8 июля 2008
Борьба с вирусом VIRUS.WIN32.Sality.z (win32.sector.5, win32.sector.7)
Последние несколько месяцев в Рунете свирепствует вирус, который Kaspersky определяет как VIRUS.WIN32.Sality.z, а Dr. Web — win32.sector.5, win32.sector.7 (подробное описание). Даже у опытных пользователей его уничтожение вызывает трудности. Я же приведу простой и эффективный способ. 🙂
Симптомы
- Большинство программ перестают работать и «вылетают» с критической ошибкой
- Загрузка в безопасном режиме невозможна — вирус портит ветки реестра
- Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
- Значительно снижается производительность компьютера
Лечение
- Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN — любые сетевые подключения. Просто выдергиваем кабель.
- Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой — дабы вирус не мог испортить программу. Если испортит — вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
- Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
- Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен «Безопасный режим».
- Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
- Перезагружаемся в обычном режиме.
- Вновь проводим полную проверку.
- Устанавливаем нормальный антивирус со свежими базами. 🙂
у меня появилась эта зараза как Sality.s, касперский только успел на нее ругнутся и тут же умер. у меня стоит 2 винды на разных винтах, при том второй винт как раз отдал другу. Загрузился с него, обновил каспера, проверил все, вылечило 85 файлов. Первый диск с виндой отформатил, но как начал ставить прорги, эта гадость снова появилась! за день переустановил винду 4 раза!
Появились 2 подозрения:
— после быстрого форматирования (очистка оглавления) на диске остается рабочий код вируса, который снова активируется при установке винды.
— в вылеченных прогах остается какой то рабочий код тела вируса, который антивиры уже не видят (касперский 7 и нод32), но он может снова раработать.
Может такое быть?
P.S. при последней установке винды я сделал полный формат диска С (из второй винды) и не трогал те проги из инстала, что были вылечены.
Проверь все диски на винте ( D , C, E и тд) .. этот салити на всех есть ..
Последние три дня бились с Win32.Sector.10
Стабильно его видел только Avira, но не лечил. Кое-как кое-что лечил AVP Tool. Но это 20% от всех зараженных файлов
Сегодня cureit сообщил что это Win32.Sector.12 и удачно его излечил. Дальше действия по первому посту.,
Это убийственый вирус :((( большинство exeшников скушалал :'(
подхватил сегодня утром этот вирус каждый антивирь по разному его пишет…во время заметил не ладное, было заражено 3 машины, 2 сразу успел вылечить, пробежавшись в каждом компьюторе антивирусом nod32,kis7.0,b dr.wed с последними базами, вроде помогло, а инициатор заражения вылечить не могу..все время появляется заново..не чего нельзя открыть требует права администратора..но антивирус кое как запустить на нём смог..посмотрим что будет дальше..самое обидное тот компьютер сервер..пришлось выдернуть шнур..так как он еле еле работает..производительность упала до минимума..пытаешься что нибудь запустить виснет..диспетчер не открывает..просто работает как калькулятор..)))) вообще откуда это зараза полезла???
В пятницу объявилась новая модификация которую cureit не видел.
avira по прежнему видит, но не лечит.
Сегодня утром cureit по прежнему не видел. По virustotal.com эту версию определяли 26 из 36 антивирусов. К обеду отправили ещё один зараженный файлик на вирустотал. 11 из 36 )
После обеда ещё одна версия вируса отправлена на вирустотал — ещё меньше антивирей видят эту гадость. Cureit, по прежнему не видит. Перестал видеть nod32. Avast и Avira вроде как ловят.
Завтра попробую отловить откуда эта гадина обновления утягивает..
Вчера принесли на флешке Sector.12, сразу по сети он прорвался ко мне на сервер, nod32 один раз ругнулся на него и брагополучно вышел из строя. Сижу лечу его cureit-ом, но он все время размножается.
Помогите, ответте плиз, он портит часть реестра или только его блокирует. У меня на серваке висит связь с банками, и переустановка винды особенно в конце отчетного периода мне смерти подобна.
Попробовал такую последовательность, помогло (почти):
— Скачал CureIt!
— Скачал Registry Manager (rrti.exe)
— Скачал .reg файл для восстановления SafeBoot
— Отрубил сеть
— Поставил rrti.exe
— Запустил его, поправил строки HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System\DisableRegistryTools
— Зарегил .reg файл (до этого, ясное дело, нельзя было!)
— Перезагрузился в Safe Mode
— CureIt! всё полечил
Перезагрузка — и всё ок (вируса нет)!
Теперь проблема — этот комп не видит других компов в домене…
>Теперь проблема — этот комп не видит других компов в домене…
если нет firewall и систмные файлы в порядке (sfc /scannow), то можно попробовать сброс настроек протокола TCP/IP в Windows ХР
http://support.microsoft.com/kb/299357/ru
>Теперь проблема — этот комп не видит других компов в домене…
Уже решил:
вирус запортил реестр(?), не работал NetBT
sfc /scannow не стал пробовать — не было диска под рукой
скачал WinSockXPFix, он полечил соединение
а потом просто передобавил в домен…
подскажите плиз…. уже отписывался по поводу Sality.aa, так его каспер 7.0 видит, а курейт видит как win32.sector.10… вообщем у мну на сервере эта хрень присела, прогнал курейтом… старым… вообщем полечил он мне, а вот вчера закачал нового, запустил… вообщем какого-то хрена у меня в процессах повис курейт и setup его, а скидываться не хотит (диспетчер отключен, поэтому обнаружил процессы путём procceskillera, но он мне не сбрасывает всё равно данные процессы)…. я вот думаю, что мне делать, сервер ещё ни разу не перезагружал.. если честно боюсь енто делать, так как у нас торговый центр, и база 1С-совская висит на сервере, ну соответственно, время — деньги, а начинаю прогонять новым курейтом, он виснет при обнаружении в оперативке старого курейта… не знаю чего теперь делать?!
Боюсь, что при перезагрузке сервера он не загрузится снова *( (верны ли мои опасения? кто знает?!)
Здравствуйте товарищи по несчастью. Данный вирус на моих машинах определился как Win32.Sector.5(или Sector.8, если в процессах). Почитав ваши посты, пришел к выводу что у меня все не так уж и страшно, пока что, думаю что то мешает этой гадости нормально обновлятся, возможно прокси? Пока что вирус ведет себя довольно тихо, реестр и диспетчер не убивает, тихо в уголочке калечит «екзешники», 70% которых потом вылечивает ДрВэб(который компактный, без установки), Касперский так-же его лечит и даже не умирает. Симантек был убит везде, где побывал вирус, так же эта сволочь постоянно убивает РАдмин Viewer 3.2 на одном из моих рабочих компов. Юзеров гад особенно не тревожит, работу 1С во всяком случае не убивает, но затормаживает, так что паники нет, пока что. Очень надеюсь на появление эффективного способа лечения гада, чтоб сразу машины десятками чинить. 🙂
Zerdna все лечиться реест только блокируется…разблокировать можно..у нашего сотрудника это благополучно получилось..с помошью проги открыл реестр и просто заменил то ли 0 на 1 толи наоборот..
Zerdna все лечиться реест только блокируется…разблокировать можно..у нашего сотрудника это благополучно получилось..с помошью проги открыл реестр и просто заменил то ли 0 на 1 толи наоборот..
способ который тут предоставлен в самом начале темы на само деле очень эффективен..но не полностью..запиши на диск прогу и лечи с диска..мне приходилось по 4 раза проверять что бы вывести заразу..но помогло..винда слетела на одном из 3 компов..но это следовало ожидать он самый первый был заражен..и часто эжто просиходило, а винда аж2005 года..так что этоу меня так..не че восстановил без потери данных..все у меня получилось
читайте способ предоставленный в начале статьи..он все же помогает..только приходиться по 4 раза подряд антивирусник пускать..мне помогло))3 своих машины я вылечил таким способом))
Спасибо, много полезного почерпнул.
У Касперского есть тулза http://support.kaspersky.ru/faq/?qid=208636131 sality_off
А у заразившихся sality нет выхода на сайт касперского.-)
Доброго времени суток, уважаемые дамы и господа.
Столкнулся с подобной проблемой неделю назад, методы лечения, описанные выше, оказались весьма эффективными, но есть кое-какие досадные мелочи, которые не дают жить спокойно. Ну обо всём по порядку.
Клиентские машины: Windows XP Professional, sp2.
1. На 3-х машинах из 5-ти правка реестра не потребовалась: отключение от сети, Safe-mode, быстрый прогон, полный прогон, загрузка в обычном режиме и снова полный прогон с помощью Dr.Web CureIt! Лечение удалось, машины в сети, всё в порядке.
2. Оставшиеся 2 компа. На 1 одной машине так и не удалось излечить файл system32\mmc.exe по причине ошибки чтения. 2 машина сдалась только после 2-го полного курса лечения по инструкции.
Теперь о самом грустном:
1. Сервер под управлением Windows 2000 Server. Подняты роли: контроллер домена, сервер печати, файловый сервер. Имеется раздел на втором жёстком для обмена информацией между отделами. В первую очередь вирус сел именно туда, причём с неким файлом autorun.inf, который не удавалось ни открыть, ни удалить как средствами Windows, так и специальными прогами. Решить проблему удалось с помощью программы UnHackMe, проверка boot. Только тогда удалось избавиться от данного файла. Сделано это только сегодня утром, до этого победить заразу не удавалось никак.
Встречал ли кто такой файл среди своих вирусов? Или у меня своя разновидность с ручной доработкой? Привожу пример скрипта:
[KILL.B]
audiohqu.exe
rcman.exe
ctsysvol.exe
ну и далее всё в таком же духе.
Есть подозрение, что это дописка не входила в комплект с самим вирусом, а дописана каким-то умельцем. Выводы сделаны на основе системного журнала больной машины.
2. Второй сервер, под управлением Windows 2003 Server R2. Подняты роли: файловый сервер, сервер печати. На нём крутится несколько программ, в том числе «Консультант +». В папке с «Консультантом» были обнаружены небезызвестный файл autorun.inf и различного имени файлы с расширением *.pif
Эти pif’ы легко выносились с помощью NOD32, но с autorun.inf ничего сделать было невозможно, также как и в случае с первым сервером.
Что вы по этому поводу думаете? Есть ли варианты полного излечения серверов от этой заразы? Потому что падение сервера не приведёт ни к чему хорошему, даже при наличии бэкапов.
Автораны можешь смело удалять. Если они на сервере заняты на расшареных ресурсах — значит какой-то комп по сети их держит. Заходи в «Мой компьютер» — «управление» — «Общие папки» — «Открытые файлы» и смотри какой комп держит эти автораны. Потом там же, но в «Сеансах» находишь этот комп и прерываешь ему сеанс доступа (правый клик и выбор). Но может и не помочь, потому как это признак того, что удаленный комп заразный и он снова полезет на сетевые ресурсы. Так что смотри, кто у тебя на сервере эти автораны держит, выключай те машины, лечи их (100% заразные!) и удаляй эти автораны на сервере (не забудь удалить с ними и пифы). Ну и прогони сервад для порядку антивирем.
Новая разновидность этого вируса (Win32.Sector.12) кстати блокирует доступ к реестру и к диспетчеру задач. Лечится сторонним редактором реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
Там ключи ниженазванные дожны иметь значение «0»
DisableTaskMgr
DisableRegistryTools
Если их значение «1» то быстро меняй второе значение на 0, применяй скрипт для безопасной загрузки и грузись в безопасном режиме. Дальше всё то же. Потом можешь после лечения пройтись AVZ и исправить непорядки в реестре.
Бывает иногда, что после вебовской утилиты вирус остается. Т.е. при нормальной загрузке он заново активируется. Помог в этом случае KAV 2009 на исправной машине — подцепил винт и вылечил все без остатка.
Возможно это пригодится кому.) Нам надо защитить файл от изменения, от вируса.
Защитим файл Explorer.exe , идем в безопасный режим, открываем свойства файла,
ставим атрибут Только чтение, далее в вкладку Безопасность.
Здесь стоит добавить, эта вкладка часто содержит права для нескольких юзеров,
проверка этих прав, если их много , занимает время, т.е. снижается производительность диска,
загружен процессор. Так вот Добавляем сюда пользователя Все, по возможности оставить только этот ,
другие удалить, и ставим атрибут запрет записи.
Теперь этот файл неудалить , не изменить, незаразить ) также можно защитить и другие уязвимые файлы, пример, regedit.exe , файлы системных процессов svchost.exe , csrss.exe , isass.exe
services.exe , smss.exe , taskmgr.exe , winlogon.exe и др, только не те которые система изменяет часто,
логи и реестр.
Не забываем, что sality залазит в system volume information. Curelt все файлы не находит, надо обновленным антивирусом прогонять.
Привет всем! я дважды натыкался на эту мерзасть,первый раз пришлось форматировать все лок.диски,потом нашел решение:
ОБЯЗАТЕЛЬНО ОТКЛЮЧИТЬ КОМПЬЮТЕР ОТ СЕТИ!!!! ВЫНУТЬ ПРОВОД ИЗ СЕТЕВОЙ КАРТЫ!!!
1) Скачать на НЕзараженном компьютере с этого сайта бесплатную утилиту для удаления вирусов CureIT от DrWeb и записать её на диск или если есть флешка с защитой от записи, то можно на неё.
2) Далее копируем вот это:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
«AlternateShell»=»cmd.exe»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@=»FSFilter System Recovery»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@=»Universal Serial Bus controllers»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@=»CD-ROM Drive»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@=»DiskDrive»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@=»Standard floppy disk controller»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@=»Hdc»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@=»Keyboard»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@=»Mouse»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@=»PCMCIA Adapters»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@=»SCSIAdapter»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@=»System»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@=»Floppy disk drive»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@=»Volume»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@=»Human Interface Devices»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@=»FSFilter System Recovery»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@=»Driver Group»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@=»Driver»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@=»Service»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@=»Universal Serial Bus controllers»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@=»CD-ROM Drive»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@=»DiskDrive»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@=»Standard floppy disk controller»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@=»Hdc»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@=»Keyboard»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@=»Mouse»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@=»Net»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@=»NetClient»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@=»NetService»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@=»NetTrans»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@=»PCMCIA Adapters»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@=»SCSIAdapter»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@=»System»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@=»Floppy disk drive»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@=»Volume»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@=»Human Interface Devices»
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
«Authentication Packages»=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00
открываем блокнот, вставляем туда этот текст и сохраняем файл с именем restore_boot.reg (предварительно в «свойствах папки» необходимо снять галочку с «скрывать расширения для зарегистрированных типов файлов»)
После того как сохранили, запускаем его и на вопрос о «слиянии с реестром» отвечаем: ДА
3) Отключаем восстановление системы:
На рабочем столе значок «Мой компьютер» по нему правой кнопкой мышки > СВОЙСТВА > В свойствах выбираем вкладку «Восстановление системы» и ставим галочку где написано «Отключить восстановление системы на всех дисках»
4) Делаем перезагрузку компьютера и заходим в безопасном режиме. Для того что бы загрузится в безопасном режиме необходимо во время загрузки нажимать клавишу F5 , на некоторых компьютерах F5 не срабатывает и необходимо вместо F5 использовать F8.
После того как загрузились в безопасный режим, вставляем в привод диск с записанной утилитой CureIT и выполняем ПОЛНУЮ проверку компьютера. Те файлы которые возможно вылечить исцеляться, которые невозможно вылечить удаляем.
5) После полной проверки компьютера в безопасном режиме, перезагружаемся и входим как обычно, устанавливаем заново свежий DrWeb и выполняем полную проверку снова.
Надеюсь комуто поможет
Да, есть над чем задуматься. Спасибо!
http://www.musthavesoft.com/download/Windows_Utilities-System_Utilities-Advanced_Process_Termination-2.1.html
Альтернативный диспетчер задач, мочит всё, что угодно (12 разных способов)
Юзал его, хотя было уже поздно.
Про CureIt не знал, комп таскал к другу и катал НОДом, потом — реинсталл Винды.
Бесполезно. Я юзал KillProcess. Через некоторое время и он становится заранзным… Все процессы запущенные инфицируются. Поэтому, только в безопасном режиме или лучше вообще с LiveCD.
Здравствуйте, короче хочю я вас обрадовать, вылечил я эту заразу, говорю все по порядку что нада сделать!
1. Скачиваем програмку Sality_0ff.exe (Только понятное дело не с зараженого компьютера, и запускаем её с архива так как этот вирус незаражает «.rar» ждем пока она просканирует и она когда просканирует вылечит эту заразу!)
2. Скачиваем CureIT (И сканирум им)
3. Чиним реестр с помощью установки ключа как указано выше в инсрукции.
И комп супер работает! ))
А флешки только лечита форматом и все!
Тут что-то похожее на Sality_off.exe:
http://translate.google.ru/translate?hl=ru&sl=en&u=http://www.4shared.com/file/44269760/cd6a02be/SALITY-CLEANER.html%3Fs%3D1&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3Dsality%2Bcleaner%26hl%3Dru%26lr%3D%26newwindow%3D1%26sa%3DG
У меня даже реестр заблокирован, что делать?
Arthuryk огромное спасибо, сделал все как ты описал и помогло!!! правда есть небольшие нюансы) описываю: помимо обычного заражения файлов может быть так же занесен непосредственно сам файл установки вируса, как в моем случае. Эти папки, с установочными файломи вируса, так же удаляються в безопаснорм режиме. единственное что необходимо открыть полный доступ к ним.
А так все получилось просто супер, без всяких форматирований и так далее, СП еще раз.
внесите изменение в реестр… ну как вы это сделаете если доступ к реестру эта дрянь тоже отрубает. если удаётся попасть в реестр другим способом и изменить значение на разрешение доступа в реестр то через несколько секунд у вас на глазах это значение меняется на предыдущее запрещающее доступ к реестру.