8 июля 2008
Борьба с вирусом VIRUS.WIN32.Sality.z (win32.sector.5, win32.sector.7)
Последние несколько месяцев в Рунете свирепствует вирус, который Kaspersky определяет как VIRUS.WIN32.Sality.z, а Dr. Web — win32.sector.5, win32.sector.7 (подробное описание). Даже у опытных пользователей его уничтожение вызывает трудности. Я же приведу простой и эффективный способ. 🙂
Симптомы
- Большинство программ перестают работать и «вылетают» с критической ошибкой
- Загрузка в безопасном режиме невозможна — вирус портит ветки реестра
- Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
- Значительно снижается производительность компьютера
Лечение
- Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN — любые сетевые подключения. Просто выдергиваем кабель.
- Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой — дабы вирус не мог испортить программу. Если испортит — вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
- Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
- Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен «Безопасный режим».
- Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
- Перезагружаемся в обычном режиме.
- Вновь проводим полную проверку.
- Устанавливаем нормальный антивирус со свежими базами. 🙂
хех непойму зачем такие страдания если можно элементарно поставить себе антивирусник Avast и непариться как это сделал я подцепил где то этот вирусняк как только вирус заразил пару эксешников сразу сработала резидентная защита в итоге антивирь убил процесс с вирусом перезагрузил комп далее аваст активируеться до загрузки приложений удалил 2 программы чтоли почитстил систему и все проблемы с этим вирусом на этом и закончились флешку просканил удалил вирусняк на этом история благополучно заканчиваеться AVAST мега антивирь сколько раз в этом убеждаюсь… хоть он по большей части и не лечит как другие дак и не в этом его фишка суть в том что он сразу находит либо предотвращает появление на компе вируса а даже если вирус и попадет то просто тупо тут же сносит зараженный файл тем самым избавляя от проблем…
🙂 поздно пишу, но кто тебе сказал что он дает скачать и установить аваст.
Сейчас воюю с ним. Если у кого-то полная попа могу посоветовать вебер с новыми базами запустить через дос. Он всё понаходил. Но правда немного дерьма осталось. Есть ещё апупенная прога avz.exe она и в реестр залезет, и ещё много куда.
Только-только отвоевался!
Использовал в безопасном режиме Dr.WEB с последними базами.
Перезагрузившись решил на всякий случай проверить с помощью Dr.WEB LiveCD (http://www.freedrweb.com/livecd) (грузится из биоса на основе Линукс, что позволяет незаразится после проверки, прога бесплатная с лицензией на несколько месяцев).
Результат: win32.sector.12 находила в папке System Volume Information.
Т.о: виру себя резервирует в этой папке.
Совет: 1. С помощью MidnightCommander’а (аналог ТоталКомандера в Линуксе) мочить System Volume Information незадумываясь, чем сэкономим время на проверку;
2. Проверять нужно только файлы с расширением *.exe, посему в Вэбе выставляем проверку только данного формата файлов. Т.о. экономим приличное количество времени на проверку.
Хэв Фан!
open_sky Ярослав
как в безопасный режим зайти у меня не заходит из за вируса?? можно удалить вирус без безопасного режима???
А заранее ставить на комп антивирус никто не пробовал??? Вот у меня 4 года каспер стоит (версии, естественно меняются)! Я в инете постоянно + приношу почти каждый день заразное железо!!! Работа такая :))) И НИОДНОГО глюка! Щас KIS 8 стоит, интерфейс тупой конечно, но сканер ничего так! Заплатки на винду ставить НЕ забывайте товарищи! А когда ПИ…. поздно думать…
Борюсь с этой заразой, пока не особо получается.. скажите, а кто-нибудь юзал тулзу Sality_off? Только что слил ее с сайта каспера, хочу запустить ее, после прогона CureIt. Есть ли смысл в этом?
Кстати, непогрешимая Авира, которую я постоянно использовал, пожрала сама себя xD
вчера на 9 компах лечил эту заразу в безопасный режим заходил используя файл реестра приложенный в первом посте внедренный в систему при помощи тоталкомандера вкладки Сеть/FSплагины заходил там в реестр и тупо удалял ветку которая отвечает за редактирование реестра и мгоновенным запуском файла безопасного режима если не успели то повторяем заново потом после удачного завершения включался в безопасный режим и начинал сканить курелтои от веба потом восстановление реестра установка нод32 обновление баз перезагрузка и запуск полной проверки курелтом с включенным нодом для надежности ( то что не схватит вэб блокирует нод) все работает вирусов нет можно вздохнуть спокойно…
Мой комп заражён Virus.Win32.Sality.aa и Virus.Win32.Hidrag.a
Вопрос простой.
Заражают они медиа файлы (фотки, музыку, фильмы и т.п.) или нет?
Спрашиваю к тому, что хочу перенести их на чистый жёсткий диск, а заражённый просто напросто
отформатировать.
Не перекочуют ли эти вирусы вместе с этими файлами?
У меня все новый CureIt лечит скачал с официалки дохтора веба все пролечил и поставил касперского и норм работает
Фильмы и музыка не заражаются, а вот носитель на который ты будешь их копировать будет заражён.
ВСЕМ ВСЕМ ВСЕМ!!!!!!!!!!!!! Я СКАЧАЛ Panda Global Protection 2009 И ВСЁ ВЫЛЕЧИЛ, СОВЕТУЮ!!!
Приехал ночью домой сел за комп по мсну прислали мрз песню одну потом установил старую версию QIP и перезагрузил комп в связи с устоновкой последних обновлений для винды хр,и тут началось))) к Ctrl+Alt+Del доступ закрыт ,к regedit в командной строке заблокирован,CCleaner,AnVir Task Manager,Spybot — Search & Destroy эти проги тоже не запускаються.сайт касперского заблокирован ,попытался установить касперского тоже не получаеться блокируеться. работает только Ad-Aware SE Personal и тот находит 6 троянов удаляет их,но после они снова появляються,пытаюсь зайти в безопастный режим а там вылетает синий экран смерти вообщем и туда доступ закрыт,ну думаю приехали)))))
В итоге получилось только откатить систему на более ранеее число и после этого только заработало всё и смог в безопастном режим просканировать весь ком итог 547 файлов заражены одним и тем же вирусом Virus.Win.Sality.aa + 7 троянов. 3 террабайта касперский сканировал 9 часов))))
все превед! пригласил товариж в гости и показал эту дрянь. пробовал прогонять куретом вебовским лечит покалечанные .ехе но не более. нод вируса видит но не удалял(страые базы на машинке) сейчас скачал утилитку http://support.kaspersky.ru/faq/?qid=208636131
http://notes.rudomilov.ru/wp-content/uploads/2008/07/restore_safe_boot.zip отсюда ключ . порядо следущи: на флешку ключ,утилитку от каспера, (два ключика оттуда же). запускаем ключ restore_safe_boot/ отвечаем ДА/перезагружаем машинув порцессе загрузки жмем ф8/ выбираем безопасный режим/ запускаем утилиту от касперыча(на сайте хороший мануал)/ после в том же безлоапсном режиме к4урета. мне помогло.
НЕреклама Касперского, быть может кому-нибудь и поможет.
http://www.kaspersky.ru/support/viruses/solutions?qid=208636131
Бля….почему я не догадался найти эту стаью раншье. Уже запустил переустановку винды…Фак! это вирус мне вытрахал мозг вообще конкретно. Если бы я увидел создателя, сначала бы пожал ему руку, а потом бы уебал со всей дри ему в торец!
Вы мне объясните Скачать CUREIT ПРОВЕРИЛ ВЫЛЕЧИЛ СНОВА ЗАПУСТИЛ И СНОВО НАШЕЛ????????? ЧТО ДЕЛАТЬ????((((((((((((((((((((((((((((((((((((:(((
виндовс перестановил, думал всё чисто никаких вирусов, к никакой сети не подключен, но потом смотрю диспетчер задач и реестр опять заблокированы, скрытые системные файлы показывает 1 минуту и опять скрывает, опять на вкладке показывать скрытые системные файлы вставляешь галочку и снова через минуту скрывает… Что это за вирус и как можно лечиться, по-моему при блокирование реестра и диспетчера задач системные файлы вообще не показываются…..
на рабочем компе вирус sector 12 лечил так достал винт подключил к другому компу и запустил Dr.web
обнаружил и вылечил 1500 вирусов. теперь работает
Чуваки кому нужна помощь с лечением Sality могу помочь! У меня эта хрень побывала и я её вылечил! Кому нужно могу кинуть вам на мыло или на асю файл который разблокирует безопасный режим и всё остальное и проги которые мне помогли! Мой номер аси 436215165! Пишите постараюсь помочь!
Есть куча способов избавится от ентой гадости,,,самый надежный — это леченее в безопасном режиме…
есть программка Sality_off.exe, разработка касперского ,где найти точно незнаю ,,,в поисковике поройтесь,,,или с мобилы,другого компа зайдите на сайт касперыча, там раздел бесплатные утили,,,
а вообще ставте себе Vista, там даже антивирь не нужен,,,в висте я сэйлити я так запускал ,,,так он в ней не активен,,,просто живет в своем одном файле и не прыгает по компу,,,и не вредит,,тоже и с другими вирусами,,,
Заразились 2-е тачки, НоД хуякнул дописты файлов! долго мозк ипать не стал! переустанавливаю винду =)
А у меня антивируса нет в принципе. просто надо соблюдать некоторые несложные правила бугага.
и ставить висту уже.
У меня тоже была та же проблема, но я его преодолел! Слушайте все сюда, если хотите оставить свои данные целыми и невредимыми, нужно сделать откат системы.
Пуск
программы
стандартные
служебные
Востановление системы «указываете дату и нажимаете востановить»
Сразу после востановления ставите Kaspersky 6 или 7 (лицензионную и с обновлением)
Проверяете на вирусы и все!!!
Установочные EXE файлы кирдык полюбому.
Подцепил Win32.Sector.16, все симптомы совпадают с описанными. Проблема только в том что при лечении CureIt с флешки убил файловую систему (не очень в этом разбираюсь, но при загрузке не определяется файловая система диска и наблюдается синий экран с ошибкой 0x00000024). Так, что скопирую необходимую информацию на другой диск, а этот форматировать.
блин,никак не могу восстановить реестр?через restore_safe_boot.reg не получается,запрещено.диспетчер тоже отрублен!
блин,никак не могу восстановить реестр?через restore_safe_boot.reg не получается,запрещено.диспетчер тоже отрублен!
У меня блин взрыв мозга изза этой хрени,три дня епусь уже!CureIt при повторной проверке обнаруживает теже самый зараженные exe’шники,с реестром вабще ничего сделать немогу,полностью сносил винду и формачил жестянку,но всеравно нихрена не помагает…хотя когда отфармачил и поставил винду все вроде норм было,как только ставлю антивирь(пробовал каспера и нод)эта херь опять появляется!!!помогите плизз ктонибудь,че делать!?!?
толковая зараза как-будто комп включил дурака форматнул и все прошло единственно некоторые проги пришлось заново скачивать
Недавно тож подцепил эту хрень с флешки соседа. Долго мучался, а потом просто надоело всё, взял и снес винду к черту и полностью отформатировал диск С. Самое главное после переустановки не запускать никакие файлы с расширением ехе с компа иначе всё начнётся заново. Запустил dr.web curelt с флешки полностью просканировал все диски оказалось заражено около 2000 файлов в основном с расширением ехе и в основном в папке system volume, но не только. Они кстати могут оставаться в папке system volume так что лучше повторно просканировать именно эти папки.
Эту заразу лечить бесполезно. Портит ОСь безвозвратно. Вчера еле справился с этой шнягой. Пытался установить Авиру с флешки что бы пофиксить все эти вирусы, дык этот вирусняк пофиксил все мои ЕХЕшники на флешке включая авиру. Пришлось к клиентам во второй раз идти с новой авирой и ехешниками. Прально говорили предыдущие господа. Не трогайте ЕХЕшники. Если нет возможность форматировать диск С то ставьте винду лучше в отдельную папку (Пример WinXP), а не по умолчанию Windows, а то получите новенькую венду уже пропатченную «Win32/Sality.NAU»nod32 или Win32/Sality.Y как сказала AviraAntivir. Я сразу же поставил Aviru, что сэекономило мне время, поскольку когда я начал ставить дрова вирус моментально стал себя проявлять. Боюсь если бы я стал ставить сепрва дрова а потом антивирь, то пришлось бы грохать винду в третий раз=)) Так что эта зараза довольно не приятно и никуя не лечится, only delete =((((
Cогласен с ним у меня WIN32.Sality.NAB за неделю мук, смог только отформатировать, что было совсем не просто. WIN32.Sality.NAB это вообще сумащедшая модификация. Если кому надо помощ пишите в скайп shevtsov.dmitry