WIN32 SEKTOR 17 ОН ЖЕ VIRUS.WIN32.SALITY.AA ИЛИ КАК Я ПОБЕДИЛ ЭТУ СВОЛОЧЬ...



Недавно на выходных, у меня был заказ, на лечение одного компьютера.
Владелец жаловался, на "тугую" работу системы, заблокированный реестр, диспетчер задач, "убитый" антивирус, невозможность зайти на сайты антивирусных компаний, невозможность запустить антивирус (сразу вылетает) невозможность запуска каких либо других антивирусных утилит (вылетают тоже) невозможность загрузиться в безопасный режим.
На лицо работа вируса, но какого?? :) Для начала действовал для определения вируса простым дедовским способом. Записал на болванку утилиту Dr.Web Cureit! и пару минут подождал, что б он просканил немного, что то нарыл. И что вы думаете? Да, нарыл SEKTOR 17. Ну думаю, веселая ночь обеспечена :) хотя еще поглядим :) ...

Ну это семейство вирусов я знаю, гадость еще та! :) Поэтому приготовил для борьбы, следуйщие инструменты.

1) Live CD (ссылка на Hiren's BootCD 9.8 в нем есть Live CD при загрузке Hiren'sa, его можно выбрать для запуска, на мой взгляд самый быстрый)

2) Dr.Web Cureit! (Игоря Данилова)

3)AvpTool (от Касперски)

4)Cпец. утилиту от Кcперски "Sality_Off" на той же станице второй архив с ветками реестра для восстановления безопасного режима Sality_RegKeys.zip.

5) Утилиту AVZ 4.32 Олега Зайцева.

6) Утилиту ATF Cleaner.

Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную вами папку, например на рабочем столе, после этого записываем ее на Hiren's. Записываем все скачанные со списка программы на болванку в корень Hiren'sa в отдельную папку под любым названием.

Для справки: В образ .ISO Hiren's BootCD 9.8 вставить и записать нашу папку с утилитами для лечения, можно с помощью программы UltraISO

Устанавливать и писать утилиты, на не зараженной машине!!!

Обязательно отключить сеть!!! выдергиваем шнур из сетевой карты!!!

Записали все это на Hiren's? тогда вперед...

Ниже я приведу список действий, действуйте строго по списку.

1) Загружаемся в обычный режим, и отключаем восстановление системы.

2) Загружаемся с нашего Live CD (курим :) )

3) Заходим в любую папку, кликаем сервис> свойства папки > вкладка "вид" ставим галку на "Отображать содержимое системных папок", убираем галку на "Скрывать защищенные системные файлы", ставим галку на "Показывать скрытые файлы и папки".

4) Заходим в каждый раздел локального жесткого диска и ищем папку в корне, с названием System Volume Information заходим в нее и удаляем все ее содержимое. Там же, на разделах, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое. Сначала первое потом второе.

5) Запускаем (с диска) утилиту Dr.Web Cureit! жмем настройки >изменить настройки>типы файлов> ставим сканировать все файлы, файлы в архивах. Вкладка действия> Инфицированные> Лечить, Неизлечимые>удалить. На той же вкладке чуть ниже снимаем галочку запроса подтверждения. Жмем кнопку ОК и ставим галку на полную проверку машины, жмем пуск.

6) Пьем чай, курим :) спим :) Время сканирования системы зависит от мощности процессора и обьема сканируемой информации.

7) После сканирования системы Dr.Web Cureit! смотрим на проделанную им работу, сколько гадости нашел и пролечил :)
Закрываем программу.

8) Распаковываем на рабочий стол утилиту Sality_Off.exe запускаем двойным кликом, ждем, не трогаем и даем программе доработать :) После того как программа доработает до слов "Для продолжения нажмите любую клавишу..." Закрываем программу.


9) Копируем папку с AvpTool с диска, на рабочий стол. Если не получается на рабочий стол то можно на флешку и запустить ее с флешки. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол или флешку программу, изменяем настройки. Максимальный эвристический анализ "детальный" жмем ОК, Сканировать все файлы, жмем ОК в разделе "действие" ставим галку "запросить по окончании проверки" жмем ОК. Для сканирования ставим галки, на всех разделах локального жесткого диска, и жмем кнопку "поиск вирусов".

10) После сканирования Касперским, все найденное, фигачим, т. е. удаляем :) ничего не оставляем :)

11) Загружаемся в обычный режим. Болванку Hiren'sa не вытаскиваем, она нам нужна еще для работы, вернее не она, а утилиты записанные нами в ее корень :)

12) Заходим на болванку Hiren's ищем в нашей папке утилиту Sality_Off, кликаем по ней правой клавишей на мышке, и отправляем ярлык на рабочий стол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, кликаем по нему правой клавишей меняем немного его имя, пишем Sality_Off.exe-m кидаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей по папке Автозагрузка, нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.

13) Перезагружаем компьютер, загружаемся в обычном режиме. При загрузке, начинает сразу работать программа Sality_Off и начинает "фиксить" "чистить" систему (возможно еще что то осталось)
дожидаемся окончания работы программы, до слов "Для продолжения нажмите любую клавишу..." После этого закрываем программу.

14) Далее открываем (с болванки) утилиту AVZ 4.3 , после открытия жмем Файл>восстановление системы и ставим галки на пунктах 8, 10, 11, 13, 17 и жмем выполнить скрипт.

15) Далее открываем наш диск, ищем в нашей папке скачаный архивчик Sality_RegKeys.zip на сайте Касперского, ищем в названиях содержимого архива, вашу версию операционной системы, в моем случае это был файл реестра SafeBootWinXP.reg кликаем на него два раза вносим данные в реестр, и кликаем в том же архиве на файл с названием Disable autorun.reg вносим данные в реестр.

16) Перезагружаем Windows, (ярлык Sality_Off в автозапуске пока не трогаем!!) После запуска Windows, начинает работать программа Sality_Off, пускай еще раз пройдется, на верочку...

17) После окончания работы утилиты, убираем ее ярлык с папки Автозагрузки.

18) Запускаем утилиту ATF-Cleaner ставим галочки на всех вкладках и жмем "Empty Selected" (очистить) ничего не жалеем!!.

Все 98% работы сделано, все разблокировано, все вылечено, но еще не все...

Дело в том что после всего лечения:

1) Очень многие ".EXE" файлы повреждены, даже после лечения, не факт что система будет корректно работать. Со временем могут появится глюки в работе.

2) От вируса в системе остался висеть RootKit (у меня по крайней мере) и ничего с этим я поделать не смог, он собака в Ring 0 запускается и висит. Что б проверить нет ли у Вас такого "добра" запустите утилиту AVZ вкладка > сервис>модули пространства ядра. И висел у меня там такой процессик, с названием ________.SYS или просто .SYS без названия и цифровых подписей Microsoft. Попытался снять с него дамп, система вылетает с синим экраном. AVZ его не берет ( у меня по крайней мере не получилось ) Касперский тоже, Dr.Web c таким же успехом. Я ничего не нашел лучше как пункт -4)

4) Просто обновляем (или полностью переустанавливаем по возможности) Windows, с загрузочного диска. Подойдет в принципе любой загрузочный установочный дистрибутив Windows (соответственно та версия которая поставлена у Вас, если XP SP- 2 то обновляем с диска с XP SP- 2 . Выставляем в Bios>First boot Devise CD-Rom жмем F10, Yes. И начинается загрузка Windows. Далее выбираете тот диск куда нужно восстановить винду, (выбираете тот диск куда был установлен Windows ранее) жмем "ENTER" далее видим страничку выбора форматирования с выбором файловой системы. Выбираем установку без форматирования!!!!! (оставить файловую систему без форматирования (изменений) ) жмете "ENTER" на этой строчке, и все установка пошла, далее установку проводите как всегда. Минус в том, что слетят установленные программы. Но это лучше чем информация не так ли? :)

Если есть возможность переустановить Windows то переустановите. Мне пришлось устанавливать Windows второй копией на диск (а не просто переустановить ОС) потому как было ооочень много информации на системном диске C:\ форматировать раздел нельзя и сбрасывать информацию было некуда.

После установки Windows загружаемся из под Live CD и удаляем старую папку с Windows ( только не перепутайте Кутузовы! старую папку Windows с новой!!! У меня новая папка Windows была под названием Windows.0 ну а старая соответственно как обычно)

После этого всего мы имеем чистую систему :) без заразы :) Если пропустить эти все действия и просто переустановить систему, это ничего не даст :) она снова появится :) Поэтому соблюдайте то что я изложил выше и все будет ОК
Если у Вас есть более действенный способ, милости прошу изложить его в моем блоге, или киньте ссылку :)


© Нестеров Игорь Владимирович 2009 год

155 комментариев:

Анонимный комментирует...

спасибо, очень подробно и информативно. Сам с первого раза с этой заразой не справился пока не приготовил точно такой-же боекомплект

Анонимный комментирует...

"Если пропустить эти все действия и просто переустановить систему, это ничего не даст :) он снова появится :)" - а скажите, откуда же он вылезет, если физически удалить Windows и Program Files, и почистить System Volume и Recycled?

HoldFast комментирует...

Пасиб, лучшая статья, помог очень сильно.

F@got@dmin комментирует...

Уважаемый Аноним Вы задали мне следующий Вопрос: "а скажите, откуда же он вылезет, если физически удалить Windows и Program Files, и почистить System Volume и Recycled?"

Ответ: Как правило у пользователей не один раздел жесткого диска в компьютере верно? И как правило на дисках хранится кроме фотографий и музыки еще и инсталяторы программ и т.д. То есть .EXE файлы, верно? А Sektor 17 какого типа вирус? файловый, то есть который заражает .EXE файлы (программы). Поэтому необходимо не просто "физически удалить Windows и Program Files, и почистить System Volume и Recycled"
А следовать тем инструкциям которые я написал в статье. Если поступить иначе, то можно упустить одну из возможностей распостранения вируса в системе, как Вы сделали это выше, в своем вопросе.

F@got@dmin комментирует...

HoldFast Когда мне знакомый принес свой компьютер и сказал что у него подозрение на вирус (а я очень люблю заниматься лечением и уничтожением вирусов) то я хотел не просто удалить вирус и вылечить систему, а изучить подробно как он работает, где прячется, его механизмы самосахранения в системе... Проблема нубовских статей в сети действительно есть, но это развитие, без них никуда :) В свое время мне пришлось посидеть пару дней в сети, и прочитать мегабайты информации, (в том числе и нубовских) для того что б нарисовать стратегию уничтожения :) данного вируса. Рад что Вам реально помогла моя статья :)

HoldFast комментирует...

Нубские они по сравнению с вашей:)
Просто люди без опыта советуют разные вещи, и не совсем верные и вводят в людей заблуждение, и приходится по 20 раз переуставливать систему, а про развитие как не подумал, через тернии к победе:)

Falling Through комментирует...

А если загрузится с тогоже Live CD, запустить утилиту для создания, изменения и удаления разделов HDD (PartitionMagic, Acronis) просто удалить разделы HDD (не форматирование) снести полностью все в ноль! Разве я не избавлюсь от заразы!?

F@got@dmin комментирует...

no_name

Вы задали ВОПРОС:А если загрузится с тогоже Live CD, запустить утилиту для создания, изменения и удаления разделов HDD (PartitionMagic, Acronis) просто удалить разделы HDD (не форматирование) снести полностью все в ноль! Разве я не избавлюсь от заразы!?

ОТВЕТ: Смысл только удалять раздел? не форматируя его? Все равно после удаления раздела придется создавать новый раздел и форматировать его иначе никак!! Если удалить раздел, потом создать новый, сделать быстрый формат, а не полный, а потом применить утилиту по восстоновлению файлов, то Вы рискуете на 99,9% восстановить вирус и зараженные программы. Если вам абсолютно не важна информация на вашем компьютере, то просто из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки которые у вас есть (дабы исключить возможность инфецирования компьютера зараженными программами, или вирусом который находится на них) И тогда зараза будет побеждена, но такой выход для большинства не приемлем, так как на разделах находится важная информация.

Анонимный комментирует...

а у меня для таких случаев система стоит на отдельном диске и больше там нету нужной информации, если при восстановлении системы слетают все проги - то прощще форматнуть системный и поставить свежую винду и сразу после этого полная проверка сканером др.Веб, больше проблемы не возникало, за статью Огромное спасибо, оч помогло в одном запущщеном случае. сегодня появилась такая проблема: с LiveCD загружается система, появляется синий дисплей, на нем курсор и все...это проблема железа или результат работы вируса?

F@got@dmin комментирует...

А, у меня для таких случаев система стоит на отдельном диске и больше там нету нужной информации, если при восстановлении системы слетают все проги - то прощще форматнуть системный и поставить свежую винду и сразу после этого полная проверка сканером др.Веб, больше проблемы не возникало, за статью Огромное спасибо, оч помогло в одном запущщеном случае. сегодня появилась такая проблема: с LiveCD загружается система, появляется синий дисплей, на нем курсор и все...это проблема железа или результат работы вируса?

ОТВЕТ: УВ. Аноним Вы наверное не понимаете что такое вирус HLLP вида, вас не спасет то что у вас система на отдельном диске, так как в момент заражения подключен и другой диск, т. е. особого смысла, кроме быстродействия системы я не вижу в такой политике, в любом случае заразится ВСЕ! По поводу LiveCD Вы достаточно долго ждали? возможно он грузился, а Вы не дождались полной загрузки? Возможно битый дистрибутив LiveCD. Вирус не может
так действовать, так как он просто спит.. А LiveCD загружается в оперативную память, а не на жесткий диск,возможно проблемы с ОЗУ, я подозреваю что все таки поротый LiveCD Попробуйте LiveCD который есть на диске Hiren's BootCD 9.9 Очень быстрый и стабильный LiveCD загружается в течении 1 минуты. Ссылка на Hiren's BootCD 9.9 http://www.nifigatut.net/soft/183832-hirens-bootcd-99-keyboard-patch.html

Анонимный комментирует...

Fagot молодчага, классный сайт, и вообще......
SMA
P.S. Еще раз с праздником!!! не згори на солнышке.... :)

Анонимный комментирует...

Я вчера впервые столкнулся с модификацией .AA
Видимо, по этому, распознал не сразу. Да и прочий зоопарк маскировал симптомы.
Модуль дампить я не стал, я тупо его выдрал с помощью утилиты для восстановления удаленных файлов :)
Кстати, грузиться этот модуль перестал сразу после лечения с помощью Sality_Off.
Я сделал вывод, что один из зараженных системных файлов дропает драйверок, грузит его, а затем сразу удаляет.Выцепить его с помощью BootCleaner от AVZ не удалось, hj,rfz попытка создать одноименный файл с хитрыми правами - тоже, Sality его снес :)
За это Sality_RegKeys спасибо, пойду изучать.
С уважением, Antanta.

Анонимный комментирует...

допустим мне не важна информация на моем пк. при установке виндовса через биоз я отформатирую диск с и д. это поиожет избавится от заразы?

F@got@dmin комментирует...

Уважаемый Аноним ваш

вопрос:
допустим мне не важна информация на моем пк. при установке виндовса через биоз я отформатирую диск с и д. это поиожет избавится от заразы?

Ответ:

Да, если взять и отформатировать все разделы жесткого диска (системный раздел и разделы с информацией) То зараза будет побеждена.

Анонимный комментирует...

Благодарствую за подробную статью. Есть вопрос: а что если физически снять винт и подключить его к незаражённой машине, на которой установлен лицензионный касперский с самыми последними обновлениями, и прогнать проверку на максимальных настройках? Поможет ли это победить заразу и насколько повреждена будет информация послет такой проверки? (В частности, установленные программы, вроде 1С:Предприятие-сервер)

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:

А что если физически снять винт и подключить его к незаражённой машине, на которой установлен лицензионный касперский с самыми последними обновлениями, и прогнать проверку на максимальных настройках? Поможет ли это победить заразу и насколько повреждена будет информация после такой проверки? (В частности, установленные программы, вроде 1С:Предприятие-сервер)

Ответ:
Рад, что Вы задали довольно интересный вопрос.
1) Если в системе установлено несколько жёстких дисков, то необходимо сканировать каждый из них.
К слову сказать, я не сделал так, как Вы предложили, за неимением на тот момент возможности сделать так.

2) На вашем месте, я бы поступил по следуйщей схеме. Снять винт, присоеденить его к 100% не зараженной машине, (На зараженный винчестер не заходить и ничего на нем не открывать и не запускать!!!) скачать последнюю версию лечащей утилиты Dr.Web CureIT! и для начала просканировал бы зараженный винт этой утилитой. Почему? на моей практике именно эта утилита корректно лечит зараженные файлы.
Не забудьте только в настройках выставить зараженные>лечить.
После этого прогнать вашим Кассперским, для подстраховки. Сканировать все винты зараженной машины!!! Из под Live CD грохнуть все что находится в папках RECYCLER и SYSTEM VOLUME INFORMATION которые находятся в корне каждого, жесткого диска.
Применяйте всегда для лечения несколько хороших антивирусов, в данном случае Доктор Веб и Кассперский очень хорошая связка для данного вируса. Не всегда для победы, достаточно одного антивируса...

3) Насколько Вы знаете данный вирус заражает исполняемые файлы (.EXE) которые запускаются пользователем, системные файлы (ОС) он не трогает. Зараженные файлы после этого вируса лечить умеет не каждый антивирус, вот поэтому я вам рекомендую для начала прогнать зараженный винт именно утилитой Dr.Web CureIT! данная утилита хорошо справляется с лечением зараженных файлов после черного дела SEKTOR 17 но к сожалению не на 100% Некоторые файлы после лечения не запускаются. А уж после лечения CureIT!ом запускайте Кассперского на максимальных настройках.

4) Что касается работоспособности
1С:Предприятие-сервер, после лечения, насколько Вы понимаете 1С запускается часто, следовательно вирус поработал и над ним, базы данных конечно не тронуты, но .exe 1C после лечения, конечно под вопросом. Если есть возможность протестировать 1С после лечения на стабильность работы, это конечно хорошо, но если 1С установлена на сервере и необходима постоянная работа программы, то на вашем месте я не рисковал бы, и переустановил программу по новой, понимаю что сервер это не простой ПК юзера, но со стабильностью работы на предприятии или фирмы не играют. Если же возможности переустановки нет, то лечите по той схеме которую я вам посоветовал.
С ув. F@got@dmin

F@got@dmin комментирует...

К статии воспользуйтесь загрузочным лечащим диском от Dr.WEB Dr.WEB Live CD http://www.freedrweb.com/livecd/
А уж потом цепляйте зараженный диск на машину с Кассперским.

Анонимный комментирует...

Такой вопрос, а Avira Antivir полностью обновленная обнаружит его? И по вашему мнению, какой самый надежный антитварь на сегодняшний день?

F@got@dmin комментирует...

Ув. Анонимваш вопрос:

Такой вопрос, а Avira Antivir полностью обновленная обнаружит его? И по вашему мнению, какой самый надежный антитварь на сегодняшний день?

Ответ:

1)При лечении данного вируса я использовал продукты антивирусных компаний торговых марок Kasspersky и Dr.Web
За продукты Avira не буду врать, не тестировал на данном вирусе, но думаю что да, даже бесплатная версия антивируса Avira Personal детектирует на данный вирус.

2) Какой самый надежный антивирус? Для меня это смешной вопрос. Не существует самого надежного антивируса :) Все что человеком создано, человеком обойдется. Есть просто более хорошие, средние и никакие :) Все перечислять не буду, скажу просто о своих предпочтениях. Считаю что внимания заслуживают те же продукты торговых марок Kasspersky и Dr.Web

Chief комментирует...

Отличная статья! В свое время я тоже столкнулся с этой дрянью и написал пост: http://helplamer.ru/?p=244
Многим он пригодился. Советуют и ваш способ, так что спасибо за труд.

Анонимный комментирует...

"4) Просто обновляем Windows, с загрузочного диска..."
Если нет возможноти(установочного диска) для обновления системы? - может появился другой способ избавиться от RootKit-а ?(всетаки полгода прошло с момента написания статьи:)). и так ли опасен этот RootKit ? Можно ли работать с ним не обращая на него внимания?

Анонимный комментирует...

Если использовать http://www.freedrweb.com/livecd/
Как измениться последовательность действий? Dr.Web Cureit! уже не надо будет использовать?:)

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:

Если нет возможности(установочного диска) для обновления системы? - может появился другой способ избавиться от RootKit-а ?(всетаки полгода прошло с момента написания статьи:)). и так ли опасен этот RootKit ? Можно ли работать с ним не обращая на него внимания?

Ответ:

Если Вы внимательно читали, то дело не только в рутките. Насколько Вы знаете, то вирус Sektor 17 не заражает системные ".ехе" файлы необходимые для работы системы, все остальные ".ехе" заражает. А это многие программы включенные в дистрибутив Windows Если не восстановить программы включенные в дистрибутив ОС то работа в ней может сопровождаться сбоями. Также вирус заражает установленные программы пользователя, после лечения которых, их рабочая часть составляет не более 50% (это относится и к программам входящим в дистрибутив ОС)
Т.Е. обновление ОС необходимо, как залог стабильной работоспособности в будущем.
По поводу руткита, я общался с некоторыми пользователями которые лечили данный вирус по моей схеме, они утверждают что после того как они использовали в схеме лечения утилиту "Sality_Off" то вышеупомянутого руткита они в системе не наблюдали. Это говорит о том что в каждом конкретном случае ход лечения может быть разным.
Вы спросили о том что можно ли оставить или нет данный руткит в системе? На данный вопрос могу только мило улыбнуться :) Это составляющая диструкции вируса, и она должна быть удалена, так как если его оставить в системе, то гарантировать стабильную работу ОС вам никто не сможет.
По поводу того что нет возможности достать загрузочный дистрибутив Windows позволю с вами не согласиться, в бескрайних просторах INTERNET таких дистрибутивов масса :) Качайте :)

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:
Если использовать http://www.freedrweb.com/livecd/
Как измениться последовательность действий? Dr.Web Cureit! уже не надо будет использовать?:)

Ответ:
Вы можете его использовать как дополнительное средство в лечении данного вируса. Так как Hiren's BootCD вам все равно понадобится при лечении. Дело в том что насколько Вы помните по статье, то данный диск (Hiren's BootCD) в нашем случае еще используется и носителем программ которые нам необходимы для лечения вируса, без загрузки ОС (AvpTool,Sality_Off,AVZ 4.3, ATF Cleaner,Sality_RegKeys.zip) Да и по большому счету действенность моего варианта c записанным CureIT! на Hiren's BootCD ничем не хуже нежели реализована в Dr.Web LiveCd Вид другой, но принцип работы и действенность одинаковы. Просто например при использовании Dr.Web LiveCd можете не записывать на диск Hiren's BootCD утилиту CureIT! (но не позволяйте при смене загрузок Dr.Web LiveCd на Hiren's BootCD загрузится в обычном режиме Windows, до пункта, в схеме лечения, где это указано)

Последовательность в схеме лечения при использовании Dr.Web LiveCd следующая, по пунктам статьи
1,2,3,4,5>(запускаем Dr.Web LiveCd)Далее загружаем Hiren's BootCD и используем записанные на нем утилиты для лечения вируса (пункты 8,9) Но не позволяйте при смене загрузок Dr.Web LiveCd на Hiren's BootCD загрузится в обычном режиме Windows, до пункта, в схеме лечения, где это указано!

Анонимный комментирует...

Добрый день. Автору огромное спасибо за статью,но у меня один вопрос, правда он может вам показаться глуповатым,ведь я в этом деле как вы указывали ранее нуб,так что заранее извиняюсь)если сделать так как вы указали:
"Если вам абсолютно не важна информация на вашем компьютере, то просто из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки которые у вас есть (дабы исключить возможность инфецирования компьютера зараженными программами, или вирусом который находится на них) И тогда зараза будет побеждена."
Это действительно так?и если да,то могу ли я перед этим скинуть на болванки музыку,фотографии,вордовские файлы и файлы Excel,и быть уверенным что они не будут нести никакой опасности?
и ещё,после того как я "из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки",мне надо будет просто установить виндоус,антивирус,и я могу жить спокойно?)

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:

Добрый день. Автору огромное спасибо за статью,но у меня один вопрос, правда он может вам показаться глуповатым,ведь я в этом деле как вы указывали ранее нуб,так что заранее извиняюсь)если сделать так как вы указали:
"Если вам абсолютно не важна информация на вашем компьютере, то просто из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки которые у вас есть (дабы исключить возможность инфецирования компьютера зараженными программами, или вирусом который находится на них) И тогда зараза будет побеждена."
Это действительно так?и если да,то могу ли я перед этим скинуть на болванки музыку,фотографии,вордовские файлы и файлы Excel,и быть уверенным что они не будут нести никакой опасности?
и ещё,после того как я "из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки",мне надо будет просто установить виндоус,антивирус,и я могу жить спокойно?)

Ответ:

Да действительно, если из под Live CD зделать полное (не быстрое, а именно полное) форматирование разделов жесткого диска, и всех флешек (флешки вставить в компьютер до загрузки Live CD) то Sektor 17 будет побежден. Без лечения системы Вы можете записать не боясь на "диск" музыку, фотографии, вордовские файлы и файлы Excel(он их не заражает). Без полного лечения системы нельзя записывать на "диск" никаких ".EXE" (программ и драйверов!!)
После того как Вы отформатируете все разделы жесткого диска, и ваши флешки, вам останется просто установить Windows, необходимые программы, антивирус (обязательно) и можете как Вы выразились "Жить спокойно"
Если вам так удобней или легче, то можете сделать так как я описал выше в ответе. Но имхо не мой метод :) И маленькая поправочка, вас я не называл "Нубом" Вы что то перепутали. Всех посетителей моего блога я уважаю, несмотря на "образованность" :)

Анонимный комментирует...

А если системные процессы заражены (explorer, winlogon, lsass, csrss)?
Как лечить?

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:

А если системные процессы заражены (explorer, winlogon, lsass, csrss)?
Как лечить?

Ответ:

Sektor 17 не заражает системные файлы .ехе (файлы необходимые для работы системы)он заражает .ехе файлы пользователя. Вы уверены что они заражены? И если заражены то уверены что сектором? Но если все же заражены сектором те системные файлы которые Вы описали выше, то после лечения, боюсь они не будут работать вовсе... Так что или переустановка или обновление Windows в таком случае.

Анонимный комментирует...

Sality_off пишет что эти процессы заражены. CureIt! не ругается на них.

F@got@dmin комментирует...

Вы проводили лечение строго моей схеме лечения? Cureitом! сканировали с диска? Cureit! с последними базами? Вы уверены что эта именно Sektor 17 а не другая модификация? сканировали Cureitом!
с Live CD? Мне кажется что Вы действовали не согласно схеме лечения или что то напутали в последовательности, поэтому у вас возникли трудности. Ответьте на вопросы. Будем дальше решать :)

Анонимный комментирует...

Все усложняется тем, что на зараженном ноутбуке нет CD-ROMа, и внешнего у меня тоже нет. Поэтому я могу лечить только в безопасном режиме и только с флешки.

F@got@dmin комментирует...

Хм... А где Вы при заражении Sektor 17 видели безопасный режим? Насколько Вы знаете Sektor 17 безопасный режим "убивает"
У вас остается только обычный режим и флешка, выбор не велик...
Запускать Cureit! в обычном режиме нельзя, сектор его заразит, лечения не получится.
Я вижу в этой ситуации следующий выход. Слить флешкой всю информацию которая вам нужна (или переносным жестким диском) на другой компьютер в созданную специально для этой информации папку например на диске D:\ На компьютере куда будете сливать информацию ОБЯЗАТЕЛЬНО ОТКЛЮЧИТЬ АВТОЗАПУСК!!! Можете моей комплексной утилитой которая выложена у меня в блоге, или файлом реестра который отключает автозапуск лежит там же вот ссылка на мою статью нужные программки лежат в конце статьи. http://antivirusfagot.blogspot.com/2009/07/trojanwin32midgareuik.html
Последовательность проста.
Скидываем на флешку информацию (все кроме .EXE .DLL .SCR файлов) сливаем в папку на другом компьютере, и так пока не сольете все. Так как сектор еще использует приемы заражения с помощью автозапуска( а у вас он уже поселился на флешке) то на том компьютере на который будете лить информацию необходимо в срочном порядке отключить автозапуск до того как Вы начнете лить инфу, где взять, чем отключить, ссылка выше, после слива информации воспользуетесь моей статьей "Как удалить вирус с флешки"
В принципе слитую инфу можно не сканировать, все что сектор может заразить я указал. Но если переживаете то можете курейтом папочку просканить :) А вот что делать с зараженной машиной, вопрос интересный :) А ответ в принципе простой, Полное форматирование всех локальных дисков (информацию то слили) И установка новой ОС Почему так? Можно было бы воспользоваться, или зделать самому загрузочную флешку, но толку? После того как антивирусные утилиты пролечат систему, система будет не в лучшем состоянии. А поэтому, информацию слили, формат с загрузочной флешки, и установка новой ОС.
Посмотрите в сети много установочных дистрибутивов Windows которые устанавливаются с флешки. Вот если бы информации было оооочень много, тогда бы был вопрос другой. А если не так уж и много, то сделайте так как я написал вам выше.

Анонимный комментирует...

Безопасный режим восстановил с помощью AVZ. Придется форматировать винт и пробовать ставить винду с флешки.

F@got@dmin комментирует...

Если хотите полечить систему, то вам нужно достать дистрибутив для флешки по типу Live CD перепаковать этот образ немного (включить в него куреит и другие программы) И с загрузочной флешки провести лечение. В своей схеме лечения, я не сливал информацию, и тотально лечил систему, так как было очень много информации которую некуда было сливать. Если у вас такой ситуации нет, то сливайте инфу, и форматируйте все под нуль...

Анонимный комментирует...

я почитал ...повторил как написано сделал и получилось спасибо автору за разьяснения и подробную статью....благодарный пользователь GMAN

F@got@dmin комментирует...

To GMAN

Я стараюсь помогать )))

Анонимный комментирует...

Здравствуйте...не могу скачать ни одной программы из приведённых ссылок...(( поделитесь,плз..

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:

Здравствуйте...не могу скачать ни одной программы из приведённых ссылок...(( поделитесь,плз..

Все ссылки проверил в этой статье, все работает. Укажите что именно Вы не можете скачать. И укажите, куда вам можно скинуть ссылки.

Анонимный комментирует...

Здравствуйте. Дня 3 назад скачал один архив, там оказался салити. Удалял по Вашей инструкции и всё получилось, правда жутко много времени потратил (комп слабенький). Слетел аваст, поставил касперского 2010.
У меня такой вопрос:
Мне нужен этот архив, можно даже сказать необходим... могу-ли я скачать его, открыть в безопасном режиме и там-же полечить (sality killer'ом) или надо будет опять всё по пунктам проходить?

Анонимный комментирует...

Здравствуйте. Дня 3 назад скачал один архив, там оказался салити. Удалял по Вашей инструкции и всё получилось, правда жутко много времени потратил (комп слабенький). Слетел аваст, поставил касперского 2010.
У меня такой вопрос:
Мне нужен этот архив, можно даже сказать необходим... могу-ли я скачать его, открыть в безопасном режиме и там-же полечить (sality killer'ом) или надо будет опять всё по пунктам проходить?

Dem комментирует...

Спасибо за хорошую статью! Методику пока что не пробовал, но радует то, что есть четкий алгоритм!
У меня по ходу возник вопрос: я записал себе загрузочный диск версии 9.9, запустил мини хр. Из под нее пытаюсь запустить CureIT, заранее добавленный на загрузочный диск. Выскакивает ошибка: This application has failed to start bacause RICHED20.dll was not found. Re-installing this application may fix this problem. Нажимаю Ок и програмка запускается, правда на англ. языке....может быть это как то связано с отсутствием рус. кодировок в мини хр? Повлияет ли это на работу утилиты?

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:

У меня по ходу возник вопрос: я записал себе загрузочный диск версии 9.9, запустил мини хр. Из под нее пытаюсь запустить CureIT, заранее добавленный на загрузочный диск. Выскакивает ошибка: This application has failed to start bacause RICHED20.dll was not found. Re-installing this application may fix this problem. Нажимаю Ок и програмка запускается, правда на англ. языке....может быть это как то связано с отсутствием рус. кодировок в мини хр? Повлияет ли это на работу утилиты?

Ответ:

Вам нужно было скачать образ Hiren's BootCD (на чистой машине) далее скачать Cureit! Далее (мне удобнее через программу Ultra ISO) открыть образ диска, запихнуть Cureit! (в верху окна программы через ДЕЙСТВИЯ>ДОБАВИТЬ ФАЙЛЫ) в корень образа и сохранить (в верху окна программы дискетка) Далее записать как образ на CD болванку. Много раз так делал, все четко никаких ошибок, не вылетало. Попробуйте еще раз внимательно на чистой машине все сделать с самого начала.

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:

У меня такой вопрос:
Мне нужен этот архив, можно даже сказать необходим... могу-ли я скачать его, открыть в безопасном режиме и там-же полечить (sality killer'ом) или надо будет опять всё по пунктам проходить?

Ответ:

После лечения программа может быть не рабочая, да и не стоит испытывать судьбу. Попробуйте найти еще где нибудь нужную информацию.

Unknown комментирует...

скачал Hiren's BootCD 9.9 и Dr.Web Cureit.Остальные утилиты(AvpTool,"Sality_Off",Sality_RegKeys.zip.,AVZ 4.3,ATF Cleaner.) не могу(((
ссылки можно кидать на мыло Cuba89.ne@gmail.com

Анонимный комментирует...

Здравствуйте!
Спасибо за помощь которую Вы оказываете.Я записал папку с ан-ми программами в образ, но не могу переместить и, соответственно, запустить AVP Tool.На диске miniXP, где, собственно, и находится Рабочий стол, свободно всего 20 с лишним Мб.AVP Tool весит больше 50.Пробовал как Hirens 9.8, так 10.Что можете предложить в данной ситуации?Спасибо.

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:

Я записал папку с ан-ми программами в образ, но не могу переместить и, соответственно, запустить AVP Tool.На диске miniXP, где, собственно, и находится Рабочий стол, свободно всего 20 с лишним Мб.AVP Tool весит больше 50.Пробовал как Hirens 9.8, так 10.Что можете предложить в данной ситуации?Спасибо.

Ответ:

1) Скачать все таки диск Hiren's BootCD 9.8 (ссылка в статье) и все должно получиться.

2)Сбросить AVPTool на флешку т. е.
сбросить на флешку утилиту Касперского (на чистой машине прямо установить ее на флешку) воткнуть ее в потушеный компьютер (зараженный) запустить Hiren's BootCD и после загрузки диска запустить AVPTool на флешке. Правда такой вариант подходит только когда мы работаем из под загрузочного диска. В нормальном режиме если мы запустим AVPTool (.exe файл) на зараженной машине, то приложение заразится. И лечение не удастся. В принципе AVPTool нам нужен только при лечении компьютера с загрузочного диска, в нормальном режиме лечение AVPTool по схеме не мы не проводим, поэтому действительно выходом из этой ситуации будет то что AVPTool Вы установите на флешку, загрузитесь из под Hiren's BootCD
и запустите AVPTool с флешки, из под загрузочного диска заражение AVPTool на флешке не произойдет.

F@got@dmin комментирует...

И еще одно, Live CD нужно использовать не входя на сам диск т.е. при загрузке Hiren's BootCD появляется черное окошко и там перед нами выбор
1) Загрузка с харда
2) Загрузка диска
3) Загрузка с Live CD
Нам нужен именно (3) вариант именно этот Live CD

Анонимный комментирует...

А я просто снял винты и просканировал их антивиром с другого компа через USB-бокс и вроде все впорядке.....все нашел и зачистил...

Анонимный комментирует...

пожалуйста обьясни подробней тупому пользователю))), как востановить реестр?ато немогу безопасный режим грузить

F@got@dmin комментирует...

Ув. Аноним ваш вопрос :

пожалуйста обьясни подробней тупому пользователю))), как востановить реестр?ато немогу безопасный режим грузить

Ответ :

Пункт 15) статьи Далее открываем наш диск, ищем в нашей папке скачаный архивчик Sality_RegKeys.zip (http://support.kaspersky.ru/faq/?qid=208636131) на сайте Касперского, ищем в названиях содержимого архива, вашу версию операционной системы, в моем случае это был файл реестра SafeBootWinXP.reg кликаем на него два раза вносим данные в реестр (безопасный режим восстановился, но это следует делать только согласно пункту лечения приведённого в статье т.е. выполнить предыдущие пункты лечения иначе восстановить безопасный режим не получится, вирус уничтожит его снова)

После этого перезагружаем компьютер, при загрузке компьютера жмем клавишу F8 в появившемся списке выбираем "Безопасный режим"

Анонимный комментирует...

Эх, жаль, что наткнулась на эту статью слишком поздно :( Однако, теперь антисекторский набор запасла впрок :D Не так страшен был WIN32 SEKTOR 17, как сколько заразы принеслось до того, как уникумы обнаружили что антивирь умер :( При сканирование жестака было обнаружено почти 3000 паразитов всех мастей. Благо, что самая важная информация записана на балванки, иначе можно было б удавиться

Анонимный комментирует...

новых творческих начинаний в новом году!

Анонимный комментирует...

У меня вот такой вопрос.. Мне легче форматнуть все нафиг с ноута, чем мучиться так.. Допустим мне нужно 40 Гб документов сохранить, и у меня есть внешний жесткий от другого(не зараженного) компьютера.. Как мне перенести все файлы на хард, не заразив при этом файлы на самом жестком диске..? Или всё же проще будет сделать так, как написано в вашей инструкции?

F@got@dmin комментирует...

Все просто!

Насколько Вы знаете Sektor заражает пользовательские .exe файлы.
Поэтому копируйте все, кроме .exe и .scr файлов на сьемный хард.

Не забывайте что если вирус активен на зараженном компьютере то при вставке флешки или сьемного харда, sektor "прыгнет" к вам на флеш или хард, а если же на сьемнике еще будут и .exe файлы то заразит и их..

В общем....
Схема...

Загружаемся с Live CD (предварительно на выключенном компьютере или ноутбуке подключаем сьемный хард)

После загрузки Live CD копируем всю необходимую информацию на сьемный диск. Копируем все кроме .exe и .scr файлов!!!

Вот в принципе и все, пишите если что...

F@got@dmin комментирует...

А ноутбук в принципе можно будет полностью после этого форматнуть, только оба раздела! После формата поставить систему, программы, и вернуть с сьемного харда (инфу)

Анонимный комментирует...

Здравствуйте! После вируса как и вас остался .sys. Действительно ли спасет только переустановка винды (очень не хочется)? Чем может быть опасен этот руткит?

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:

Здравствуйте! После вируса как и вас остался .sys. Действительно ли спасет только переустановка винды (очень не хочется)? Чем может быть опасен этот руткит?

Ответ:
Что делает этот руткит, я так и не смог ни найти, ни разобраться. Мало ли что он может делать, лучше обновить Windows...

Анонимный комментирует...

Спасибо большое!!!

Анонимный комментирует...

А что делать, если не работает CD/DVD привод на ноутбуке? :(

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:
А что делать, если не работает CD/DVD привод на ноутбуке? :(

Ответ:
Пробовать делать загрузочную флэшку, благо как это сделать в сети информации очень много, соответственно ваше железо должно поддерживать загрузку с ремувэйбл (флешек) Необходимо зайти в биос вашего железа, и найти вкладку Boot или опцию, там необходимо выставить first boot device removable после этого сохранить и выйти из биос, и начать загрузку с флешки. Не забудьте на флешку накидать софта который указан в статье, весь софт можете сложить в папочку и назвать ее например 1
Далее провести лечение.

crimami@mail комментирует...

Уважаемый F@got@dmin,
сразу признаюсь, я далеко не продвинутый пользователь, так что уж не обессудь за серость))))
Ситуация у меня такая:
сидел у меня на компе Brontok, сидел и в принципе не мешал, просто создавал везде свои папки. Потом я снес систему, он пропал, но вскоре вернулся, видимо с флешки. И я так подозреваю что привел друга))) Т.к. AnVir показывал процессы бронтока и салити одновременно (при удалении появлялись вместе). Загрузить аваст удалось только при удалении всех непонятных процессов одновременно. Но аваст не успел убить вирус полностью, вирус его победил первым. Я отформатировал системный диск, со второго удалил все программы, экзешники и дистрибутивы (до форматирования). Остались только doc-и и мр3. На новую систему установил аваст и прошелся им по второму разделу. Он засунул в карантин половину файлов doc (типа заражены салити), которые мне оооочень нужны. Вобщем я их восстановил и кинул на болванку. Проверил комп тремя антивирусами - вроде чисто. Потом увидел этот блог. Короче говоря вопросы следующие:
1. Можно ли вылечить мои документы и опасны ли они вобще?
2. Где я дурак?))))

Анонимный комментирует...

Спасибо за познавательную статью!

F@got@dmin комментирует...

Ув. crimami@mail

Уважаемый F@got@dmin,
сразу признаюсь, я далеко не продвинутый пользователь, так что уж не обессудь за серость))))
Ситуация у меня такая:
сидел у меня на компе Brontok, сидел и в принципе не мешал, просто создавал везде свои папки. Потом я снес систему, он пропал, но вскоре вернулся, видимо с флешки. И я так подозреваю что привел друга))) Т.к. AnVir показывал процессы бронтока и салити одновременно (при удалении появлялись вместе). Загрузить аваст удалось только при удалении всех непонятных процессов одновременно. Но аваст не успел убить вирус полностью, вирус его победил первым. Я отформатировал системный диск, со второго удалил все программы, экзешники и дистрибутивы (до форматирования). Остались только doc-и и мр3. На новую систему установил аваст и прошелся им по второму разделу. Он засунул в карантин половину файлов doc (типа заражены салити), которые мне оооочень нужны. Вобщем я их восстановил и кинул на болванку. Проверил комп тремя антивирусами - вроде чисто. Потом увидел этот блог. Короче говоря вопросы следующие:
1. Можно ли вылечить мои документы и опасны ли они вобще?
2. Где я дурак?))))

Ответ:
Пролечите свою систему по моему методу, изложенному в статье.
При скане Dr.Web Cureit! выставьте в настройках зараженное > лечить.
Будут еще вопросы пишите.
P.S.
Всегда для лечения любого вида и типа вредоносных программ используйте Dr.Web Live CD и все у вас будет хорошо.
Для себя прочтите (очень рекомендую) мою статью "Как лечить вирусы или простейший способ лечения вирусов"
P.P.S.
Вы нигде не дурак, просто не знали, вот если бы знали но не сделали вот тогда... :)

F@got@dmin комментирует...

To crimami@mail

Если Вы уверены, что ваша система чиста, (хотя я бы ооочень рекомендовал просканить систему загрузочным диском Dr.Web Live CD)

Поступите следующим образом, скиньте ваши документы в отдельную папку под названием например 1, в этой папке ничего не запускайте :) запишите на чистой машине на CD болванку Dr.Web Cureit! выставьте в настройках зараженное > лечить.
Просканьте Cureit! эту папку, после лечения пользуйтесь наздоровье :)

F@got@dmin комментирует...

To crimami@mail
Странно что Sality как Вы сказали заразил файлы формата *.doc Вы уверены что это так?
Насколько я знаю, он заражает файлы с расширением *.exe *.scr

Анонимный комментирует...

Как по мне - тема раскрыта четко, спасибо за пост!

Анонимный комментирует...

Хехе… Мда… Таким взглядам и отношению к работе многие только будут завидовать! Молодцом!

F@got@dmin комментирует...

Я люблю свою работу :)
Пишите :)

Анонимный комментирует...

Занятно пишете, жизненно. Все-таки, для того, чтобы делать по-настоящему интересный блог, нужно не только сообщать о чем-то, но и делать это в интересной форме:)

F@got@dmin комментирует...

Я вам скажу так :) нужно просто любить свою работу, и если это условие будет соблюдено, и например если Вы заходите создать свой блог на рабочую тематику, он будет интересен читателям, так как Вы вложите в него свою душу и любовь :)

Анонимный комментирует...

Я это уже на другом сайте видел, но все равно спасибо.

F@got@dmin комментирует...

Ув. Аноним если Вы видели статью именно такого содержания, дословно, то ее написал я. Мне интересно, а где Вы ее видели еще кроме как на моем блоге?

Анонимный комментирует...

Вчера подруга скинула на мыло адрес вашего сайта. Но я не придал особого значения, я сегодня зашел и понял что она была права - сайт действительно СУПЕР!

Анонимный комментирует...

Хорошая статья, узнал много нового!)

Анонимный комментирует...

У автора очень приятный слог

Анонимный комментирует...

Отлично!!! Вместо книги на ночь.

Анонимный комментирует...

Можно ли взять одну картинку с Вашего блога? Очень понравилась. Линк на Вас есстественно поставлю.

Анонимный комментирует...

Спасибо за статью.

F@got@dmin комментирует...

Ув. Аноним ваш вопрос:
Можно ли взять одну картинку с Вашего блога? Очень понравилась. Линк на Вас есстественно поставлю.

Ответ:
Конечно берите :)

F@got@dmin комментирует...

Спасибо уважаемые читатели, за добрые слова. Я стараюсь писать качественно и не хоть бы как.
Рад что вам понравилось :) Для меня это награда за свой труд :)

Анонимный комментирует...

Супер статья! Подписался на RSS, буду следить =)

Анонимный комментирует...

Отличный пост, прочитала с удовольствием! Не плохое начало. Удачи в дальнейшем!

Анонимный комментирует...

Без преувеличения можно сказать, что пост тему раскрыл на все 100.

Люц комментирует...

А если сектор "был пойман за руку" и убит в процессах (в течение 5 минут после авторана с флехи).
много ли он мог напортачить (таскмэн и регедит в дауне, в реестре прописались лишние пункты контекстного меню, флехи с вирусом не открываются (вместо этого стартует какой-то заменитель блокнота akelpad (инфицирован сектором)) (в контекстное меню сменных носителей добавилась строка "AutoPlaY" она стартует тот же akelpad, клики по "Проводник" и "Открыть" по последствиям аналогичны клику по "AutoPlaY"))

Фул чистка
и
Реинстал
мне в руки?


(перегруз системы с момента заражения ещё не проводился, в процессах
ПОДОЗРИТЕЛЬНОЙ активности не выявлено (все стандартные, систему не грузят, список подгружаемых библиотек разве что не проверял :) ))

процесс снимал через xplorer.exe


P.S. статья найс!!! ))))

F@got@dmin комментирует...

To Люц

То что Вы описали, это пример активного заражения, степень которого, я думаю понимаете.
Что делать? Ну например оценить степень заражения. Для этого выполняете по пунктам:
1)Ищете 100% чистую машину
2)Идете по ссылке http://support.kaspersky.ru/downloads/utils/salitykiller.zip
3)После скачки данного архива, распаковываете его и содержимое записываете на CD диск (обязательно только так!!!)
4)Вставляете записанный диск в зараженную машину и запускаете на исполнение записанный файл.
5)Ждете пока он делает свою работу, не мешаете.
6)По отчету будет видно где и сколько он нашел этой гадости.
7)Если будет заражен хоть 1 *.EXE файл, моя статья вам в помощь.
8)Мое мнение по тем симптомам что Вы описали, что заражение ОС произошло в полной мере.
9)Решать вам, и если будут еще вопросы, пишите...

F@got@dmin комментирует...

To Люц

P.S. Заражение данным видом вируса происходит в считанные секунды. Так что думаю вам необходимо проводить лечение в полной мере.

Олег Кохан (Oleh Kokhan) комментирует...

идиотский вопрос: с какой целью вирус заражает *.ехе? что дальше? если он так себя защищает, то явно что-то не хорошее задумал :)

F@got@dmin комментирует...

To Олег

Этот вирус типа Parasitic (паразитический)
Этот тип вирусов внедряет вредоносный код в заражаемый файл так, что работоспособность файла не нарушается полностью или частично. Вредоносный код может прописываться в начало, середину или конец кода исходного файла Прописывание вирусного кода в начало исходного файла происходит двумя методами:

1) вирус перезаписывает код начала файла в конец, а вирусный код внедряет в начало,
2) вирус присоединяет код файла-жертвы к своему коду.

При запуске заражённого файла-жертвы управление получает первым вирус. При этом, чтобы исходный файл нормально или близко к этому функционировал, вирус может временно восстановить этот файл или продублировать запуск файла с исходным кодом, либо восстановить код файла в памяти операционной системы.

При прописывании зловредного кода в конец исходного файла вирус модифицирует начало кода файла так, чтобы первичными командами являлись вирусные команды.

При внедрении своего кода в середину исходного файла, вирус может перенести часть кода файла или, как бы раздвинуть его, или прописаться в неиспользованное компилятором пространство, отведённое для текстового сообщения. При этом может произойти сжатие первичного кода файла, чтобы не изменился его первичный размер.

Кроме этого еще выполняет те инструкции которые в него вложил создатель.

Олег Кохан (Oleh Kokhan) комментирует...

to FagotAdmin
Тоесть, что создатель в него вложил достоменно неизвестно?

За изложенный принцип работы Спасибо :)

F@got@dmin комментирует...

To Oleg

почему же, известно

http://www.securelist.com/ru/descriptions/7343003/Virus.Win32.Sality.aa

Подробное описание его работы.

Олег Кохан (Oleh Kokhan) комментирует...

Не получилось у меня запустить VvpTool. Вроде все по инструкции делал. Руки тоже растут как надо, кажется :). Говорит длл какого-то не хватает. вот.

Я вместо этого пункта пробую лайфсиди от каспера. Посмотрим, что получится.

F@got@dmin комментирует...

To Олег

Конкретно какое название длл?
После так сказать распаковки авп тул все содержимое скопировали и записали? ничего не упустили?

F@got@dmin комментирует...

To Олег
Да лайв СД от Касперсского подходит в этом пункте.

Анонимный комментирует...

Добрый день! У меня такая ситуация, NOD определяет sality вирус, начинает заражать exe файлы, причем все антивирусники работают, и вся система работает как обычно и ничего не глючит, я делаю откат системы на пару дней назад и почему то те exe файлы которые NOD уже удалил, потому что они заражены, снова работают например winamp.exe acdsee.exe.Делаю проверку Cureit , ничего не находит, avast нашел порядка 40 зараженных sality файлов в папке system volume information, salitykiller тоже ничего не находит. Как то странно все это, система не тормозит и не глючит, все антивирусники нормально сканируют и ничего так больше и не нашли. Что дальше то делать???

F@got@dmin комментирует...

Мне даже кажется я знаю в чем Вы допустили ошибку. Те перечисленные утилиты, такие как Cureit, SalityKiller Вы запускали с компьютера? А нужно на чем? Либо записать на чистой машине на болванку эти утилиты и запускать с болванки, не копируя их куда либо на жесткий диск, либо с флешки с переключателем на запрет записи (у меня такая) Так как если вышеупомянутые утилиты запускать на зараженной машине, например с рабочего стола, то вирус заражает их и не дает нормально пролечить систему! А вообще то говорю в который раз лечите систему от данного зверя так как я написал в своей статье! И не иначе! По пунктам ничего не пропуская! Если я в чем то не прав поправьте меня...

Олег Кохан (Oleh Kokhan) комментирует...

Пардон. Я уже забыл, что о длл-ке должен был написать :).. Хотел у меня он FLTLIB.DLL ... Вот.

Анонимный комментирует...

Сам столкнулся с такой проблемой, помогло следующее: переустановил Windows с форматированием диска, установил касперский, полностью обновил и несколько раз прогнал полную проверку

Анонимный комментирует...

Интересная статья,недавно столкнулся с этим вирусом вроде один заражёный комп вылечили,правда говоря немного "покривому",надеюсь с помощью вашей статьи спасём уже нормально ещё один:)Но есть вопрос(мало опыта в борьбе с такими вирусами)возможно ли заражение ехе файлов находящихся в различных архивах и образах?

F@got@dmin комментирует...

Вопрос:Возможно ли заражение *.ехе файлов находящихся в различных архивах и образах?

Ответ: Только если на момент упаковки файлов в архивы, система была уже заражена. Если архивы и образы создавались до заражения, и вы в этом уверены на 100% тогда нечего бояться. Файлы архивов этот вирус не заражает, как и файлы образов.

Анонимный комментирует...

Есть другой способ избежать этого) установите linux и радуйтесь)

Анонимный комментирует...

Ну, не то чтобы супер, но на твердую четвёрку точно!

Анонимный комментирует...

РАБОТАЕТ ЛИ ЭТОТ СПОСОБ ДЛЯ SEKTOR 21 ???

F@got@dmin комментирует...

Я думаю что после такой тотальной зачистки у любого вируса даже самого страшного файлового вируса шансов не останется.

Анонимный комментирует...

Подскажите, какие пункты посоветуете выполнить, если был отформатирован диск с виндой, а по остальным прошелся CureIt. Вирус - sector 4, форматировал Partition Magic'ом

F@got@dmin комментирует...

Вопрос:

Подскажите, какие пункты посоветуете выполнить, если был отформатирован диск с виндой, а по остальным прошелся CureIt. Вирус - sector 4, форматировал Partition Magic'ом


Ответ:

На ЧИСТОЙ машине скачиваете и кидаете на флешку утилиты.

"Sality_Off"

http://support.kaspersky.ru/faq/?qid=208636131

"AvpTool"

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную вами папку, например на рабочем столе, после этого кидаем папку с программой на флешку. НА ЧИСТОЙ МАШИНЕ!!

После того как эти утилиты Вы скачали на ЧИСТОЙ МАШИНЕ!!! и кинули на флешку. При ВЫКЛюченном компьютере вставьте флешку в USB и загрузитесь из под любого Live CD


После загрузки диска

Заходим в любую папку, кликаем сервис> свойства папки > вкладка "вид" ставим галку на "Отображать содержимое системных папок", убираем галку на "Скрывать защищенные системные файлы", ставим галку на "Показывать скрытые файлы и папки".

Заходим в корень каждого локального жесткого диска и ищем папку в корне, с названием System Volume Information заходим в нее и удаляем все ее содержимое. Там же, на разделах, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое. Сначала первое потом второе.

Потом, просканируйте по очереди сначала первой а потом второй утилитой на флешке, разделы с информацией.
Сделать это просто заходим при загруженном Live CD в Мой Компьютер, и там Вы увидите флешку. :)))

F@got@dmin комментирует...

Настройки AvpTool

Копируем папку с AvpTool с диска, на рабочий стол. Если не получается на рабочий стол то можно на флешку и запустить ее с флешки. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол или флешку программу, изменяем настройки. Максимальный эвристический анализ "детальный" жмем ОК, Сканировать все файлы, жмем ОК в разделе "действие" ставим галку "запросить по окончании проверки" жмем ОК. Для сканирования ставим галки, на всех разделах локального жесткого диска, и жмем кнопку "поиск вирусов".

Анонимный комментирует...

Огромное спасибо за мануал, убил эту гадость у себя, сейчас у друзей убиваю))

Столкнулся с ошибкой при запуске AVP tool, описанной выше. Ругался на FLTLIB.DLL. Нашел его в windows/system32. Так что при записи на диск установленного avp tool, необходимо также кидать и эту длл.

F@got@dmin комментирует...

Не кидать и записивыть на диск, а просто если из под лайв СД загрузились то просто кинуть папку на рабочий стол и все, программа сама подтянет после запуска.

Анонимный комментирует...

и отключаем восстановление системы.

э..как это сделать?...
и ещё.читал где-то, что что бы предотвратить инфицирование флешки, можно на ней сделать autorun.inf
если это не так, от как избежать инфицирования флешки и можно ли ставить ОС с диска, купленного в магазе(не лиц.,но пашет и обновляется, благодаря ключу на диске)

F@got@dmin комментирует...

Как отключить восстановление системы http://support.microsoft.com/kb/310405/ru

От файлового вируса autorun.inf не поможет на флешке, поможет в случае флешки только переключатель на запрет записи на нее, это поддерживает не каждая флешка, но у меня есть такая от компании PQI на ней просто переключатель на запрет записи.

На диске вирус инфу не сможет тронуть, но установленную ОС если вирус полностью не пролечен то покоцает заново, и снова вам придется работать.

Анонимный комментирует...

а если переключателя нету, можно ли избежать инфицирования или полностью вылечить её в дальнейшем?

F@got@dmin комментирует...

Тогда например загрузитесь с любого Lve CD при уже вставленной флешке, и впринципе можно избежать заражения флешки таким образом.

А вылечить после этой гадости можно вот только многие из программ после лечения не будут работать.

F@got@dmin комментирует...

И при случае с Live CD упаси вас Бог запустить какой либо *.exe файл на разделах жесткого диска. Тогда заразите флешку.

Анонимный комментирует...

проблема в том, что все файлы на флешке друга...
что мне придётся сделать для лечения?(такой уж я нуб...)

Анонимный комментирует...

тоесть, если я не запущу ниодного ехе, то флешке будет чиста?

F@got@dmin комментирует...

с флешки просто скопируйте все файлы кроме exe и scr

Пролечить зараженную флешку просто, вставьте компьютер и просканируйте своим антивирусом при этом не открывая флешку. При вставке флешки держите зажатой клавишу SHIFT

Анонимный комментирует...

для чего держать шифт?

F@got@dmin комментирует...

после сканирования флешки скопируйте нужные файлы кроме файлов с расширением exe и scr и после того отформатируйте флешку.

Анонимный комментирует...

их набора программ для борьбы с этим вирусом есть программы с ехе и scr?
нод сможет вылечить флешку от этого проказника?

Анонимный комментирует...

ещё вопрос:передаётся ли этот паразит через торренты, и могу ли я безопасно для других раздавать?

F@got@dmin комментирует...

Расширение программ .*exe подумайте немного, есть ли среди набора лечения, программы с таким расширением? По поводу торрента, Вы можете раздавать все кроме файлов с расширением *.exe и *.scr тоесть все кроме программ и скринсейверов.

F@got@dmin комментирует...

Иначе в противном случае заразите просто людей. А заразиться от скачки из торрента можете только если скачаете зараженный файл этой заразой, с расширением *.exe и *.scr тоесть программы и скринсейвера.

F@got@dmin комментирует...

To Gpef

1) да
2) Нифига не понял, вам нужно запустить перепакованный лайв сд
согласно написанному в статье.
3)Запуск лайвс сд прост там просто прес ту эникей...
4)Вы не думали что ваши игры заражены, и что после лечения они не будут корректно работать? Сохраните сейвы с игры, а все остальное сносите и форматируйте согласно статье. Мой вам совет если важного на разделе С\ нет то форматируйте и устанавливайте виндовс.
5) Это действие вредоносной программы, система заражена, вот на флешку и прыгает.

Пишите, но обдумывайте более детально свои вопросы, для того что б я мог более конкретно и детально на них отвечать.

F@got@dmin комментирует...

Действуйте в точности с описанным методом в статье.

Статья подходит для лечения всех вредоносных программ в мире...

Анонимный комментирует...

Есть подозрение,что я заразился SEKTOR 17,потому что качал файл ,через торрент ,а там заразились многие.Есть вопросы :
1.У меня NOD 32 мог ли он предотвратить заражение?
2.На предположительно зараженный комп ,скачал и проверил с помощью Dr.Web CureIt подозрительную загрузку - ничего не нашел. Мог ли сектор 17 заразить утилиту DrWeb таким образом ,что она на него не реагирует? И мне стоит попробывать записать ее на болванку на другом компе.
3. Мог ли вирус "перебежать" в другое место оставив чистым ту подозрительную закачку?

F@got@dmin комментирует...

To Gpef
http://forum.3dnews.ru/showthread.php?t=53712

да оно качайте.

F@got@dmin комментирует...

Сколько раз можно писать особо одаренным!!!

В данном случае с этим вирусом сканировать только утилитами записанными на болванку!!
ппц... ппц...

NOD 32 не самый хороший авер.


ДЕЙСТВУЙТЕ СОГЛАСНО ОПИСАННОМУ МЕТОДУ В СТАТЬЕ!! ЧИТАЙТЕ КОМЕНТАРИИ!! ЧИТАЙТЕ ВНИМАТЕЛЬНО СТАТЬЮ!!!

Unknown комментирует...

У меня есть зараженная флешка этим вирусом, как её вылечить? Файлы которые на ней, не важны, можно удалить.

Unknown комментирует...

А может и важны файлы.. Я вспомнил что у меня ещё одна флешка заражена этой пакостью)) Как лечить эти флешки..?

F@got@dmin комментирует...

To A_Nester

Если информация на флешке не важна, удерживайте shift вставляйте флешку, и... Форматируйте ее.

Если информация важна, определитесь какая, если .EXE файлы или .SCR то забудьте о них если файлы с расширением .JPEG .DOC .TXT то

1) Просканируйте флешку вашим антивирусом с последними антивирусными базами.
2) Прочитайте статью написанную мной
http://antivirusfagot.blogspot.com/2009/06/viruswin32salityaa.html

Анонимный комментирует...

Здравствуйте.
С AvpTools проблемы. При нажатии на Старт не происходит совсем ничего. Хватит ли cureit'a и salitykillera? Сижу на пункте 8, жду вашего ответа!
c ув.

F@got@dmin комментирует...

Скиньте АВП тулл на рабочий стол (после загрузки лайв СД) или при выключенной оси втыкаете флешку на которую установлено АВП тулл) и запускаете лайв СД потом после загрузки запускаете АВП тулл с флешки но такой вариант запуска только при использовании лайв СД

Анонимный комментирует...

Здравствуйте снова. Извините, я плохо в этом всем разбираюсь. Вообще никак :(

Расскажу по порядку.

Когда я подготавливала к записи образ Hiren's, я установила на рабочий стол чистой машины AvpTool, после этого записала указанной Вами программой UltraISO. Подключаю к своему зараженному ноуту. Все отлично. CureIT сканирует, находит заразу, Salitykiller сканирует, уже ничего не находит. Пытаюсь копировать AvpTool, мне пишут "Delete one or more file to free disc space" и выскакивают кнопки "Disk Cleanup" "OK". Но у меня на C 10 гигов свободных и на D два, и писала я сам диск на двд, а не сд. Ну, я нажимаю Disk Cleanup все копируется, но может поэтому AvpTool и работает неправильно. Не могу понять, что дальше делать... Сижу, тупо загружаюсь, то в обычный режим, то с Лайфа, гоняю куреитом и киллером, но они уже ничего не находят... Но не хотелось бы пропустить хоть что-то.
Можно еще вопрос? Если я выходила в иннет с кпк, он тоже заражен? Виндоуз Мобайл на кпк (htc). Копытом набиваю сейчас с него, поэтому так сбивчиво. Вообще у меня и другие вопросы есть.
Заранее спасибо за ответы!

F@got@dmin комментирует...

для кпк он не опасен )))

F@got@dmin комментирует...

АВП тулл установите на флешку, вставьте ее на потушенной машине, запустите лайв СД, после запуска лайв СД с флешки запустите АВП тулл.

Анонимный комментирует...

КПК не заражен? А я его уже собралась перепрошивать! В самом деле? Но там же тоже виндоуз и куча exe-ешек! Ну, я так думаю :) Ворд, Ексель и все такое. Но не хотелось бы перепрошивать кпк, да...

Извините, что я такая настойчивая, зовите меня блондинкой, но я в панике. Мне в понедельник нести флэшку к заказчику и если я заражу его предприятие, это будет что-то. И еще меня волнует мой рабочий комп.

Когда я еще не знала, что мой ноут заражен, я воткнула в него флэшку, скопировала с него txt-файл и считала его на рабочем компе. Когда стало ясно, что ноут заражен, я с чистого компа загнала на болванку cureit и начала прогонять в безопасном режиме (cureitа, а не в вообще безопасном компа, мне вообще безопасный компа недоступен) на рабочем компе. Где-то треть линеечки прошло и выпал синий экран. При перезагрузке винда попросила восстановить систему, я восстановила. Все работает. Я пошла к нашим безопасникам и сказала, чтоб они вытащили винт и прогнали его на чистом компе, но они сказали мне скопировать все данные (а среди них есть и exe-шники) к себе куда-нибудь, а они отформотят все, переустановят ОС и все будет нормально. Когда я сказала, что вирус заражает exe-шники, они просто надо мной посмеялись, сказали, что ни один вирус ничего такого не делает, вирусы просто портят системные файлы. Доказать им ничего не удалось. Помощи от них ждать не приходиться. Но один из них пришел и все проверил AVZ, которое я потом у вас в статье увидела. AVZ отработал, ничего не нашел.

Рабочий комп: диспетчер работает нормально, в реестр пускает, в безопасный режим и System Volume Information - нет, но это может быть и ограничение наших безопасников. Идти к ним это выяснять я не хочу, опять похохочут и ничего не скажут. Быстрая проверка в обычном режиме свежим Curit'ом показала, что все чисто. Я скинула все свои данные включая exe на свежекупленную флешку и прогнала Curit'ом ее. Тоже все чисто. Но мне с этой флэшкой идти в понедельник к заказчикам, так что я распечатала Ваш метод по избавлению от вирусов с флэшки и хочу за эти выходные дни найти чистый комп и на нем проверить.

У меня вопросы:

1. Мог ли мой рабочий комп заразиться из *.txt? Я так понимаю что очень мог. Не в txt же дело. Но почему его так спокойно (с диска!) просанировать cureIT

2. Как и чем мне рабочий комп еще проверить при таких вот условиях? Я хочу вебовский ЛайфСД запустить.

Заранее большое спасибо!

F@got@dmin комментирует...

этот вирус тхт не заражает.
Прочтите внимательно комментарии в этой статье и многое станет понятно.
В этой ситуации в идеале подойдет лайв СД с утилитами указанными в стаье, как чистить флешку, есть статья на этом блоге, да и в коментах в этой статье как чистить флеш от этого вируса.

F@got@dmin комментирует...

Вы думаете кпк заражен?? каким образом??

F@got@dmin комментирует...

Кслову, этот вирус кроме действия как файловый вирус производит заражение еще и с помощью файла запуска авторан инф, создайте пустой архив вин рар и откройте через него флешку, всякие рециклеры папки и авторан инфы удалять, флеш просканировать нормальным антивирусом с последними базами, за ехе забудьте даже после лечения работают только 50%

Анонимный комментирует...

txt он не заражает, но (я так понимаю) саму же флэшку заражает, даже, если скопировать txt. То есть... Вот я вставила флэшку в зараженный комп, потом тут же вставила в рабочий и открыла txt. Неважно, на самом деле, что я открыла. Я вставила зараженную флэшку.

Как можно заразить кпк? Ну там же синхронизация постоянная... То есть, кпк воспринимается компом, как любой носитель и заражаеться так же. Как флэшка. Когда кпк подключается по кабелю, он уже, как флэшка... Нет?

Анонимный комментирует...

создайте пустой архив вин рар

Извините, не поняла, можно по шагам :)

рециклеры папки

А это что значит?

флеш просканировать нормальным антивирусом с последними базами

Это да!

за ехе забудьте даже после лечения работают только 50%

Плохо :( Ну, что ж...

с уважением

Анонимный комментирует...

Извините за тупой вопрос. Ну то есть если я с флэшки запустила только txt, даже если сама флэшка заражена, комп не заразится? Флэшка до этого врубалась в 100% зараженный комп на пару секунд. Но Авторан же по идее подействует и так и так? Или нет? извините еще раз.

F@got@dmin комментирует...

при вставке флешки в комп она заражается.

По поводу кпк, на чистой машине подключите кпк, просканьте его антивирусом, только ничего не запускайте на самом кпк


детальнее почитайте статью как удалить с флешки вирус.

F@got@dmin комментирует...

ехе файлы скорее всего заражены на флешке, не рискуйте, хотя если очень нужно просканьте флешку мимнимум 2 антивирусными програмами.

F@got@dmin комментирует...

зайдите на кпк и то что там увидите выделите и просканируйте антивирусом.

F@got@dmin комментирует...

Если на компе не вырублен авторан, то заражение идет в секунды, после открытия флеш.

LEX комментирует...

Добрый день Подскажите пожалуйста этот способ лечения компа подойдет для лечения нескольких компов в сети, путем поочередного лечения (т.е. не отключать все компы компы от сети, а лечить каждый поотдельности)???

F@got@dmin комментирует...

LEX да можно так, но только в том случае, если на компьютере после лечения установлен нормальный антивирус с последними базами. Не забывай за файлопомойки в сети, и о том что вылеченный компьютер может полезть на зараженную файлопомойку и если не будет нормальной защиты то заразится снова. Есть один метод, так сказать одновременного лечения сети, вообще за такие советы wmz берутся но ладно.... Утилиту "Sality_killer" с помощью GPO групповой политики подвешиваешь на старт на каждый хост при старте.

iRakusha комментирует...

здравствуйте!
до пункта 5 сделала все четко.
на 5-ом зависла. запускаю cureit, вылизит предупреждение,что другие программы работать не могут, пока работает cureit, я жму ок....и все. далее черный полупрозрачный экран и зловещие песочные часы....так я прождала часов 8 ...поспала,действительно))))

Анонимный комментирует...

Здравствуйте. У меня такая проблемка стоит антивирус аваста и просит постоянного обновления а когда обновляешь она пишет ожидайте выполняеться инициализация и так целые сутки что делать подскажите

F@got@dmin комментирует...

Для начала прочтите статью
http://antivirusfagot.blogspot.com/2009/10/blog-post_27.html

Если после проверки вирусы будут найдены и уничтожены, необходимо будет переустановить антивирусную программу.
Антивирусу могут мешать обновиться вирусы на ПК.

Если же проверка покажет что вирусов нет, то также необходимо переустановить антивирусную программу.


Деинсталяцию антивируса необходимо производить программой от разработчиков данного антивируса aswclear5.exe
А уж потом заново скачать дистрибутив антивируса с официального сайта и установить его заново.

Анонимный комментирует...

Можно удалить данный вирус проще.
Для начала загружаемся с загрузочного диска с WinXP, а еще лучше с Linux. Копируем всю необходимую инфу в другой раздел. Форматируем раздел с операционной системой. Для надежности можно временно сделать скрытым раздел где хранится наша информация. Установить ОС, скачать и установить kaspersky antivirus обновить. Потом отменить скрытие раздела. И уже антивирем почистить ваши данные. Я так делаю. Это во первых быстрее, и эффективнее. Ибо как я понял ОС уже мертва для работы. Для чего ж тогда всю ее проверять? Проверка и очистка системы занимает от 2 до где то 5 часов, а переустановка и очистка часа три от силы.

cassiopeia комментирует...

Очень хорошая статья, спасибо! Помогите мне, пожалуйста, у меня вирус win32.sector12 (я прочитала,что все эти вирусы аналоги - Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 и что это модификации вируса win32.sality.aa)я поставила на полную проверку на вирусы доктора веба, он вроде бы как вылечил все (он работал нормально на компьютере). Действительно ли он все вылечил, достаточно ли этого и нужно ли делать что-то еще (то, что описано в статье я не делала, т.к. не знала, а поставила сразу на проверку)? Подскажите, пожалуйста, хрупкой девушке, пытающейся разобраться с этой трудной задачей))))))

Анонимный комментирует...

мне не нужна информация на зараженном компе. Как отформатировать все диски? Напишите подробно для супер чайников

F@got@dmin комментирует...

Обратитесь к знакомым которые знают чуть лучше компьютер чем Вы.