8 июля 2008
Борьба с вирусом VIRUS.WIN32.Sality.z (win32.sector.5, win32.sector.7)
Последние несколько месяцев в Рунете свирепствует вирус, который Kaspersky определяет как VIRUS.WIN32.Sality.z, а Dr. Web — win32.sector.5, win32.sector.7 (подробное описание). Даже у опытных пользователей его уничтожение вызывает трудности. Я же приведу простой и эффективный способ. 🙂
Симптомы
- Большинство программ перестают работать и «вылетают» с критической ошибкой
- Загрузка в безопасном режиме невозможна — вирус портит ветки реестра
- Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
- Значительно снижается производительность компьютера
Лечение
- Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN — любые сетевые подключения. Просто выдергиваем кабель.
- Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой — дабы вирус не мог испортить программу. Если испортит — вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
- Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
- Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен «Безопасный режим».
- Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
- Перезагружаемся в обычном режиме.
- Вновь проводим полную проверку.
- Устанавливаем нормальный антивирус со свежими базами. 🙂
похоже Drweb этот вирус пропускает ,в некоторых инсталляторах он его просто не видит хотя каспер нод и др определяют как зараженный.
Интересно а лечить нормально его какой нибудь из антивирусов умеет,а то оставляют после него какие то обрезки.
У меня все корректно лечит. И KIS, и Dr.Web CureIt.
я вот свой способ лечения от этого вируса нашел 🙂
достаточно все очень просто как окаазалось 🙂
если кому будет интересно пишите!
ну и как же!!!!
раскажи плиз
Скажи плиз как ты от него избавился
Скажи плиз как ты от него избавился!?
расскажи как, а то меня этот салют задолбал уже!
пожалуйста напиши!!
Уважаемый Вадим, я уже подробно писал на этой стрранице как я лечу этот випус. Главная идея — загрузиться с чистой системы (желательно защищённой от записи) с хорошим антивирусом и пролечить ВСЕ заражённые диски. Часть кода вирус хранит в реестре(см http://forum.ixbt.com/topic.cgi?id=7:33417-2), поэтому нужно править реестр. В болшинстве случаев предотвратить заражение поможет «Зоркий глаз», Ссылку на зту программу вы тоже найдёте на этой странице.
Скинь плиз как ты его вылечил?
Здраствуйте… скажите пожалуйста…у меня такая фишка … на кампу сидит Вирус Win 32 sector 16 … антивирусники при нем ни одные не запускаються.. не хотят… Презагрузка в безопасном режиме невозможна… Скачал Dr.web CureIt… вирус то нашел… но удалять не хочет пишет какую-то ошибку при удалении… и в итоге не удаляет … Похоже вирус защищён от этого антивирусника…. Также пробувал переустанавливать Windows Но не помогло…. Люди Добрые, пожалуйста, посоветуйте что можно сделать… а то я уже не знаю……
Здравствуйте ikalex. Пожалуйста опишите свой способ лечения вируса win32.sector.5? Возникли серьезные проблемы из-за него
Ребята, подскажите как победить эту заразу, третий день все компы по пятому разу лечим.
Format C + проверка всего бекапа на другой, не инфицированной машине… по другому не получилось
Здравствуйте ikalex. Пожалуйста опишите свой способ лечения вируса win32.sector.5? Возникли серьезные проблемы из-за него
Я с помощью вот этой http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ програмулины вычистил комп от этой заразы. Тока не пугайся, она может подзависать, наверно из-за действий вируса. Я ее принудительно запускал. Удачи
A problem has been detected and windows has been chut down to prevent damage to you computer If this is the first time you ve seen this stop error screen?restart you computer If this appears again?follow these steps
Check for viruses on you computer Remove any newiy installed hars drivers or hard drive controllers Check you hard drive to make sure it is proper ly configured and terminated Run CHKDSK/ F to check for hard drive corruption and then restart your computer
кто может что нибудь подсказать об этом,просто хачу переустановить систему а каждый раз при установке выдаёт вот этот текст и синий экран при чом
Уважаемый Дмитрий. У Вас случайно не ноутбук? Есть такие ноутбуки, на которые просто так Windows не поставишь. Для этих ноутбуков имеются специальные версии Windows со специальными драйверами. Я сам сталкивался с подобной проблемой несколько раз.
Подцепил винт на другую машину — полностью проверил антивирусом, после этого подцепил обратно, внес изменения в реестр на восстановление (спасибо файл выложили). Вроде нормально пока.
еперь эта сволочь не дает запускать ни один антивир, отрубает диспетчер задач и не дает редактировать реестр (поймал на флэшке на не вирусованной машине) а насчет инет кафе это бред такого дерьма оттуда можно принести….
Сотрудник подцепил такой вирус флешкой (и я от него тоже). Повозился, но вроде вылечил. Грузился с диска. Пользовался Dr.Web CureIt! и потом НОД+файрвол. Полезно также:
Для редактирования реестра пользовался прогой rrtri.exe
включение диспетчера задач:
ставим ноль в ветке реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
реестр разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
«DisableRegistryTools»=dword:00000001
Отличный способ!! Рекомендую всем. Только, если он в сети предприятия, то обязательно отсечь все компьютеры и подключать к сети только после выполнения этой проверки (и обязательно со свежим антивирусом. Можно тестовую версию касперского КИС 7. Думаю, месяца хватит, чтобы вытравить следы этой гадости с флэшек и прочих клиентских носителей :))
Очень интересно. Напиши, плз.
На прошлой неделе возникла ситуация, что этот вирус парализовал работу всего офиса. В субботу вроде как все вылечили, но после запуска сервера все пошло по новой. Обновленный DrWeb нашел такую штуковину как win32.sector.9 Вроде все обыскал в инетрнете, ничего не слышал, на официальном сайте веба тоже ничего нету. Может кто сталкивался?
На днях столкнулся с той же ситуацией. Нод32 с актуальными базами пропустил «заразу» с флеш накопителя. Вирус идентифицированный DrWeb-ом как win32.sector.9 при сканировании Нод-ом32 был определен как файловый вирус Sality.NAR. Причем Нод излечить зараженные файлы отказывался и тупо их валил. DrWeb в этом случае проявил менее радикальный подход. Решил проблему излечив систему Dr.Web CureIt!. предварительно записав ПО на диск и собственно загрузившись с загрузочного диска, в этом же режиме подгрузивши в первую попавшуюся под рукой утилиту (RegCleaner) файл реестра ntuser.dat (актуальной учетной записи) в ветви [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалил параметры: REG_DWORD DisableTaskMgr и REG_DWORD DisableRegistryTools
Перегрузился и порядок.
P.S. Хотя форматирование оно все равно надежнее :))
Чего тут интересного, всё сверху написано
Win32.sector.10 попал через флешку на 2 компа. Один вылечен переустановкой WinXP и немедленным запуском CureIt. Второй по следующей схеме:
1)Загрузил ERD Commander с диска
2)Запустил CureIt с чистой флешки (заранее скачанной чистым компом) на полную проверку с самыми жесткими установками
3)Затем перезагрузка компа, восстановление доступа к реестру и диспетчеру задач, а также ветвей реестра, ответственных за безопасный режим, с помощью RegOrganizer.
Поздно заметил заразу .. Обе домашние машины (xp sp2 x32, xp sp2 x64) оказались плотно инфецированны Sality.z и Trojan.Win32.DNSChanger.ech (который кстати никак не скрывал свое присутствие)
Возможности подключить устройства хранения данных к чистым машинам не было, лечился (точнее пробивался) установкой с CD (с третьего на одной и со второго на друго) касперского 7 сразу после загрузки ОС (видимо вирус не всегда прогружается первым …) не давая перезагрузится после установки обновил базы до 17.08.08 и после чего касперский ругнувшись на поврежденные базы и невозможность загузить компоненты защиты успешно покинул память. Перезагрузка с ресета и касперский таки начал делать свое чистое дело, одновременно повторно обновил поврежденные базы и приступил к лечению (всего было обнаружено 22 инфецированных объекта на одной машине и 148 на другой, которые все располагались в зоне используемых приложений и системных компонентов, все были успешно излечены) проверил по описанию вируса (указанное вверху страницы) места заражения и следы вируса, система чистая.
Я не призываю делать то же самое, лечить полиморфы поражающие исполняемые файлы с зараженной машины занятие не просто глупое, я бы даже сказал бесполезное. однако факт на лицо, не имя возможности подключится к другой чистой машине — не надо отпускать рук.
p.s. откатил реестр на дату до заражения вируса …
Компьютер был заражен Virus.Win32.Sality.z, но это никак не проявлялось, после одноразового отключения защиты (не помню по какой причине) Касперский просто перестал запускаться, появились глюки при работе других программ.
Снял винт и подключил к другому компу с установленным Касперским, после повторной перезагрузки и на этом компе перестал запускаться антивирь, еще раз перегрузил комп в безопасном режиме , вручную запустил касперского , пролечил зараженный винт, пролечил саму машину. Пока все работает нормально!
Вывод — не лениться делать полную проверку на вирусы )))
Я принесла на домашний комп данный вирус с флешки… причем побочные действия очень разные. Сначала заразился рабочий комп, действия были такие:
1.почту на мыле можно было только писать, читать возможности не было
2. комп гулял по интернету где ему вздумается (когда проверяли на сервере куда делся траффик, были показаны интернет сайты, которые не существуют!!!
3. отключился диспетчер задач и редактор реестра (в реестр можно было проникнуть только через regcleaner)
Когда же злополучный вирус пришел ко мне домой на флешке, он начал вести себя очень агрессивно и совсем не так…
1. начал просто выключаться монитор (комп работает, а монитор нет)
2. перестали загружаться сайты антивирусов
3. отключился диспетчер задач и естественно редактор реестра
4. комп просто висел и ничего не делал, видимо вирус творил свое грязное дело.
Сейчас обновила полностью антивирусные базы и комп стоит на полной проверке…Посмотрим что из этого получиться(((( форматировать так не хочется…. но чувствую что придется….
Главное чтоб после формата он нигде не остался…. а то это будет совсем обидно(((((
Кстати антивирусник стоит NOD32 и находит данное ZLOOO под именем WIN32/Sality.NAR
Все енто брехня, этот вирус оставляет мусор и лечится переустановкой ОС
Например: Сажусь за заражённый комп, симптомы: task manager и regedit отключены в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
А даже если изменить, то через секунду параметры возвращаются в исходное состояние
Если успеть изменить параметр, то можно загрузить и диспечер задач, а там все стандартные процессы)))
Самое обидное не работает safe mode, а «КЛЮЧ» может и помогает, но никакого эффекта я от него не увидел
Это просто жесть! он называется win32.sector.9 (в корневой каталог флешки залазит дрянь autorun.inf, и создаёт файлик с расширением *.pif, но обезопасить свою флешку можно, создав в корневике папку с названием: autorun.inf)
P.S. пока эффективного способа лечить заразу не нашёл если кто поможет от отпишите axis-xx@mail.ru
Описанный выше способ эффективен с одним «но» — надо зайти в безопасный режим, который блокируется вирусом, что составляет проблему. Но это решается просто — валим систему ресетом и после ребута появится меню некорректного завершения работы, в котором есть безопасный режим и работает клавиатура для его выбора. А дальше — дело техники.
Да тоже самое только я могу дойти до выбора сейф мод, а потом блок клавы.
P.S. Я уже переустановил винду, что оказалось очень проблематично, но клава так в себя и не пришла. Чем это можно исправить?
Ключ не помогает, точнее уже не вылетает экран смерти при запуске safe mode, но загрузка висит с надписью «запуск Windows». Дальше не идет 🙁 Что делать ?
А у кого-нибудь с подключением к Интернету проблемы были после лечения? Я все вылечил вышеописаным способом а к инету подключиться не могу.
а проблемы с подключением к интернету были после этого? у меня после лечения не работает, и пока эту проблему не решил, а форматировать неохота.
socketFix вам
Да, респект большой.
Загрузка в безопасном режиме не работает, это факт. Зато работает загрузка с восстановлением каталогов (вроде так оно звучит).
Сначала происходит check disk, а потом происходит загрузка в безопасном режиме!
После этого вставляется диск с записанным Cureit и Nod32.
Сначала прогоняем Cureit’om, ему не нужна никакая установка, делаем полную проверку. У меня при этом обнаружилось 1320 зараженных файлов.
После этого добиваем полной проверкой NOD32 и лечим реестр.
Люди, подскажите, курейтом лечить лучше в безопаснике и достаточно обычного режима?!… просто у меня ситуация такая, поймал я Секторо.10… диспетчер и реестр не подвластный, и самое ужасное, что поймал всё енто дело на Сервер…. а у нас тут магазин… все почти в терминале трудятся… прям щас гоняю Сервер Курейтом, уже нашёл более 400 *.exe и исцелил… что потом делать после прогона? подскажите?!
Вопрос не в том как его сейчас вылечить а как найти спопсоб не дать ему распространица через флэшки сотрудников которые они таскают то домой то куда либо еще. разьяснения типо вставил проверил не действуют.
Способ элементарный! Поставь USB Disk Security.(могу дать!). Находит на раз!
может тоже полезно будет кому…
недели две назад в сети на работе завелся вирус, в процессе выявления хотябы названия каспер обозвал sality.aa, а дрвеб sector.11.
Естесственно редактор реестра, таск менеджер и безопасный режим были заблокированы. Создавали пользователей на машинах с НЕ АДМИНСКИМИ ПРАВАМИ, почемуто в таком случае вирус себя так рьяно не проявлял. Далее качали CureIT и AVP Tool и запускали их с компакт дисков от имени администратора. Доктор вебовский куреит обнаруживал вирус в редких случаях, авп тул находил в большом количестве в файлах *.exe и вроде как излечивал (часть файлов портилась).
Ну а далее ребут, восстановление реестра и запуск в сеть…
Так как организационно достаточно сложно (около 200 компов, истерика в бухгалтерии) то вирус и по сей день гуляет. Замечено что компы без расшареных ресурсов вновь пока не заразились.
Надеюсь кому поможет, а пока лажу по инету в поисках приемлемого для себя решения.
Ко мне принесли убитый бук этой фигней …. на работе нужно было второй рабочее место — подключили к сети ….. на моей машине Нод начал матерится без остановки что убивает авторан.инф и еще какую-то гадсость в расшареной папке — убрал доступ — визги прекратились ….. сейчас вот руки дошли до бука….. убил систему с формат С ….. установил нода — базы обновить забыл (забыл скопировать на флешку) — начал ставить драва из папки что была на буке — после второго ребута — пропал менеджер задач….. поматерился — переустановил систему второй раз — сразу же нод с последними обновлениями + аутпост 2009 про ….. и на глубокий анализ ….. на диске D — обнаружил 350 инфицированных файлов…. вроде убил … щас ребутнулся — повторный скан системы нодом …. пока чисто …. вчера весь день сканировался рабочий комп — вроде чисто ….
Повезло
Про расшаренные ресурсы, это правда, было у нас около 10 компов в бухгалтерии, заразились только те, у которых были сетевые папки расшарены