многие системные файлы повреждены, даже после лечения, не факт что система будет корректно работать.

2) От вируса в системе остался висеть RootKit (у меня по крайней мере) и ничего с этим я поделать не смог, он собака в Ring 0 запускается и висит. 3) Что б проверить нет ли у Вас такого “добра” запустите утилиту AVZ вкладка > сервис>модули пространства ядра. И висел у меня там такой процессик, с названием ________.SYS или просто .SYS без названия и цифровых подписей Microsoft. Попытался снять с него дамп, система вылетает с синим экраном. AVZ его не берет ( у меня по крайней мере не получилось ) Касперский тоже, Dr.Web c таким же успехом. Я ничего не нашол лучше как пункт-4

4) Просто обновляем Windows, с загрузочного диска. Подойдет в принципе любой загрузочный установочный дистрибутив Windows (соответственно та версия которая поставлена у Вас, если XP SP- 2 то обновляем с диска с XP SP- 2 . Выставляем в Bios First boot Devise CD-Rom жмем F10, Yes. И начинается загрузка Windows. Далее выбираете тот диск куда нужно восстоновить винду, (выбираете тот диск куда был установлен виндовс ранее) жмем ENTER, далее видим страничку выбора форматирования с выбором файловой системы. Выбираем установку без форматирования!!!!! (оставить файловую систему без форматирования (изминений) жмете ENTER на этой строчке, и все установка пошла, далее установку проводите как всегда. Минус в том, что слетят установленые программы. Но это лучше чем иформация не так ли?

После обновления Windows загружаемся из под Live CD и удаляем старую папку с Windows ( только не перепутайте кутузовы! старую папку Windows с новой!!! У меня новая папка Windows была под названием Windows.0 ну а старая соответственно как обычно)

После этого всего мы имеем чистую систему без заразы Если пропустить эти все действия и просто переустановить систему, это ничего не даст он снова появится поэтому соблюдайте то что я изложил выше и все будет ОК
Если у Вас есть более действенный способ, милости прошу изложить его в моем блоге, или кинте ссылку

FagotAdmin , многа букав)))
чем столько гемороиться, проще скопировать тем же лайв сд нужные документы и убить все нафиг.
я лечил просто есть такой антивирь Sophos, у него есть тоже антивирус, который записывается на болванку, но отличительная его черта в том, тчо он не удаляет зараженные файлы, а лечит их, правда 40% потом нерабочие, но их можно восстановить, благо знаем что и какой файл не работает, а не роемся в логах в поисках каждого экзешника.
так вот заболванил его, и прямо в обычном режиме запустил, он почистил, ставишь этот же sophos, прямо на живую, он апдейтится и уже в онлайн режиме вычищает все дальше.

з.ы. теперь у меня другая проблема)

по ходу этот sality модифицировали, нашел на одном компе его, не берет ничего, диспетчер заблокирован, регэдит тоже, безопасный режим тоже. касперского съедает сразу при установке как и все остальное в прочем тоже…)) вот сижу ищу, борюсь)

В отличие от всяких Sophos, Dr.Web и Kaspersky Virus Removal Tool (не знаю как AVP) вылечивают 100% и все файлы остаются 100% рабочими после лечения, кроме файлов антивирусов, которые эта гадость портит преднамеренно. Беда в другом. Вирус иногда прячется в реестре и после перезагрузки возникает снова. Другая беда в том, что не спасают многие антивирусы (например NOD32). Он обнаруживает вирус, и при попытке его удалить, удаляется сам. А на машине опять всё заражено. Поэтому нужно лечить с чистой системы, идеально с загрузочного CD. Можно скачать Dr.Web LiveCD с http://www.freedrweb.com/livecd/ но он очень большой, и скачивать его каждый раз когда надо обновить антивирусные базы, очень накладно. Интереснее создать диск с Windows XPE самому (подробнее на http://www.oszone.net/3200/) Установить туда как плагин несколько антивирусников, а обновлять антивирусные базы можно с дискеты, написав для этого командный файл, и поместив его в меню Windows XPE. А вот с реестром будет сложнее. Разблокировать его будет можно с помощью приведённых выше рекомендаций, и загрузившись в защищённом режиме.

Привет всем!

Одним предложением: как не пустить этот вирус в комп? (Как предохраняться?):)

если через флешки идет, то надо отключить автозапуск. есть небольшой кусок реестра, его нужно импортировать. рег файл высылал касперски.

Используйте “Зоркий глаз”. Он убережот от заражения с флешки. Ссылка на этой странице.
Смотрите также http://forum.ixbt.com/topic.cgi?id=7:33417-2

Сенкс за инфу, почитал с интересом

А мне от этой заразы помог только Dr.Web Cureit! (вылечил и сохранил мне 80% .exe_шников + убил весь вирусняк) , а потом прога RedCross (респект автору) востановила доступ к реестру. Теперь всё пашет на ура!!!

Самое паршивое в этом вирусе это то, что он гад грузит посторонними процессами систему… одновременно отключив доступ к taskmgr.exe… это создает неудобства. по началу боролся с этим кое как включав диспетчер с помощью gpedit.msc и вырубая грузящие процессы, но потом и gpedit.msc перестал фурычить >.< и пришлось лечить)

вот как я действовал после прочтения фсего выше сказанного:
Проверил Dr.Web Cureit! в обычном режиме (безопасный не запускался вообще).. даж инет не отключал (ну ток в конце самом.. на фсякий случай) правда фсе это затянулось примерно на 10 часоф..
Затем запустил Sality_Off.exe. Дождался окончания проверки.
Перезагрузился.
Запустил файл реестра из Sality_RegKeys.zip (сначала Disable autorun, а патом который под вашу ОС) и вуаля! починилось…
а патом нищадно форматнул фсе сваи флешки)

Кстати. заметил, что Dr.Web Cureit! не фсе зараженные ехе-шники находит… а вот Sality_Off.exe нашел те, которые не заметил др.веб.

желаю удачи в борьбе с этой заразой!

Интересно, как мог запустится курилка (cureit) c машины заражённой Sector (selety) не в защищённом режиме? Наверно это был другой вирус. При заражении Sector (selety) нужно загружаться с чистой системы, идеально с Windows XPE (BardPE) с защищённого от записи носителя, и потом запускать чистую курилку. На заражённой Sector (selety) машине ни один антивирус не запустится!

Вообще, надо сказать вирь этот написан довольно грамотно.. Я реально восхитился… Снес все, что его могло убить и пошел дальше систему валить) Только что избавился от этого чуда программерской мысли. Подцепил винт к чистой машине и почистил нодом со свежими базами, вроде работает)) Кстати, может ли виндозовский антивирь, запущенный из-под вайна нормально работать? Сам как-то ни разу не пробовал. Если да, то очевиден еще один способ))

от Селети избавился простым способом.Может и вам поможет…Восстановил работу Безопасного режима при помощи SafeBootKeyRepair,вошел в безопасный режим с включенными сетевыми драйверами,скачал Cureit,запустил из безопасного режима,вошел в обычный режим,переустановил антивирус,почистил реестр HKEY_CURRENT_USER\Softwere\…удалив оттуда ветку 914,либо 1914…Это само тело вируса и его насройки.Снова просканировал систему антивирусом Nod32 Smart Security.Было обнаружено 4 зараженных объекта(вместо 700)…Снова просканировал.Все в порядке…P.S. пользовался RegistRar Registry Manager для правки реестра.Можно также попробовать следующее для восстановления работы regedit: echo y | reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools Ввод
echo y | reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr Ввод(это все в командной строке)…Пишите на мэйл,если что.Случайно попал на этот сайт

ах да…mygreencat@inbox.ru ))

Very nice blog and articles.

Thank you for this article!

извините, но у меня такой вопрос. Я готовлю реферат по информатике, про вирусы. И мне надо что то наглядно показать. Я хочк сделать шуточный вирус на программе КУЗЯ 1,5, и запустить его на комп. вот в чем вопрос. Как его можно будет обезвредить. За раннее спасибо.

panamatalk.ru

спс вам огромное помагло

socketFix вам

Ко мне принесли убитый бук этой фигней …. на работе нужно было второй рабочее место - подключили к сети ….. на моей машине Нод начал матерится без остановки что убивает авторан.инф и еще какую-то гадсость в расшареной папке - убрал доступ - визги прекратились ….. сейчас вот руки дошли до бука….. убил систему с формат С ….. установил нода - базы обновить забыл (забыл скопировать на флешку) - начал ставить драва из папки что была на буке - после второго ребута - пропал менеджер задач….. поматерился - переустановил систему второй раз - сразу же нод с последними обновлениями + аутпост 2009 про ….. и на глубокий анализ ….. на диске D - обнаружил 350 инфицированных файлов…. вроде убил … щас ребутнулся - повторный скан системы нодом …. пока чисто …. вчера весь день сканировался рабочий комп - вроде чисто ….

просканировался с др.въеб лайв сиди - чисто

Повезло

Вообще я люблю написать какую-нибудь едкую критику, но тут ни к чему не придраться!

Эх народ! Разработчик будь он не ладен постоянно модифицирует вирус, посмотрите : win32.sector.5, win32.sector.7 win32.sector.12, win32.sector.17 и тд. Гадость заражает не только выше перечисленное но и нарушает структуру файловой системы логических дисков я сталкивался после ( sector.17) Переустановка
Винды с форматированием С: если он не единственный на HDD не помогает вирус прописывается в Загрузочных секторах других логических дисков . Поможет лечение любым LIVE CD c DR WEB или HOD 32 со свежими базами и только потом форматированием диска С: и установкой OCи или 100% форматированием всех логических разделов HDD ( кому нечего терять).

Доброго времени суток, дамы и господа!
На днях мне доставили в ремонт 2 ПК. Зараженные (по классификации Dr.Web) Win32.Sector.19. Если бороться с ним по схеме, описанной здесь - бесполезно!!!!!!
Симптомы заражения идентичны для данного семейства: блокировка диспетчера, редактора реестра, Safe Mode.Появляются скрытые файлы с расширением *.inf, *.pif. Интересен и тот факт, что он уже идет в симбиозе с Трояном. Подменяет все *.exe. Даже Avast выдавал сообщение: «Приложение avast.exe попыталось отключить приложение avast.exe»!!!!!
Пытка загрузится с Life CD Dr.Web’а пресекается вирусом на корню. Снял жесткий диск, прогнал на своем ПК. Нашел около 1500 пораженных файлов. Неизлечимые удалил. После чего установил винт на место, загрузился. Без положительного результата!!!! Прогнал систему бесплатной утилитой Dr.Web. Нашел еще около 300 файлов!!! В основном это были A0….
Так вот к чему я всЁ это рассказываю…Мне помогла переустановка ОС!!!

Здравствуйте!!! Не могу не поделиться своими впечатлениями о данном вирусе (Sector.17 мне попался ))) )… Лечение его действительно затруднительно. честно скажу не помогло редактирование реестра(вирус возвращает значения ключей обратно)… может что я проглядел, но все же… Каспер естественно не запускался(кстати он то вначале заметил на флехе вирус (которую друг принёс, чтоб вылечить), потом на компе ~15 копий: “вылечил”, потребовал перезагрузку и не запустился после неё)… в безопасный режим также не смог зайти… А из под винды curiet хоть и нашёл ~120 копий написал что вылечил и сами догадываетесь после перезапуска компа они опять там были (я всё это говорю чтоб вы времени не тратили на это )… Интересный способ написал кто-то намного выше, я им и воспользовался: ЕДИНСТВЕННОЕ ПРИЙДЁТСЯ ЖЕРТВОВАТЬ МНОГИМ!!! А именно “.exe” файлами. Я удалил все программы(установочные), игры и т.п., вообщем все экзешники и всё что к ним относиться(искал их даже поиском в тотале)!!! Оставил музыку, видео и фото. Потом из под DOS форматнул диск С(сначала Викторией, потом при установке винды произвел ПОЛНОЕ форматирование, и ВАМ советую… На крайний случай хотя бы последнее сделать, но не “БЫСТРОЕ”!!!)… Дальше установил Винду и сразу же в безопасный режим проверять Curiet-ом(его советую всегда держать в архиве, да и качать с интернета тоже не curiet.exe или launch.exe файлы, например данный вирус не дает их скачивать, а в архиве!!!)… Если честно Curiet ничего не нашел, ни Каспер потом да и Sality off тоже!!! Другу же флешку вылечил так: Каспер был запущен, вставил флеху, начел проверку НЕТ ВИРУСОВ(даже удивило), но потом не выключая Каспера(из трея) запустил Curiet (если запускать наоборот будет “синий экран смерти”). Curiet (ВАЖНО: Перед проверкой флешки в настройках установить “Удалять” во всех графах) зразу же нашел вирус и удалил(каспер как спал так и спит ГЫ-ГЫ)… Вот и всё… весь мой “мануал” … Если что пишите: UnixDron@mail.ru (как программист мож чем еще помогу)… УДАЧИ!!!

я победил это переустановкой винды и сразу кидал нод с новыми базами. ставлю на проверку и дожидаюсь конца. только потом устанавливал драйвера.

Уважаемые господа мазохисты, я понимаю, что лучшее средство от перхоти это гильотина, но не хвастайтесь что вы программист. Лечение сносом винды удел чайников. И ещё повторюсь наш «друг» никогда не ходит один. Он заражает ВИРУСЫ, и на них как на коне въезжает в ваш компьютер. Это даёт вирусу множество способов заражения.

пожалуйста напиши!!

у нас сеть была заражена так пришлось все 23 винта форматить от и до, тк при лечении (при помощи каспера с ноута) все конечно почистилось, но вот ~75% exe-шников были удалены по ходу проверки, тоесть винда не могла работать нормально (полетели taskmgr, regedit и пр.) потом я будучи сисадмином банально поотрубал все USB и инфа с флешек сбрасывалась исключительно через тот же ноут после проверки каспером. P.S. на одном компе было найдено больше 200 Win32.Sality-gen

Впервые вирус довел до состояния паники (думаю как и многих из вас).
Излагаю то, что РЕАЛЬНО помогло мне.
Скачал утилитку http://support.kaspersky.ru/downloads/utils/sality_off.rar. Запускаем ее с ключом -m. Утилита следит за памятью компьютера и не дает перехватывать и заражать вирусу запускаемые exe. Даже если запустить зараженный exe, утилита его полечит и запусти здоровым. Это клетка для Sality. Вирус не убит, но и не может заражать другие exe. Запуск утилиты без параметров проверяет все диски на комьютере и лечит файлы.
Затем скачал AVZ http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip и добился чтобы не было красных записей при сканировании.

Восстановление Safe mode, Диспетчера и реестра - дело последнее.

Уже третий день работаю с этими двумя загруженными программами, новых утечек не обнаружено.

Я с помощью вот этой http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ програмулины вычистил комп от этой заразы. Тока не пугайся, она может подзависать, наверно из-за действий вируса. Я ее принудительно запускал. Удачи

http://helplamer.ru/?p=244
«Вы не могли бы посмотреть компьютер? Там, кажется, вирус…». Отчего же не посмотреть, тем более что это моя работа и я даже знаю какой там вирус – очень неприятный Win32.Sector.17.

Странно, что других нет, а только модификации этого. Зловредность последнего заключается в том, что, попав в систему, он отключает Безопасный режим, Диспетчер задач, Редактор реестра, заражает все .scr и .exe-файлы на компьютере ( многие программы после этого работают некорректно или вовсе не запускаются) , не дает запуститься антивирусу. Известен он под разными именами, например: PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded.Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12.

При наличии подключения к Интернету блокирует доступ к сайтам, где содержится название:

“kaspersky”, ”eset.com” , “f-secure”, ”mcafee” , “symantec”, “etrust.com”, “trendmicro”, ”sophos”, “virustotal” , “agnitum”, “pandasoftware” , “bitdefender”, “spywareguide”, “windowsecurity”, “virusscan”, “ewido”, “spywareinfo”, ”onlinescan”, ”drweb”, ”cureit”.

То есть он не дает возможности обновить антивирус и не дает себя уничтожить.

Кроме того, удаляет файлы *.vdb, *.avc, drw*.key.
Завершает приложения, окна которых содержат подстроки “dr.web” и “cureit”.

Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.

Значит, остается одно – лечить.

Доктор Веб отлично распознает этот вирус во всех его инкарнациях. Правда, мой эксперимент оказался неудачным, потому что в самый последний момент компьютер намертво завис, повторять загрузку не стал, но в этом случае скорее всего виновата старая CD-RW болванка. Так что Dr.Web live-CD советую использовать.

В моей ситуации был удален установленный Аваст Антивирус и установлена триальная версия Dr.Web 5.

Этот антивирус хорош тем, что уже при инсталляции защищен и может устанавливаться и работать на уже зараженной системе.

Кстати, Касперскому, несмотря на все почтение, это не удалось. Потом компьютер был полностью просканирован и вирус удален. Остается исправить последствия действия паразита.

В этом прекрасно поможет утилита rrtri.exe
С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System / DisableTaskMgr
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001

Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot

Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER\Software\914

Остается добавить, что все это происходило на системе Windows XP, в школе, о которой я уже писал. Вирус принесли на флешке, может из дома, а может, как утверждают учителя, из Отдела Управления Образованием…

P.S. Несколько часов назад вновь пришлось столкнуться с данной проблемой на ноутбуке с Вистой. На сей раз был установлен Norton Antivirus 2009 – специальная версия от журнвла ” Chip”. Нортон отлично справился с проблемой, а при помощи утилиты rrtri.exe все функции системы были восстановлены. Опубликованный выше скриншот сделан на незараженной системе и указанных веток реестра там нет. Более наглядно показано здесь. Удачного вам избавления!

Скачать rrtri.exe - http://helplamer.ru/?page_id=120

Кому интересно избавился таким образом:
Скачал с са
Загрузка с любого диска типа Зверь и ФакЮБилл в windows PE miniCD Edition
После чего с флешки запустил програмку AVZ 4.0 с обновленными базами.
Пошаманил с восстановлением настроек Винды.
перегрузился установил Аваст и все просканил. все что аваст находил - удалить.

Уважаемый Вадим, я уже подробно писал на этой стрранице как я лечу этот випус. Главная идея - загрузиться с чистой системы (желательно защищённой от записи) с хорошим антивирусом и пролечить ВСЕ заражённые диски. Часть кода вирус хранит в реестре(см http://forum.ixbt.com/topic.cgi?id=7:33417-2), поэтому нужно править реестр. В болшинстве случаев предотвратить заражение поможет “Зоркий глаз”, Ссылку на зту программу вы тоже найдёте на этой странице.

A problem has been detected and windows has been chut down to prevent damage to you computer If this is the first time you ve seen this stop error screen?restart you computer If this appears again?follow these steps
Check for viruses on you computer Remove any newiy installed hars drivers or hard drive controllers Check you hard drive to make sure it is proper ly configured and terminated Run CHKDSK/ F to check for hard drive corruption and then restart your computer

кто может что нибудь подсказать об этом,просто хачу переустановить систему а каждый раз при установке выдаёт вот этот текст и синий экран при чом

А я скачал ДокторВебЛайвСиДи и почистил им….он хорош….на Линуховой основе….

Но весит…

Да тоже самое только я могу дойти до выбора сейф мод, а потом блок клавы.
P.S. Я уже переустановил винду, что оказалось очень проблематично, но клава так в себя и не пришла. Чем это можно исправить?

Cогласен с ним у меня WIN32.Sality.NAB за неделю мук, смог только отформатировать, что было совсем не просто. WIN32.Sality.NAB это вообще сумащедшая модификация. Если кому надо помощ пишите в скайп shevtsov.dmitry

Не забывайте пред началом лечения отключить систему восстановления! После включите опять.

Не забывайте пред началом лечения выключить систему восстановления windows, после лечения включите опять.

Чтобы его убрать, удалите regedit.exe из папки Windows. Тогда он не сможет получить доступ к своему тельцу. После этого ставьте антивирус NOD32 или KAV. Все заработает и вылечится!

regedit.exe после удаления сразу восстанавливается )) Я в этом деле новичок, но прочитав ваши комменты решила попробовать. на днях забрала ноут из ремонта, там МАСТЕР добавил мне 3 програмки от себя лично, причем с вирусом, да еще и денег за них слупил. Сразу после ремонта на голый ноут ставлю Dr/Web и нахожу более 200 инфицированных файлов - win32/sektor17 . Мастер конечно уперся , он же все сделал правильно, подумаешь не работает диспетчер задач, у всех бывает. вобщем от виросов ноут избавил DrWeb. Пыталась восстановить реестр Пуск->Выполинть gpedit.msc Но оказалось что XP HOME групповая политика недоступна. Поняла что терять мне нечего и скачала AVZ. за 2 секунды он восстановил систему, вернее диспетчер задач и доступ к реестру. Вот такая волшебная програмка ))) Честно говоря не ожидала ))

Скинь плиз как ты его вылечил?

Можно с этой тварью бороться и без антивируса (покрайней мере вырубить вырус можно вручную, и только для удаления его кодов потребуется, NOD 32 и т.д.) можно это сделать ещё на первый стадии заражения когда ещё можно запустить диспетчер задач, при проявлении симптомов этого вируса, нужно скачать с майкрософта, специальную утилиту, этакое расширение для диспетчера задачь, так же она идет в комплекте с Windows XP 2008 Sam Lab, в диспетчере появиться дополнительная вкладка задачи (на разных версиях по разному), в ней отображаются все активные процессы системы в данный момент, ищем этого ублюдка и ставим в параметрах блок на запуск этого файла, у каждаго вируса есть ядро (тело) вот его и надо диактивировать, чтобы гад не мог множиться. Затем нажно восстановить работоспособность Безопасного режима, для этого нужно в сети найти файл “restore_safe_boot.reg” перезагрузить компьютер, зайти в безопасный режим и установить антивирус (желательно доктор веб). сканировать систему, потом повторить, затем нужно проверить в диспетчере тот файл на который ставили блок, и если он еще существует, устанавливаем NOD 32 (должен нормально запуститьс (для подстраховки лучше сделать это с компакт дистка и изменить имя дестрибутива) снимаем блокировку данного файла и проверяем 3 раз систему, нод должен убить остатки вируса!!!
Единственный недостаток данной проверки, это то что NOD 32 при лечении повреждает много экзешников и они перестают работать, так что перед процедурой можно скачать нужные программы программы на флешку, и обезвредить вирусные коды на незараженном компьютере с установленным антивирусом NOD 32 и самым свежим обновлением баз вирусных сигнатур!

Вылечил уже много машин от этой заразы и не разу не пришлось винду переустанавливать. Достаточно AVZ cure it и касперского. Значит так запускаем для начала AVZ. Если не запускается переименовываем avz.exe в iexplore.exe. Нажимаем сверху AVZguard включить AVZguard. Потом Файл Мастер поиска и устранение проблем нажимаем пуск. Ставим галочки на найденные проблемы это наверняка диспетчер задач и безопасный режим и нажимаем исправить отмеченные проблемы . И спокойненько перегружаемся при активированной AVZguard вирус не может опять модифицировать реестр. Можем теперь загрузится в безопасном режиме и проверить комп куре итом. Если cure it не запускается его надо разархивировать винраром в какую нить папку и запускать экзэшник с иконкой компакт диска. Далее когда уже комп вылечен куре ит ничего не находит а касперский в нормальном режиме устанавливается но не запускается. Эта зараз что то прописывает в реестр причем не в раздел всем известный

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
а хрен знает куда. Поиск по реестру avp.exe так и не дал результатов. Так вот если сталкнулись с такой ситуацией можно попробовать сделать востановление системы на более ранний момент мне помогало несколько раз после этого касперский начинает запускатся. Собстно всё.

Прочитал почти все(=]) вот тутошние посты, и щитаю что я заразился этим вирусом самым странным образом.
В общем дело было так, сидел я на городском портале в дц, вдруг чел начинает орать, типо чуваки нашел проги чтобы самому делать вирусы.Я увлекаюсь программированием и мне стало интересно посмотреть, я попытался её скачать, аваст меня предупредил и разорвал соединение, он писал что это салити, но тогда я о нём ничего не знал=(Ксожалению…
Я сказал таму парню что в проге вирус, он мне сказал что это стандартный шаблон вируса, ну я скачал, там был vbscript, если кто шарит, и чтото вроде компилятора, ну я думал компилятор там с каким нибудь окном будет, а он сразу компилировал, ну короче запустил его, и компу сразу кердык, капздец и т.д. и т.п.
Я думаю эта прога объясняет почему так много версий, люди их прочто сами дорабатывают.

вот список файлов проги которые я скачивал, может пригодится, я думаю если скрипт разобрать этот то можно узнать принцип работы и способ удаления:
2009-09-13 13:51: D:\Generator\COMDLG32.oca downloaded from [LA]Andrew (), 35840 (35840), 203,49 КБ/s, 0:00:00
2009-09-13 13:51: D:\Generator\Default.vbs downloaded from [LA]Andrew (), 2748 (2748), 365 Б/s, 0:00:07
2009-09-13 13:51: D:\Generator\HyperlinkAx.oca downloaded from [LA]Andrew (), 22016 (22016), 228,72 КБ/s, 0:00:00
2009-09-13 13:51: D:\Generator\COMDLG32.OCX downloaded from [LA]Andrew (), 140096 (140096), 1,07 MБ/s, 0:00:00
2009-09-13 13:51: D:\Generator\HyperlinkAx.ocx downloaded from [LA]Andrew (), 98304 (98304), 1,19 MБ/s, 0:00:00
2009-09-13 13:51: D:\Generator\vbgenerator.exe downloaded from [LA]Andrew (), 1753088 (1753088), 404,35 КБ/s, 0:00:04
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\COMDLG32.oca downloaded from [LA]Andrew (), 35840 (35840), 187,17 КБ/s, 0:00:00
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\Default.vbs downloaded from [LA]Andrew (), 2748 (2748), 849 Б/s, 0:00:03
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\HyperlinkAx.oca downloaded from [LA]Andrew (), 22016 (22016), 346,77 КБ/s, 0:00:00
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\COMDLG32.OCX downloaded from [LA]Andrew (), 140096 (140096), 970,30 КБ/s, 0:00:00
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\HyperlinkAx.ocx downloaded from [LA]Andrew (), 98304 (98304), 1,19 MБ/s, 0:00:00
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\vbgenerator.exe downloaded from [LA]Andrew (), 1753088 (1753088), 688,93 КБ/s, 0:00:02

Все вышеописанные способы очень хороши. От себя хочу тоже добавить, потому как такого никто еще не предлагал. Можете сразу поменять атрибут этого раздела: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
а также:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] так как большинство вирусов и троев запускаются именно через автозапуск.
Тем кто в танке, на счет(атрибута)
В Windows (NT) атрибуты меняются через вкладку “Безопасность”. По умолчанию ее не видно. Отобразить ее можно так:
-Из проводника, Сервис->Свойства папки…->Вид->(Снять галочку от)->Использовать простой доступ…
-Во вкладке “Безопасность”, можете играть с атрибутами файлов и папок, и для важных ветвь реестра, можно полный запрет поставить

Вот и все! Удачи в Ваших экспериментах!

я его авастом вырубил!!!

Проверь все диски на винте ( D , C, E и тд) .. этот салити на всех есть ..

короче че вы все паритесь,скачиваем салити офф, потом он все отключает, и сразу же запускаем панду 2009 или маккафи 2010 и не парьтесь чуваки, все будет бодрячком, там в панде поставьте постоянное обновление через интернет и все просто супер, можно сразу несколько штук запускать хоть 10 главное чтобы комп у вас тянул, он все процессы проверяет еще сам

Реально мне помогла статья по адресу http://antivirusfagot.blogspot.com/2009/04/sektor-17.html