8 июля 2008
Борьба с вирусом VIRUS.WIN32.Sality.z (win32.sector.5, win32.sector.7)
Последние несколько месяцев в Рунете свирепствует вирус, который Kaspersky определяет как VIRUS.WIN32.Sality.z, а Dr. Web — win32.sector.5, win32.sector.7 (подробное описание). Даже у опытных пользователей его уничтожение вызывает трудности. Я же приведу простой и эффективный способ. 🙂
Симптомы
- Большинство программ перестают работать и «вылетают» с критической ошибкой
- Загрузка в безопасном режиме невозможна — вирус портит ветки реестра
- Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
- Значительно снижается производительность компьютера
Лечение
- Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN — любые сетевые подключения. Просто выдергиваем кабель.
- Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой — дабы вирус не мог испортить программу. Если испортит — вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
- Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
- Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен «Безопасный режим».
- Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
- Перезагружаемся в обычном режиме.
- Вновь проводим полную проверку.
- Устанавливаем нормальный антивирус со свежими базами. 🙂
Столкнулся с несколькими модификациями этой штуки.
1) просто заражала экзешники (возможно не был активирован основной потенциал) НОД32 определил как просто Sality и не смог вылечить.
Легко лечится Dr.Web.CureIT. Для предотвращения повторного заражения закрыл все ненужные шары с полным доступом. Где полный доступ к папке обязателен по возможности ограничил доступ к *.exe только чтением и исполнением.
2)модификация которая блокирует диспетчер задач, безопасный режим и с частотой примерно 5 секунд закрывает антивирусные утилиты, также заражает флешки.НОД32 определил как Sality.NAU и сам излечил.
Лечится трудно. Для обезвреживания была использована флешка с защитой от записи, на которую были записаны AVZ4 и Dr.Web.CureIT.Основная трудность — успеть за 5 секунд запустить AVZ4 и использовать несколько пунктов из Файл-Восстановление системы.В первую очередь разблокировать диспетчер задач и пройтись CureIT по дискам
Возможно подключение к чистой машине либо сканирование с чистой машины по сети было бы проще, но проблема решилась.После перезагрузки ещё раз проверил систему сначала CureIT потом NOD32, чтобы найти и добить остатки.
Профилактика: отключение автозапуска флешек, проверка антивирусом перед использование и меры указанные в пункте 1)
Блин, подцепил эту гадость, первый симптом-отключился диспетчер задач, начал виснуть комп… нод не лечит.. как думаете если форматнуть винт ПОЛНОСТЬЮ поможет?
Диспетчер можна включить (XPTweaker), а сайты не загружает потом что на ссылке находит имя антивируса и автоматически блокирует.Если бы на сайтах не кидали ссылки, а просто написали — СКАЧАТЬ то скачать было бы возможно (хотя толку мало — все равно не даст установить). У меня самого завелся, довольно неплохая работа — 5+ автору, но есть прорехи которые можно использовать для уничтожэния или лечения. Думаю, скоро, в новых базах антивирусов, будет что-то и насчет Sality. Так что либо разбирайтесь с вирусом сами, как показано вышэ, либо немного подождите…
Это бесплатная программа для борьбы
с компьютерным вирусом Virus.Win32.Sality.aa
, а также — защиты от проникновения через интернет
выполняемых файлов, для проверки целостности файлов
на дисках. WindowsXP только. Программа позволяет на
зараженном компьютере произвести очистстку от вируса.
Зараженные файлы складируются в отдельную директорию,
а оригиналы — обезвреживаются.
Называется она RedCross, скачать можно тут: http://www.alexklm.ru/zip/RedCross.zip
Удачит всем, и здоровья Вашим машинам!
Антивирус Avast 4.8 Professional я им уже несколько компов вылечил
Подцепил win32.sector.12
Лечил так:
1. Переустановка винды с полным форматирование диска С
2. Не перегружать комп !!!
3. Отключение востановления системы на всех дисках.
4. Запуск с чистой флешки Dr.Web CureIt (ссылка в первом посте)
5. Удаление ВСЕХ инсталяшек (exe), игр, програм на дисках D,E…..
6. Установка винды с форматирование диска С
7. Повторная проверка Dr.Web CureIt (уже не было вирусов)
Мне помогло.
Спасибо всем за советы.
Мда, последний рецепт прикольный…) Есть ещё такая программка fdisk. Её под дос загружаете и сносите всю разметку на винте. Потом заново размечаете и форматируете. 120% гарантия никаких вирусов…
Спасибо тем, кто дал дельные советы)
У меня не одна машина уже вылечена. Преимущественно ходит по флешкам (уже с них, естественно, по сети). Винду перебивать НЕ НАДО, надо МИМО НЕЕ либо с LiveCD, либо с LiveUSB (ну масса их уже есть в интернете!!! пора завести себе на такие случаи!!! а флехи сейчас копейки стоят!!), лечимся последним Cureit-ом, далее, уже в вылеченной винде — если нет желания руками ковыряться — есть хорошая быстрая штука которая восстанавливает значения реестра VirusVaccine. Все, машинка чистая. Для профилактики идем Мой компьютер-управление-службы-определение оборудования оболочки — отрубаем. Ставим антивирь и обновляем его. УЧТИТЕ. Антивирус нормальный надо держать на компе, товарищи…. Нод идет с урезанными базами (чаще всего!!). Каспер-брр…. ваще молчу… Макаффи — непонятно что. AVZ хорош но им надо уметь и учиться пользоваться, а так будет мертвым грузом. А у веба (продукт которого и помогает в этой проблеме) лицензия не такая дорогая чтобы нельзя было ее купить 😉 Этот антивирь с купленным ключом и обновленными базами каку Sality на комп не пускает. В крайнем случае как вариант — avira.
Рецепт прикольный? Есть у Касперского на сайте утилитка, она лечить экзэшн-файлы
которые Sality заразил.
Я скачивал отсюда: http://support.kaspersky.ru/downloads/utils/sality_off.rar
Если вирус орудует, запускать с ключем -m, если без, — то лечит экзэшники.
Инструкцию лучше прочитать там у него на сайте.
Я проверял, работает, а насколько хорошо лечит, — не знаю, но с десяток файлов она вылечила.
А чтобы снова не попал вирус я пока использую свою (ссылка в пред. посте).
Кто бы ещё ссылочку дал на вирусную страницу, а то старая ссылка с Virus.Win32.Sality.aa
не работает, — видимо достали-таки их, месяца два на http://live-counter.net/ работал вирус,
раздавал всем кому надо.
Мне это надо чтобы проверять программу, убедиться как она мочит их, в сортире.
раскажите плиз как бороться с sality заранее спасибо
AVG 8 хорошо это говно лечит
А у меня ощущение, что этот вирус сами др-вебовцы и сделали.
(всё к этому сходится..)
На работе вирус win32.sector.12 и всети гуляет
Помагите избавится пожалуста!!!
Что делать если вирус убил Диспетчер задачь
подскажите как его заного в ключить!!! ПОЖАЛУЙСТА!!!!
Сегодня столкнулся с этой заразой, стали ставить машинки новые вместо старых и они одна за другой при подключении к сети стали ребутатся, не одна программа не запускается, антивир сам себя пожирает и покидает память в связи с ошибкой ядра антивиря (Каспер 6 предустановленный), нод 32 2.7 тот же пролет на Европой, в итоги развернули базу с обновлениями Нод 32 версия 3 (т.к. инет у нас отсутствует).
Лечили следующим образом
1) отрубаем от сети машинку
2) через выполнить -> msconfig ->режим загрузки ставим диагностика (так как у вас отсутствует возможность загрузится в безопасном режиме)
3) перезагружаемся валим убитый антивирь , за одно и в брандмауре мочим IPSEC правило исключения обычно их там штук 5-20.
4) ребутаемся через выполнить -> msconfig ->режим загрузки выборочно ставим галки на всем кроме автозагрузка, после этого переходим в закладку Службы снимаем галочки с служба сети IPSEC — это вирусняк к стати , ну и все что не нужно можно снять, иногда зависают службы антивиря мертвого их тоже лучше снять.
5) после этого перезагружаемся и спокойно ставим последний Нод32 с диска, настраиваем обновление и не перезагружаясь подрубаем шнурок с инетом или как в моем случае к сети и апаем базу
6) Сканим все несколько раз, в первую очередь оперативку, после чего можно и reboot и заного все проверить, на 10 машин 7 без проблем и потерь прошли лечение, оставшиеся 3 потребововалось повторить процедуру заного так как вирь съел нод и софт.
С уважением Евгений.
Лечил вчера 16 машин следующим образом(win32.sector был)
Устанавливаю NOD32 2.7. Гденить с 5-го раза вирус его пропускает и он устанавливаеца. Отменяю перезагрузку. Скидываю сразу же новые базы и затем перезагружаю. После перезагрузки нод канешнаж не грузится. Но работает сканер нода. Им то всё и вылечиваю. После этого удаляю поражённый нод и после перезагрузки снова его устанавливаю. Потом им же долечиваю систему. Затем AVZ восстанавливаю систему(диспетчер задач, реестр, эксплорер, хост и т.д)
Включить диспетчер задач и редактор реестра при этом вирусе можно простой прогой — XPTweaker.exe
как только снимаем галочки с опций — запретить вызов диспетчера задач и запретить редактирование реестра жмем применить после этого можно включить дисп задач и реестр,но нельзя медлить так как через пару секунд он снова их отключает.я избавился от виря следующим способом — формат диска С (т.к у меня все проги и софт находятся на диске D)-не быстрое а полное форматирование. далее запускаем чистый виндовоз и не трогая диск D ставим с CD любой антивирь какой поимет эту заразу.в моем случае я скачал с нета касперыча 8.0.0.506 обновил его базы и полная проверка уже диска D.итог-135 файлов с данным типом вируса.конечно не все теперь запускается но в этом случае мы имеем кристально чистый виндовоз и пару сотен сломанных экзешников)))нужно не забывать если на чистой винде запустишь любой экзешник которые остались после переустановки винды,то вирь активируется.В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево подкаталогов сетевых ресурсов и заражает все PE-файлы с расширениями .OCX, .SCR и .EXE. Вирус записывает свой код в последнюю секцию файла и добавляет в стартовый адрес файла инструкцию «JumpVirus». Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы.
что делать если я немогу установить ни одну антивирусную программу?
cureit полюбому должен встать,сам сейчас лечу машикну
Файл SOI.EXE он же W32/Sality virus.Перестал запускаться диспечер и реестр.NOD32 начал грохать ехе-шники с пометкой W32/Sality virus. Reg Organizer нашел ключ Администратор914 или Ваша учека(с которой ВЫ входите в систему)914.Уничтожил.Загрузился с CD диска c системой(установленна на самом диске) и в скрытых файлах нашел и грохнул SOI.EXE приетом он был на всех дисках компа.Каспер его пропустил а НОД,cureit и avz4 нашли остатки. 80% ехе-шников повреждено безвозвратно.Или формат всех дисков компа.Он не только на С,а обнаружился на всех дисках и в ЕХЕ-шных файлах.И по адресу[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
создается параметр REG_DWORD DisableRegistryTools со значением 1).
А чтобы их (вирусы) нельзя было выкорчевать из системы, они и делают невозможным запуск Редактора реестра Windows.
Значение System удалил.И вроде все пока работает уже две недели без збоев.Пару раз проверял чисто.
от дятлы xD
по три раза переустанавливают винду, по десять, форматируют, снова запускают вирус, и никуя не понимают почему они дятлы =)))))
1. на компе ставится 2 винды: основная, запасная. зачастую при отсутствии антивируса, или невозможности обнаружении новой версии, нестабильность/левые процессы/лишняя инет активность/др. выявляет трояна/вируса/др. фигню, которую можно вообще грохнуть врукопашную =), либо загрузится в альтернативную винду/др. ось и пройтись антибактерицидным средством =).
2. live cd, периодически обновляемый, с антивирусом. позволяет работать, даже когда винт накроется медным тазом, а при правильном подходе — провести диагностику винта/др. оборудования =))))
3. вместо стандартного виндового «восстановления системы» юзается аналог (такой, который позволит при любом заражении файлов вернуться к запрашиваемой точке восстановления)… эх, 9 жизней 😉
что касается избавления от гумна, в которое уже встал, так лучший вариант — придти к другу, подрубить винт, запуститься с винта !друга! и пофиксить проблем =)
ps. запомните: лечить всегда сложней и с последствиями, чем предупредить и без последствий ;).
pps. за всю историю войны с вирусами, никогда не пользовался форматированием, ибо, не мазахист =)
удачи!
а, это, забыл главное…. =)
есть желание потрахаться? так идите на улицу, с человеками веселей 😉
Поддерживаю! Трахать лучше баб, чем комп! 😀
Восстановить безопасный режим этим ключом канеш можно, но вот тока вопрос — а не будет ли эта ветвь в реестре обновляться этим самым вирусом с периодичностью примерно в 3-5 секунд, как это происходит с диспетчером задач и самим, собственно, реестром??? Или же его нужно добавить из рекавери???
Выше описанный способ и комп полностью вылечен.
Live cd нужен с нодом т.к. каспер тупо не видит вирусняка(и не только етого).
А востановление системы с ЛЮБЫХ точек бесполезна еси грипп уже прописался.
COI.EXE удалось достать Regrun-ом.Насколько понял он стартует с реестра,но точно не уверен.
В принцепе после уничтожения в реестре ветви—-914 и значения HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
параметр REG_DWORD DisableRegistryTools NOD и REGRUN избавляю от следов,но вход надо делать под учеткой только Администратора,а не с правами Админа.
УДАЧИ.
Когда вирус лечится, это ещё только первая стадия. На второй и третьей стадиях уже ничего не поможет, только полный формат.
Comment by kpirat.
Согласен)))
У меня с начала на флешке то и дело появлялась эта дрянь в папке RECYCLER, каждый раз подключая её в USB, удалялась касперычем и реанимировалась из интеграции где то в винде снова и снова)))
Затем «откинул копыта» антивир KIS7, перестал лезть за обновами в инет, хотя по локалке лез и ещё как.
Затем мне всё это надоело и я снёс винду… кстати потом также обнаружил на флешке эту папку
после проверки опять же KIS7 и обновами минутной давности RECYCLER с вирусником, удалил её и всё)))
А началось это всё после обновления драйверов к материнской плате с офф сайта (скорее всего к USB).
Матка — M3A — H/HDMI асус.
Кстати это повторилось и второй раз. Вот тогда я и понял где собака зарыта и изложил вам…..ППЦ
Помог всего лишь откат дров (конрольная системная точка) и проскан всей системы, всё.
я вчера расправился с чем-то подобным — на имя вируса внимания не обратил, но все симптомы такие же как здесь описано, плюс немного новых. после всех мер, описанных в предыдущих постах ни nod3 ни kaspersky2009 не хотели устанавливаться. лечится так: пытаемся поставить kaspersky (он просто вылетает и все) идем в панель управления/администрирование/просмотр событий/приложение и смотрим инфо о последней ошибке — там указано правило, в соответствии с которым антивир не смог установиться, копируем имя правила (куча буковок/циферок), идем в редактор реестра, поиск ctrl+f и вводим скопированное имя. по нахождении удаляем эту ветку, а также и все, что рядом — там запреты на установку других антивирусов.
Принесли мне комп на чистку от вирей… а там оказалась эта вот хрень… обидно то что эта поганка заразила мне все exeшники… даже те которые глубоко по дереву каталогов… и самое смешное что я даже не гуля по каталогам… а лишь грузнул Cureit из корневого флешки… Мне не по вкусу такое самоуправление… травить таких надо… а писателю такого зла по самую самописсанку ответку вставить… а если по делу то Cureit это самы актуальный дохтор!!!
Я установил Avast и назначил проверку после запуска винды. Правда, перед этим сделал формат с: и переустановил окошка. ВИРУС внедряется на другие диски, кроме С !!!
Клиент подхватил этот самый Sality уже давно.
И проявляется вирус практически так же, как здесь описано, но есть весьма существенные отличия:
а) Любые попытки редактирования реестра пресекаются вирусом с ошибкой:» Изменение реестра запрещено администратором» (вход выполнен под админским аккаунтом),
б)в безопасный режим не пускает, при попытке загрузки вылетает синий экран BSOD.
в) Попытка запустить Cureit с флешки привела к автоматической перезагрузке, когда Cureit был скопирован на диск компа, архив программы был тут же поврежден и не запускался.
г) При запуске Sality-off от Касперского с ключем -m, как рекомендуется, открывается окошко архиватора и на этом все заканчивается.
д) При попытке запуска с помощью msconfig в режиме «диагностического запуска» система вылетает в перезагрузку, после которой показывается ошибка: «редактирование рестра запрещено администратором»
е) Regedit не запускается.
Форматировать нельзя, на диске вся бухгалтерия двух немаленьких предприятий. Вынуть диск, чтобы просканировать на другом компе, нельзя, комп на гарантии.