8 июля 2008
Борьба с вирусом VIRUS.WIN32.Sality.z (win32.sector.5, win32.sector.7)
Последние несколько месяцев в Рунете свирепствует вирус, который Kaspersky определяет как VIRUS.WIN32.Sality.z, а Dr. Web — win32.sector.5, win32.sector.7 (подробное описание). Даже у опытных пользователей его уничтожение вызывает трудности. Я же приведу простой и эффективный способ. 🙂
Симптомы
- Большинство программ перестают работать и «вылетают» с критической ошибкой
- Загрузка в безопасном режиме невозможна — вирус портит ветки реестра
- Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
- Значительно снижается производительность компьютера
Лечение
- Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN — любые сетевые подключения. Просто выдергиваем кабель.
- Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой — дабы вирус не мог испортить программу. Если испортит — вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
- Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
- Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен «Безопасный режим».
- Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
- Перезагружаемся в обычном режиме.
- Вновь проводим полную проверку.
- Устанавливаем нормальный антивирус со свежими базами. 🙂
Вылечил две машины на работе при помощи записанной на CD-RW утилиты AVPTool и добил виря Sality-off
До сих пор лечил так (на разных машинах)
1. Загрузка с чистой системы (например, с CD Windows XPE)
2.Запускаю с этого — же CD предварительно скопированный туда Dr.Web или cureit от Данилова
3. В настройках отключаю поиск в архивах и файлах справки.
4. Пролечиваю все диски
5. Перезагружаюсь в обычном режиме, и запускаю Kaspersky Virus Removal Tool.
6. Настраиваю его на максимальный анализ и проверку всех файлов на всех дисках.
7 Наслаждаюсь.
Но последнее время появились новые разновидности паразита, или это зависит от винды,
но вирус возникаете вновь. Слышал, что часть или полностью код вируса хранится в реестре.
Кто может сообщить подробнее? Мои наблюдения:
Вирус никогда не ходит один. Он заражает другие вирусы и трояны. При попятке вылечить — убивает антивирус.
NOD32 любой версии бесполезен, он не предотвращает заражение и при лечении убивает все заражённые файлы.
Каспер очень тяжёлый, поэтому я его не ставлю. Но одноразовая утилита лечит хорошо.
DrWeb444 не всегда всё пролечивает, но один раз отбил Sality (sector) на моих глазах.
А ветка с реестром для Windows 2003 подходит или только для XP
Особенно прикольно: «… устанавливаем НОРМАЛЬНЫЙ антивирус… :-D»
У Касперского, в стате посвещённой Sality (там где описана работа с Sality-off) ест REG файлы хля 2000 XP 2003 и Vista.
короче, народ вроде я его полечил. короче так.
1) с чистого компа скачал sality_off, записал на диск проверил, что смог вылечил.
2) На чистом компе взял каспера, запаковал в архив, и на заражённом компе поставил.
3) Сделал последние обновления, проверил нашёл кучу вирусов. После этого перезагрузился и антивирус всё вылечил.
Вроде всё работает нормально. на касперский, дрвеб и вируслист заходит. Реестр редактируется, диспетчер вызывается
Касперский 8.0.0.0.506, базы вчерашние.
Инфа как удалить вирус http://www.oblrada.ucoz.ru/news/2009-02-04-7
Удаление вируса. http://toktiksblog.blogspot.com/2009/04/win32sality.html
А у менЯ антивирус AVG и он сразу обнаружил эту тварь и удаление папки спасло от последствий, так как вылечить он не смог. Главное вовремЯ обнаружить и удалить папку!
тест
Недавно на выходных, у меня был заказ, на лечение одного компьютера.
Владелец жаловался, на «тугую» работу системы, заблокированный реестр, диспетчер задач, «убитый» антивирус, невозможность зайти на сайты антивирусных компаний, невозможность запустить антивирус (сразу вылетает) невозможность запуска каких либо других антивирусных утилит (вылетают тоже) невозможность загрузиться в безопасный режим.
На лицо работа вируса, но какого?? 🙂 Для начала действовал для определения вируса простым дедовским способом. Записал на болванку утилиту Dr.Web Cureit! и пару минут подождал, что б он просканил немного, что то нарыл. И что вы думаете? да, нарыл SEKTOR 17. Ну думаю, веселая ночь обеспечена 🙂 хотя еще поглядим 🙂 …
Ну это семейство вирусов я знаю, гадость еще та! 🙂 Поэтому приготовил для борьбы, следуйщие инструменты. 1) Live CD 2) Dr.Web Cureit! (Игоря Данилова) 3)AvpTool (от Касперски) 4)спец. утилиту от Ксперски «Sality_Off» на той же станице второй архив с ветками реестра для восстановления безопасного режима Sality_RegKeys.zip. 5) утилиту AVZ 4.3 Олега Зайцева. 6) утилиту ATF Cleaner. Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную Вами папку, например на рабочем столе, после этого записываем ее на Live CD. Записываем все скачанные со списка программы на болванку с Live CD. Устанавливать и писать утилиты, на не зараженной машине!!!!!!!!!!!!!!!!!!!
Записали все это на Live CD? тогда вперед…
Ниже я приведу список действий, действуйте строго по списку.
1) Загружаемся в обычный режим, и отключаем восстановление системы.
2) Загружаемся с нашего Live CD (курим 🙂 )
3) Заходим в любую папку, кликаем сервис> свойства папки > вкладка вид, ставим галку на «Отображать содержимое системных папок», убираем галку на «Скрывать защищенные системные файлы», ставим галку на «Показывать скрытые файлы и папки».
4) Заходим в каждый локальный диск (жесткий) и ищем папку в корне, с названием System Volume Information, заходим в нее и удаляем все ее содержимое. Там же, на дисках, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое.
5) Запускаем (с диска) утилиту Dr.Web Cureit! жмем настройки >изменить настройки>типы файлов> ставим сканировать все файлы, файлы в архивах. Вкладка действия> Инфицированные> Лечить, Неизлечимые>удалить. На той же вкладке снимаем галочку запроса подтверждения. Жмем кнопку ОК и ставим галку на полную проверку машины, жмем пуск.
6) Пьем чай, курим 🙂 спим 🙂
7) После сканирования системы Dr.Web Cureit! смотрим на проделанную им работу, сколько гадости нашел и пролечил 🙂
Закрываем программу.
8) Распаковываем на рабочий стол утилиту Sality_Off.exe запускаем двойным кликом, ждем, не трогаем и даем программе доработать 🙂 После того как программа доработает закрываем ее.
9) Копируем папку с AvpTool с диска, на рабочий стол. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол программу, изменяем настройки. Максимальный эвристический анализ «детальный» жмем ОК, Сканировать все файлы, жмем ОК в разделе «действие» ставим галку «запросить по окончании проверки» жмем ОК. Для сканирования ставим галки, на всех локальных (жестких) дисках, и жмем кнопку «поиск вирусов».
10) После сканирования Касперским, все найденное, фигачим, т. е. удаляем 🙂 ничего не оставляем 🙂
11) Загружаемся в обычный режим. Болванку с Live CD не вытаскиваем, она нам нужна еще для работы, вернее не она, а утилиты записанные в ее корень 🙂
12) Заходим на болванку с Live CD ищем утилиту Sality_Off, кликаем по ней правой клавишей на мышке, и отправляем ярлык на рабочий чтол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, кликаем по нему правой клавишей меняем немного его имя, пишем Sality_Off.exe-m кидаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей и нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.
13) Перезагружаем компьютер, загружаемся в обычном режиме. При загрузке, начинает сразу работать программа Sality_Off и начинает фиксить, чистить, систему (возможно еще что то осталось)
дожидаемся окончания работы программы, до слов «Для продолжения нажмите любую клавишу…» После этого закрываем программу.
14) Далее открываем (с болванки) утилиту AVZ 4.3 , после открытия жмем Файл>восстоновление системы и ставим галки на пунктах 8, 10, 11, 13, 17 и жмем выполнить скрипт.
15) Далее открываем наш диск, ищем скачаный архивчик Sality_RegKeys.zip на сайте Касперского, ищем в названиях содержимого архива, Вашу версию операционной системы, в моем случае это был файл SafeBootWinXP.reg, кликаем на него два раза вносим данные в реестр, и кликаем в том же архиве на файл с названием Disable autorun.reg вносим данные в реестр.
16) Перезагружаем Windows, (ярлык Sality_Off в автозапуске пока не трогаем!!) После запуска Windows, начинает работать программа Sality_Off, пускай еще раз пройдется, на верочку…
17) После окончания работы утилиты, убираем ее ярлык с Автозагрузки.
18) Запускаем утилиту ATF Cleaner, ставим везде галочки и жмем очистить, ничего не жалеем!!.
Все 98% работы сделано, все разблокировано, все вылечено, но еще не все…
Дело в том что после всего лечения
1) Очень многие системные файлы повреждены, даже после лечения, не факт что система будет корректно работать.
2) От вируса в системе остался висеть RootKit (у меня по крайней мере) и ничего с этим я поделать не смог, он собака в Ring 0 запускается и висит. 3) Что б проверить нет ли у Вас такого «добра» запустите утилиту AVZ вкладка > сервис>модули пространства ядра. И висел у меня там такой процессик, с названием ________.SYS или просто .SYS без названия и цифровых подписей Microsoft. Попытался снять с него дамп, система вылетает с синим экраном. AVZ его не берет ( у меня по крайней мере не получилось ) Касперский тоже, Dr.Web c таким же успехом. Я ничего не нашол лучше как пункт-4
4) Просто обновляем Windows, с загрузочного диска. Подойдет в принципе любой загрузочный установочный дистрибутив Windows (соответственно та версия которая поставлена у Вас, если XP SP- 2 то обновляем с диска с XP SP- 2 . Выставляем в Bios First boot Devise CD-Rom жмем F10, Yes. И начинается загрузка Windows. Далее выбираете тот диск куда нужно восстоновить винду, (выбираете тот диск куда был установлен виндовс ранее) жмем ENTER, далее видим страничку выбора форматирования с выбором файловой системы. Выбираем установку без форматирования!!!!! (оставить файловую систему без форматирования (изминений) жмете ENTER на этой строчке, и все установка пошла, далее установку проводите как всегда. Минус в том, что слетят установленые программы. Но это лучше чем иформация не так ли? 🙂
После обновления Windows загружаемся из под Live CD и удаляем старую папку с Windows ( только не перепутайте кутузовы! старую папку Windows с новой!!! У меня новая папка Windows была под названием Windows.0 ну а старая соответственно как обычно)
После этого всего мы имеем чистую систему 🙂 без заразы 🙂 Если пропустить эти все действия и просто переустановить систему, это ничего не даст 🙂 он снова появится 🙂 поэтому соблюдайте то что я изложил выше и все будет ОК
Если у Вас есть более действенный способ, милости прошу изложить его в моем блоге, или кинте ссылку 🙂
FagotAdmin , многа букав)))
чем столько гемороиться, проще скопировать тем же лайв сд нужные документы и убить все нафиг.
я лечил просто есть такой антивирь Sophos, у него есть тоже антивирус, который записывается на болванку, но отличительная его черта в том, тчо он не удаляет зараженные файлы, а лечит их, правда 40% потом нерабочие, но их можно восстановить, благо знаем что и какой файл не работает, а не роемся в логах в поисках каждого экзешника.
так вот заболванил его, и прямо в обычном режиме запустил, он почистил, ставишь этот же sophos, прямо на живую, он апдейтится и уже в онлайн режиме вычищает все дальше.
з.ы. теперь у меня другая проблема)
по ходу этот sality модифицировали, нашел на одном компе его, не берет ничего, диспетчер заблокирован, регэдит тоже, безопасный режим тоже. касперского съедает сразу при установке как и все остальное в прочем тоже…)) вот сижу ищу, борюсь)
В отличие от всяких Sophos, Dr.Web и Kaspersky Virus Removal Tool (не знаю как AVP) вылечивают 100% и все файлы остаются 100% рабочими после лечения, кроме файлов антивирусов, которые эта гадость портит преднамеренно. Беда в другом. Вирус иногда прячется в реестре и после перезагрузки возникает снова. Другая беда в том, что не спасают многие антивирусы (например NOD32). Он обнаруживает вирус, и при попытке его удалить, удаляется сам. А на машине опять всё заражено. Поэтому нужно лечить с чистой системы, идеально с загрузочного CD. Можно скачать Dr.Web LiveCD с http://www.freedrweb.com/livecd/ но он очень большой, и скачивать его каждый раз когда надо обновить антивирусные базы, очень накладно. Интереснее создать диск с Windows XPE самому (подробнее на http://www.oszone.net/3200/) Установить туда как плагин несколько антивирусников, а обновлять антивирусные базы можно с дискеты, написав для этого командный файл, и поместив его в меню Windows XPE. А вот с реестром будет сложнее. Разблокировать его будет можно с помощью приведённых выше рекомендаций, и загрузившись в защищённом режиме.
Привет всем!
Одним предложением: как не пустить этот вирус в комп? (Как предохраняться?):)
Используйте «Зоркий глаз». Он убережот от заражения с флешки. Ссылка на этой странице.
Смотрите также http://forum.ixbt.com/topic.cgi?id=7:33417-2
если через флешки идет, то надо отключить автозапуск. есть небольшой кусок реестра, его нужно импортировать. рег файл высылал касперски.
Сенкс за инфу, почитал с интересом
А мне от этой заразы помог только Dr.Web Cureit! (вылечил и сохранил мне 80% .exe_шников + убил весь вирусняк) , а потом прога RedCross (респект автору) востановила доступ к реестру. Теперь всё пашет на ура!!!
Самое паршивое в этом вирусе это то, что он гад грузит посторонними процессами систему… одновременно отключив доступ к taskmgr.exe… это создает неудобства. по началу боролся с этим кое как включав диспетчер с помощью gpedit.msc и вырубая грузящие процессы, но потом и gpedit.msc перестал фурычить >.< и пришлось лечить)
вот как я действовал после прочтения фсего выше сказанного:
Проверил Dr.Web Cureit! в обычном режиме (безопасный не запускался вообще).. даж инет не отключал (ну ток в конце самом.. на фсякий случай) правда фсе это затянулось примерно на 10 часоф..
Затем запустил Sality_Off.exe. Дождался окончания проверки.
Перезагрузился.
Запустил файл реестра из Sality_RegKeys.zip (сначала Disable autorun, а патом который под вашу ОС) и вуаля! починилось…
а патом нищадно форматнул фсе сваи флешки)
Кстати. заметил, что Dr.Web Cureit! не фсе зараженные ехе-шники находит… а вот Sality_Off.exe нашел те, которые не заметил др.веб.
желаю удачи в борьбе с этой заразой!
Интересно, как мог запустится курилка (cureit) c машины заражённой Sector (selety) не в защищённом режиме? Наверно это был другой вирус. При заражении Sector (selety) нужно загружаться с чистой системы, идеально с Windows XPE (BardPE) с защищённого от записи носителя, и потом запускать чистую курилку. На заражённой Sector (selety) машине ни один антивирус не запустится!
Вообще, надо сказать вирь этот написан довольно грамотно.. Я реально восхитился… Снес все, что его могло убить и пошел дальше систему валить) Только что избавился от этого чуда программерской мысли. Подцепил винт к чистой машине и почистил нодом со свежими базами, вроде работает)) Кстати, может ли виндозовский антивирь, запущенный из-под вайна нормально работать? Сам как-то ни разу не пробовал. Если да, то очевиден еще один способ))
от Селети избавился простым способом.Может и вам поможет…Восстановил работу Безопасного режима при помощи SafeBootKeyRepair,вошел в безопасный режим с включенными сетевыми драйверами,скачал Cureit,запустил из безопасного режима,вошел в обычный режим,переустановил антивирус,почистил реестр HKEY_CURRENT_USER\Softwere\…удалив оттуда ветку 914,либо 1914…Это само тело вируса и его насройки.Снова просканировал систему антивирусом Nod32 Smart Security.Было обнаружено 4 зараженных объекта(вместо 700)…Снова просканировал.Все в порядке…P.S. пользовался RegistRar Registry Manager для правки реестра.Можно также попробовать следующее для восстановления работы regedit: echo y | reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools Ввод
echo y | reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr Ввод(это все в командной строке)…Пишите на мэйл,если что.Случайно попал на этот сайт
ах да…mygreencat@inbox.ru ))
Very nice blog and articles.
Thank you for this article!
извините, но у меня такой вопрос. Я готовлю реферат по информатике, про вирусы. И мне надо что то наглядно показать. Я хочк сделать шуточный вирус на программе КУЗЯ 1,5, и запустить его на комп. вот в чем вопрос. Как его можно будет обезвредить. За раннее спасибо.
panamatalk.ru
спс вам огромное помагло
просканировался с др.въеб лайв сиди — чисто
Вообще я люблю написать какую-нибудь едкую критику, но тут ни к чему не придраться! 🙂
Эх народ! Разработчик будь он не ладен постоянно модифицирует вирус, посмотрите : win32.sector.5, win32.sector.7 win32.sector.12, win32.sector.17 и тд. Гадость заражает не только выше перечисленное но и нарушает структуру файловой системы логических дисков я сталкивался после ( sector.17) Переустановка
Винды с форматированием С: если он не единственный на HDD не помогает вирус прописывается в Загрузочных секторах других логических дисков . Поможет лечение любым LIVE CD c DR WEB или HOD 32 со свежими базами и только потом форматированием диска С: и установкой OCи или 100% форматированием всех логических разделов HDD ( кому нечего терять).
Доброго времени суток, дамы и господа!
На днях мне доставили в ремонт 2 ПК. Зараженные (по классификации Dr.Web) Win32.Sector.19. Если бороться с ним по схеме, описанной здесь — бесполезно!!!!!!
Симптомы заражения идентичны для данного семейства: блокировка диспетчера, редактора реестра, Safe Mode.Появляются скрытые файлы с расширением *.inf, *.pif. Интересен и тот факт, что он уже идет в симбиозе с Трояном. Подменяет все *.exe. Даже Avast выдавал сообщение: «Приложение avast.exe попыталось отключить приложение avast.exe»!!!!!
Пытка загрузится с Life CD Dr.Web’а пресекается вирусом на корню. Снял жесткий диск, прогнал на своем ПК. Нашел около 1500 пораженных файлов. Неизлечимые удалил. После чего установил винт на место, загрузился. Без положительного результата!!!! Прогнал систему бесплатной утилитой Dr.Web. Нашел еще около 300 файлов!!! В основном это были A0….
Так вот к чему я всЁ это рассказываю…Мне помогла переустановка ОС!!!