8 июля 2008
Борьба с вирусом VIRUS.WIN32.Sality.z (win32.sector.5, win32.sector.7)
Последние несколько месяцев в Рунете свирепствует вирус, который Kaspersky определяет как VIRUS.WIN32.Sality.z, а Dr. Web — win32.sector.5, win32.sector.7 (подробное описание). Даже у опытных пользователей его уничтожение вызывает трудности. Я же приведу простой и эффективный способ. 🙂
Симптомы
- Большинство программ перестают работать и «вылетают» с критической ошибкой
- Загрузка в безопасном режиме невозможна — вирус портит ветки реестра
- Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
- Значительно снижается производительность компьютера
Лечение
- Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN — любые сетевые подключения. Просто выдергиваем кабель.
- Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой — дабы вирус не мог испортить программу. Если испортит — вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
- Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
- Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен «Безопасный режим».
- Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
- Перезагружаемся в обычном режиме.
- Вновь проводим полную проверку.
- Устанавливаем нормальный антивирус со свежими базами. 🙂
Здравствуйте!!! Не могу не поделиться своими впечатлениями о данном вирусе (Sector.17 мне попался ))) )… Лечение его действительно затруднительно. честно скажу не помогло редактирование реестра(вирус возвращает значения ключей обратно)… может что я проглядел, но все же… Каспер естественно не запускался(кстати он то вначале заметил на флехе вирус (которую друг принёс, чтоб вылечить), потом на компе ~15 копий: «вылечил», потребовал перезагрузку и не запустился после неё)… в безопасный режим также не смог зайти… А из под винды curiet хоть и нашёл ~120 копий написал что вылечил и сами догадываетесь после перезапуска компа они опять там были (я всё это говорю чтоб вы времени не тратили на это 🙂 )… Интересный способ написал кто-то намного выше, я им и воспользовался: ЕДИНСТВЕННОЕ ПРИЙДЁТСЯ ЖЕРТВОВАТЬ МНОГИМ!!! А именно «.exe» файлами. Я удалил все программы(установочные), игры и т.п., вообщем все экзешники и всё что к ним относиться(искал их даже поиском в тотале)!!! Оставил музыку, видео и фото. Потом из под DOS форматнул диск С(сначала Викторией, потом при установке винды произвел ПОЛНОЕ форматирование, и ВАМ советую… На крайний случай хотя бы последнее сделать, но не «БЫСТРОЕ»!!!)… Дальше установил Винду и сразу же в безопасный режим проверять Curiet-ом(его советую всегда держать в архиве, да и качать с интернета тоже не curiet.exe или launch.exe файлы, например данный вирус не дает их скачивать, а в архиве!!!)… Если честно Curiet ничего не нашел, ни Каспер потом да и Sality off тоже!!! Другу же флешку вылечил так: Каспер был запущен, вставил флеху, начел проверку НЕТ ВИРУСОВ(даже удивило), но потом не выключая Каспера(из трея) запустил Curiet (если запускать наоборот будет «синий экран смерти»). Curiet (ВАЖНО: Перед проверкой флешки в настройках установить «Удалять» во всех графах) зразу же нашел вирус и удалил(каспер как спал так и спит ГЫ-ГЫ)… Вот и всё… весь мой «мануал» 😉 … Если что пишите: UnixDron@mail.ru (как программист мож чем еще помогу)… УДАЧИ!!!
я победил это переустановкой винды и сразу кидал нод с новыми базами. ставлю на проверку и дожидаюсь конца. только потом устанавливал драйвера.
Уважаемые господа мазохисты, я понимаю, что лучшее средство от перхоти это гильотина, но не хвастайтесь что вы программист. Лечение сносом винды удел чайников. И ещё повторюсь наш «друг» никогда не ходит один. Он заражает ВИРУСЫ, и на них как на коне въезжает в ваш компьютер. Это даёт вирусу множество способов заражения.
у нас сеть была заражена так пришлось все 23 винта форматить от и до, тк при лечении (при помощи каспера с ноута) все конечно почистилось, но вот ~75% exe-шников были удалены по ходу проверки, тоесть винда не могла работать нормально (полетели taskmgr, regedit и пр.) потом я будучи сисадмином банально поотрубал все USB и инфа с флешек сбрасывалась исключительно через тот же ноут после проверки каспером. P.S. на одном компе было найдено больше 200 Win32.Sality-gen
Впервые вирус довел до состояния паники (думаю как и многих из вас).
Излагаю то, что РЕАЛЬНО помогло мне.
Скачал утилитку http://support.kaspersky.ru/downloads/utils/sality_off.rar. Запускаем ее с ключом -m. Утилита следит за памятью компьютера и не дает перехватывать и заражать вирусу запускаемые exe. Даже если запустить зараженный exe, утилита его полечит и запусти здоровым. Это клетка для Sality. Вирус не убит, но и не может заражать другие exe. Запуск утилиты без параметров проверяет все диски на комьютере и лечит файлы.
Затем скачал AVZ http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip и добился чтобы не было красных записей при сканировании.
Восстановление Safe mode, Диспетчера и реестра — дело последнее.
Уже третий день работаю с этими двумя загруженными программами, новых утечек не обнаружено.
http://helplamer.ru/?p=244
«Вы не могли бы посмотреть компьютер? Там, кажется, вирус…». Отчего же не посмотреть, тем более что это моя работа и я даже знаю какой там вирус – очень неприятный Win32.Sector.17.
Странно, что других нет, а только модификации этого. Зловредность последнего заключается в том, что, попав в систему, он отключает Безопасный режим, Диспетчер задач, Редактор реестра, заражает все .scr и .exe-файлы на компьютере ( многие программы после этого работают некорректно или вовсе не запускаются) , не дает запуститься антивирусу. Известен он под разными именами, например: PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded.Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12.
При наличии подключения к Интернету блокирует доступ к сайтам, где содержится название:
“kaspersky”, ”eset.com” , “f-secure”, ”mcafee” , “symantec”, “etrust.com”, “trendmicro”, ”sophos”, “virustotal” , “agnitum”, “pandasoftware” , “bitdefender”, “spywareguide”, “windowsecurity”, “virusscan”, “ewido”, “spywareinfo”, ”onlinescan”, ”drweb”, ”cureit”.
То есть он не дает возможности обновить антивирус и не дает себя уничтожить.
Кроме того, удаляет файлы *.vdb, *.avc, drw*.key.
Завершает приложения, окна которых содержат подстроки “dr.web” и “cureit”.
Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.
Значит, остается одно – лечить.
Доктор Веб отлично распознает этот вирус во всех его инкарнациях. Правда, мой эксперимент оказался неудачным, потому что в самый последний момент компьютер намертво завис, повторять загрузку не стал, но в этом случае скорее всего виновата старая CD-RW болванка. Так что Dr.Web live-CD советую использовать.
В моей ситуации был удален установленный Аваст Антивирус и установлена триальная версия Dr.Web 5.
Этот антивирус хорош тем, что уже при инсталляции защищен и может устанавливаться и работать на уже зараженной системе.
Кстати, Касперскому, несмотря на все почтение, это не удалось. Потом компьютер был полностью просканирован и вирус удален. Остается исправить последствия действия паразита.
В этом прекрасно поможет утилита rrtri.exe
С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System / DisableTaskMgr
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001
Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER\Software\914
Остается добавить, что все это происходило на системе Windows XP, в школе, о которой я уже писал. Вирус принесли на флешке, может из дома, а может, как утверждают учителя, из Отдела Управления Образованием…
P.S. Несколько часов назад вновь пришлось столкнуться с данной проблемой на ноутбуке с Вистой. На сей раз был установлен Norton Antivirus 2009 – специальная версия от журнвла ” Chip”. Нортон отлично справился с проблемой, а при помощи утилиты rrtri.exe все функции системы были восстановлены. Опубликованный выше скриншот сделан на незараженной системе и указанных веток реестра там нет. Более наглядно показано здесь. Удачного вам избавления!
Скачать rrtri.exe — http://helplamer.ru/?page_id=120
Кому интересно избавился таким образом:
Скачал с са
Загрузка с любого диска типа Зверь и ФакЮБилл в windows PE miniCD Edition
После чего с флешки запустил програмку AVZ 4.0 с обновленными базами.
Пошаманил с восстановлением настроек Винды.
перегрузился установил Аваст и все просканил. все что аваст находил — удалить.
А я скачал ДокторВебЛайвСиДи и почистил им….он хорош….на Линуховой основе….
Но весит…
Не забывайте пред началом лечения отключить систему восстановления! После включите опять.
Не забывайте пред началом лечения выключить систему восстановления windows, после лечения включите опять.
Чтобы его убрать, удалите regedit.exe из папки Windows. Тогда он не сможет получить доступ к своему тельцу. После этого ставьте антивирус NOD32 или KAV. Все заработает и вылечится!
regedit.exe после удаления сразу восстанавливается )) Я в этом деле новичок, но прочитав ваши комменты решила попробовать. на днях забрала ноут из ремонта, там МАСТЕР добавил мне 3 програмки от себя лично, причем с вирусом, да еще и денег за них слупил. Сразу после ремонта на голый ноут ставлю Dr/Web и нахожу более 200 инфицированных файлов — win32/sektor17 . Мастер конечно уперся , он же все сделал правильно, подумаешь не работает диспетчер задач, у всех бывает. вобщем от виросов ноут избавил DrWeb. Пыталась восстановить реестр Пуск->Выполинть gpedit.msc Но оказалось что XP HOME групповая политика недоступна. Поняла что терять мне нечего и скачала AVZ. за 2 секунды он восстановил систему, вернее диспетчер задач и доступ к реестру. Вот такая волшебная програмка ))) Честно говоря не ожидала ))
Можно с этой тварью бороться и без антивируса (покрайней мере вырубить вырус можно вручную, и только для удаления его кодов потребуется, NOD 32 и т.д.) можно это сделать ещё на первый стадии заражения когда ещё можно запустить диспетчер задач, при проявлении симптомов этого вируса, нужно скачать с майкрософта, специальную утилиту, этакое расширение для диспетчера задачь, так же она идет в комплекте с Windows XP 2008 Sam Lab, в диспетчере появиться дополнительная вкладка задачи (на разных версиях по разному), в ней отображаются все активные процессы системы в данный момент, ищем этого ублюдка и ставим в параметрах блок на запуск этого файла, у каждаго вируса есть ядро (тело) вот его и надо диактивировать, чтобы гад не мог множиться. Затем нажно восстановить работоспособность Безопасного режима, для этого нужно в сети найти файл «restore_safe_boot.reg» перезагрузить компьютер, зайти в безопасный режим и установить антивирус (желательно доктор веб). сканировать систему, потом повторить, затем нужно проверить в диспетчере тот файл на который ставили блок, и если он еще существует, устанавливаем NOD 32 (должен нормально запуститьс (для подстраховки лучше сделать это с компакт дистка и изменить имя дестрибутива) снимаем блокировку данного файла и проверяем 3 раз систему, нод должен убить остатки вируса!!!
Единственный недостаток данной проверки, это то что NOD 32 при лечении повреждает много экзешников и они перестают работать, так что перед процедурой можно скачать нужные программы программы на флешку, и обезвредить вирусные коды на незараженном компьютере с установленным антивирусом NOD 32 и самым свежим обновлением баз вирусных сигнатур!
Вылечил уже много машин от этой заразы и не разу не пришлось винду переустанавливать. Достаточно AVZ cure it и касперского. Значит так запускаем для начала AVZ. Если не запускается переименовываем avz.exe в iexplore.exe. Нажимаем сверху AVZguard включить AVZguard. Потом Файл Мастер поиска и устранение проблем нажимаем пуск. Ставим галочки на найденные проблемы это наверняка диспетчер задач и безопасный режим и нажимаем исправить отмеченные проблемы . И спокойненько перегружаемся при активированной AVZguard вирус не может опять модифицировать реестр. Можем теперь загрузится в безопасном режиме и проверить комп куре итом. Если cure it не запускается его надо разархивировать винраром в какую нить папку и запускать экзэшник с иконкой компакт диска. Далее когда уже комп вылечен куре ит ничего не находит а касперский в нормальном режиме устанавливается но не запускается. Эта зараз что то прописывает в реестр причем не в раздел всем известный
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
а хрен знает куда. Поиск по реестру avp.exe так и не дал результатов. Так вот если сталкнулись с такой ситуацией можно попробовать сделать востановление системы на более ранний момент мне помогало несколько раз после этого касперский начинает запускатся. Собстно всё.
Прочитал почти все(=]) вот тутошние посты, и щитаю что я заразился этим вирусом самым странным образом.
В общем дело было так, сидел я на городском портале в дц, вдруг чел начинает орать, типо чуваки нашел проги чтобы самому делать вирусы.Я увлекаюсь программированием и мне стало интересно посмотреть, я попытался её скачать, аваст меня предупредил и разорвал соединение, он писал что это салити, но тогда я о нём ничего не знал=(Ксожалению…
Я сказал таму парню что в проге вирус, он мне сказал что это стандартный шаблон вируса, ну я скачал, там был vbscript, если кто шарит, и чтото вроде компилятора, ну я думал компилятор там с каким нибудь окном будет, а он сразу компилировал, ну короче запустил его, и компу сразу кердык, капздец и т.д. и т.п.
Я думаю эта прога объясняет почему так много версий, люди их прочто сами дорабатывают.
вот список файлов проги которые я скачивал, может пригодится, я думаю если скрипт разобрать этот то можно узнать принцип работы и способ удаления:
2009-09-13 13:51: D:\Generator\COMDLG32.oca downloaded from [LA]Andrew (), 35840 (35840), 203,49 КБ/s, 0:00:00
2009-09-13 13:51: D:\Generator\Default.vbs downloaded from [LA]Andrew (), 2748 (2748), 365 Б/s, 0:00:07
2009-09-13 13:51: D:\Generator\HyperlinkAx.oca downloaded from [LA]Andrew (), 22016 (22016), 228,72 КБ/s, 0:00:00
2009-09-13 13:51: D:\Generator\COMDLG32.OCX downloaded from [LA]Andrew (), 140096 (140096), 1,07 MБ/s, 0:00:00
2009-09-13 13:51: D:\Generator\HyperlinkAx.ocx downloaded from [LA]Andrew (), 98304 (98304), 1,19 MБ/s, 0:00:00
2009-09-13 13:51: D:\Generator\vbgenerator.exe downloaded from [LA]Andrew (), 1753088 (1753088), 404,35 КБ/s, 0:00:04
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\COMDLG32.oca downloaded from [LA]Andrew (), 35840 (35840), 187,17 КБ/s, 0:00:00
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\Default.vbs downloaded from [LA]Andrew (), 2748 (2748), 849 Б/s, 0:00:03
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\HyperlinkAx.oca downloaded from [LA]Andrew (), 22016 (22016), 346,77 КБ/s, 0:00:00
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\COMDLG32.OCX downloaded from [LA]Andrew (), 140096 (140096), 970,30 КБ/s, 0:00:00
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\HyperlinkAx.ocx downloaded from [LA]Andrew (), 98304 (98304), 1,19 MБ/s, 0:00:00
2009-09-13 13:57: D:\VBS_Virus_Generator\Generator\vbgenerator.exe downloaded from [LA]Andrew (), 1753088 (1753088), 688,93 КБ/s, 0:00:02
Все вышеописанные способы очень хороши. От себя хочу тоже добавить, потому как такого никто еще не предлагал. Можете сразу поменять атрибут этого раздела: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
а также:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] так как большинство вирусов и троев запускаются именно через автозапуск.
Тем кто в танке, на счет(атрибута) 🙂
В Windows (NT) атрибуты меняются через вкладку «Безопасность». По умолчанию ее не видно. Отобразить ее можно так:
-Из проводника, Сервис->Свойства папки…->Вид->(Снять галочку от)->Использовать простой доступ…
-Во вкладке «Безопасность», можете играть с атрибутами файлов и папок, и для важных ветвь реестра, можно полный запрет поставить
Вот и все! Удачи в Ваших экспериментах!
я его авастом вырубил!!!
короче че вы все паритесь,скачиваем салити офф, потом он все отключает, и сразу же запускаем панду 2009 или маккафи 2010 и не парьтесь чуваки, все будет бодрячком, там в панде поставьте постоянное обновление через интернет и все просто супер, можно сразу несколько штук запускать хоть 10 главное чтобы комп у вас тянул, он все процессы проверяет еще сам
Реально мне помогла статья по адресу http://antivirusfagot.blogspot.com/2009/04/sektor-17.html
Virus.Win32.Porex.b — компьютерный вирус. Является РЕ ЕXE-файлом. Инфицирует EXE-файлы без повреждения их работоспособности с добавлением вредоносного тела. Создает и маскирует выполнимые тела вирусов под существующие на локальной машине DOC-файлы. Сохраняет введенные пользователем строки в окнах, содержащих слова: «password», «mail», «ftp», «telnet» и периодически отправляет их по email автору вируса.
Вирус имеет размер 36 КБ. Написан на языке C++.
При запуске зараженного файла:
вирус создает скрытый файл с таким же именем, присваивая ему расширение RNT и сохраняет туда свое тело. Запускает созданный файл на выполнение (см. пункт 2). В случае неудачи (например, если файл не был создан) производится инсталляция вируса в систему и запуск его фоновой работы.
В ходе выполнения RNT-файла вирус лечит и запускает исходный зараженный файл, после его выполнения — вновь инфицирует. После этого производится инсталляция вируса в систему и запуск его фоновой работы.
При выполнении тела вируса, он копирует себя в корневой каталог Windows с именем poserv.exe:
%WinDir%\poserv.exe
Для автоматического запуска при загрузке ОС, вирус определяет тип операционной системы. Если это Windows NT/2000/XP, то файл poserv.exe регистрируется как служба с именем «PO system service» и автоматическим запуском при каждой загрузке системы. Если тип операционной системы Windows 95/98, то файл poserv.exe регистрируется в ключе автозапуска системного реестра:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
«PO system service»=»%WinDir%\poserv.exe»
Каждые 4 дня вирус отсылает электронное письмо своему «хозяину». В теле письма содержится следующая информация: имя компьютера, имя текущего пользователя, тип процессора, тип и версия ОС, установленный ServicePack и сохраненные нажатия клавиш из файла %WinDir%\logger.bin.
К письму прикрепляются данные из программы ICQ в том случае, если они присутствуют на компьютере.
Максимальный размер отправляемого письма — 2,5 МБ.
Поиск и инфицирование файлов происходит на протяжении всего срока фоновой работы вируса. Вирус находит файлы с расширениями EXE и DOC. При этом EXE-файлы заражаются. При обнаружении DOC-файла в том же каталоге создаётся файл с тем же именем и расширением EXE, куда записывается тело вируса, изменённое так, что файлу соответствует значок такой же, как и у документов MS Word 2000. Если такой файл уже существовал, он не изменяется.
При поиске файлов просматриваются все диски компьютера, начиная с последнего доступного для записи (напр. Z:, Y:, X: :C:) до диска C: включительно. Для каждого диска просматривается дерево каталогов до 12 уровня и в каждом каталоге ищутся файлы с расширениями DOC и EXE, размером между 10 КБ и 2 МБ включительно.
Поиск очередного файла для инфицирования осуществляется примерно через каждые 0,666 секунды.
При инфицировании EXE-файла вирус записывает своё тело (вместе со всеми заголовками) в начало файла. При этом тело вируса изменяется так, что полученному файлу соответствует тот же значок, что и оригинальному.
Не заражаются файлы при выполнении одного из условий:
— файл расположен в корневом каталоге Windows («%WinDir%»);
— размер файла делится на 100 без остатка;
— файл расположен в корневом каталоге;
— длина имени файла (без пути и расширения) меньше 3-х символов;
— файл создан менее часа назад;
— флаги в заголовке *.exe файла указывают, что это *.dll или системный файл. (2 байта со смещением 12h от начала PE заголовка (без сигнатуры ‘PE’,0,0) имеют одно из значений 1000h или 2000h);
— файл уже заражён этим вирусом (определяется по наличию сигнатуры ‘MZ’ на смещении в 36КБ от начала файла).
Рекомендации по удалению
1. Остановить службу с именем «PO system service» или завершить процесс с именем poserv.exe.
2. Удалить следующий ключ системного реестра:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
«PO system service»=»%WinDir%\poserv.exe»
3. Удалить файл poserv.exe из корневого каталога Windows (%WinDir%).
4. Удалить EXE-файлы (вирус), при наличии одноименных файлов с расширением DOC (оригинал). При этом исключая EXE-файлы, созданные самим пользователем.
5. Удалить RNT-файлы (вирус), при наличии одноименных файлов с расширением EXE (инфицированный оригинал). При этом исключая RNT-файлы, созданные самим пользователем.
Нашел эту пресловутую службу PO system service отключил ее и в безопасном режиме проверил каждый диск в отдельности. Да, перед этим отключил восстановление системы и удалил все контрольные точки восстановления. Вроде уничтожил заразу.
Восстановить XP после вируса
Скрипт восстанавливает:
* Реестр:
— запуск командной строки (cmd.exe)
— редактирование реестра (regedit.exe)
— запуск диспетчер задач (taskmgr.exe)
— запуск оболочки (explorer.exe)
— открытие файлов (.exe и т.д.)
— свойства папки (показать скрытые файлы и т.д.)
* Файловая система:
— открытие дисков (удаляет autorun.inf в корне всех дисков)
скачать с депозита:
http://depositfiles.com/files/hiiwsi0yg
скачать с народа:
http://narod.ru/disk/15518709000/Restore_XP_after_virus.vbs.html
Ну это прям про меня! Теперь знаю что с собой делать)) Спасибо!
Играл себе спокойно ГТА4, выхожу вижу на весь экран окно «вам был дан часовый доступ к просмотру эротического видео» перезагрузил. Диспечер задач не работает, инет тоже. реестр и антивирусник работает. у меня 7 винда.
Востановил винду и все признаки вируса исчезли. А сканирую антивирусниками ничего найти не может. посоветуйте чем кроме нода и веба просканировать можно……???????????
Люди хелп
похоже на мою проблему, только у меня вирус блокирует *.reg файл, т.е. я не могу починить реестр. Не запускается cmd, вернее запускается и тут же закрывается. Regedit тоже не запускается
Все гениальное — просто .
Вирус лезет ТОЛЬКО в розшаренные папки с полными правами на запись — удалите их и Салити Вам не грозит.
Зайдите на сайт каспера и скачайте утилитку и нет проблем
http://support.kaspersky.ru/faq/?qid=208636131
Такая-же херня поситила и меня.Только после третьего раза форматирования,2 раза в ACRONIS.3 раз по стандартной схеме,только тогда избавился от этой еб.хрени.Но у друга оставалась заначка.А мы сделали очень просто,установили на комп по два виндона на один посадили каспера-kav-8,а на другой аваста эти два придурка антивируса лечат друг-друга.Вытащили из заначки эту глисту,посадили на одну винду,два дня он там кайфовал,отключал диспечеры,мордовал каспера и дрюкал экзешники.Но на второй раздел винды так и не покусился. Примечание-если не копировать с одной винды на другую. Взяли эту сволочь пробили на второй винде авастом,очень легко его поймали,подвесили глисту за яица и вздохнули полной грудью.Востановили каспера,через XP Tweaker включили дисп.задач.и всё наросло.Как говорили выше надо иметь зоркий глаз и поглядовать за симптомами.С помощью стандартного виндарика sp-3 востановили файлики,и по сей день торчим на двух-трёх виндариках,одна винда сына,вторая-жены и моя.Только постоянно приходится каждому впиндюривать игрульки и указывать им путь потому-что некоторые игрульки по умолчанию пинаются на жёсткий ..С..УДАЧИ.
Ребята помагите мне!!!! Прогу Sality не открывает!!! Он не дает мне открыфать фото и картинки(((((((
Большое спосибо вылечил …Тока вылечил Нод 32
Хм,что могу сказать по факту,скачал AVZ,rrtri, и dr web и nod32 trial,ничего не открывается, всё блочит этот вирус, и хоть как его переименовывай ничего не изменится,регедит не удаляется и появляется заново если всё же удастся удалить,то что вы пишите полный бред, у меня сначала мышка не функционировала,я поставил антивирь нод32,у меня вообще всё заблочилось,лучшеб не ставил как говорится,вообщем ничего не лечится,ничего не запускается хоть как переименовывай,незнаю что делать,придётся винду бить . Если есть какие то предложения вышлите на мыло ответ defenderovi4@yandex.ru
ппц у мя 117 вирусов на диске «C» это ппц мне проще переустоновить винду и вормотнуть все диски чем с ним боротся!!!! у мя 2 недель камп без антивируса стоял а потом ошибки полезли и я решил посмотреть што случилось. скачал нод и ппц всё в вирусах куда не зайду вирус и скачать ничего не могу ( на 99,5% останавливается все файлы ) даже сайты не грузятся !!!!!! надо бы набить морду тому кто их делает!!!!!