Ну это семейство вирусов я знаю, гадость еще та! :) Поэтому приготовил для борьбы, следуйщие инструменты.
1) Live CD (ссылка на Hiren's BootCD 9.8 в нем есть Live CD при загрузке Hiren'sa, его можно выбрать для запуска, на мой взгляд самый быстрый)
2) Dr.Web Cureit! (Игоря Данилова)
3)AvpTool (от Касперски)
4)Cпец. утилиту от Кcперски "Sality_Off" на той же станице второй архив с ветками реестра для восстановления безопасного режима Sality_RegKeys.zip.
5) Утилиту AVZ 4.32 Олега Зайцева.
6) Утилиту ATF Cleaner.
Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную вами папку, например на рабочем столе, после этого записываем ее на Hiren's. Записываем все скачанные со списка программы на болванку в корень Hiren'sa в отдельную папку под любым названием.
Для справки: В образ .ISO Hiren's BootCD 9.8 вставить и записать нашу папку с утилитами для лечения, можно с помощью программы UltraISO
Устанавливать и писать утилиты, на не зараженной машине!!!
Обязательно отключить сеть!!! выдергиваем шнур из сетевой карты!!!
Записали все это на Hiren's? тогда вперед...
Ниже я приведу список действий, действуйте строго по списку.
1) Загружаемся в обычный режим, и отключаем восстановление системы.
2) Загружаемся с нашего Live CD (курим :) )
3) Заходим в любую папку, кликаем сервис> свойства папки > вкладка "вид" ставим галку на "Отображать содержимое системных папок", убираем галку на "Скрывать защищенные системные файлы", ставим галку на "Показывать скрытые файлы и папки".
4) Заходим в каждый раздел локального жесткого диска и ищем папку в корне, с названием System Volume Information заходим в нее и удаляем все ее содержимое. Там же, на разделах, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое. Сначала первое потом второе.
5) Запускаем (с диска) утилиту Dr.Web Cureit! жмем настройки >изменить настройки>типы файлов> ставим сканировать все файлы, файлы в архивах. Вкладка действия> Инфицированные> Лечить, Неизлечимые>удалить. На той же вкладке чуть ниже снимаем галочку запроса подтверждения. Жмем кнопку ОК и ставим галку на полную проверку машины, жмем пуск.
6) Пьем чай, курим :) спим :) Время сканирования системы зависит от мощности процессора и обьема сканируемой информации.
7) После сканирования системы Dr.Web Cureit! смотрим на проделанную им работу, сколько гадости нашел и пролечил :)
Закрываем программу.
8) Распаковываем на рабочий стол утилиту Sality_Off.exe запускаем двойным кликом, ждем, не трогаем и даем программе доработать :) После того как программа доработает до слов "Для продолжения нажмите любую клавишу..." Закрываем программу.
9) Копируем папку с AvpTool с диска, на рабочий стол. Если не получается на рабочий стол то можно на флешку и запустить ее с флешки. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол или флешку программу, изменяем настройки. Максимальный эвристический анализ "детальный" жмем ОК, Сканировать все файлы, жмем ОК в разделе "действие" ставим галку "запросить по окончании проверки" жмем ОК. Для сканирования ставим галки, на всех разделах локального жесткого диска, и жмем кнопку "поиск вирусов".
10) После сканирования Касперским, все найденное, фигачим, т. е. удаляем :) ничего не оставляем :)
11) Загружаемся в обычный режим. Болванку Hiren'sa не вытаскиваем, она нам нужна еще для работы, вернее не она, а утилиты записанные нами в ее корень :)
12) Заходим на болванку Hiren's ищем в нашей папке утилиту Sality_Off, кликаем по ней правой клавишей на мышке, и отправляем ярлык на рабочий стол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, кликаем по нему правой клавишей меняем немного его имя, пишем Sality_Off.exe-m кидаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей по папке Автозагрузка, нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.
13) Перезагружаем компьютер, загружаемся в обычном режиме. При загрузке, начинает сразу работать программа Sality_Off и начинает "фиксить" "чистить" систему (возможно еще что то осталось)
дожидаемся окончания работы программы, до слов "Для продолжения нажмите любую клавишу..." После этого закрываем программу.
14) Далее открываем (с болванки) утилиту AVZ 4.3 , после открытия жмем Файл>восстановление системы и ставим галки на пунктах 8, 10, 11, 13, 17 и жмем выполнить скрипт.
15) Далее открываем наш диск, ищем в нашей папке скачаный архивчик Sality_RegKeys.zip на сайте Касперского, ищем в названиях содержимого архива, вашу версию операционной системы, в моем случае это был файл реестра SafeBootWinXP.reg кликаем на него два раза вносим данные в реестр, и кликаем в том же архиве на файл с названием Disable autorun.reg вносим данные в реестр.
16) Перезагружаем Windows, (ярлык Sality_Off в автозапуске пока не трогаем!!) После запуска Windows, начинает работать программа Sality_Off, пускай еще раз пройдется, на верочку...
17) После окончания работы утилиты, убираем ее ярлык с папки Автозагрузки.
18) Запускаем утилиту ATF-Cleaner ставим галочки на всех вкладках и жмем "Empty Selected" (очистить) ничего не жалеем!!.
Все 98% работы сделано, все разблокировано, все вылечено, но еще не все...
Дело в том что после всего лечения:
1) Очень многие ".EXE" файлы повреждены, даже после лечения, не факт что система будет корректно работать. Со временем могут появится глюки в работе.
2) От вируса в системе остался висеть RootKit (у меня по крайней мере) и ничего с этим я поделать не смог, он собака в Ring 0 запускается и висит. Что б проверить нет ли у Вас такого "добра" запустите утилиту AVZ вкладка > сервис>модули пространства ядра. И висел у меня там такой процессик, с названием ________.SYS или просто .SYS без названия и цифровых подписей Microsoft. Попытался снять с него дамп, система вылетает с синим экраном. AVZ его не берет ( у меня по крайней мере не получилось ) Касперский тоже, Dr.Web c таким же успехом. Я ничего не нашел лучше как пункт -4)
4) Просто обновляем (или полностью переустанавливаем по возможности) Windows, с загрузочного диска. Подойдет в принципе любой загрузочный установочный дистрибутив Windows (соответственно та версия которая поставлена у Вас, если XP SP- 2 то обновляем с диска с XP SP- 2 . Выставляем в Bios>First boot Devise CD-Rom жмем F10, Yes. И начинается загрузка Windows. Далее выбираете тот диск куда нужно восстановить винду, (выбираете тот диск куда был установлен Windows ранее) жмем "ENTER" далее видим страничку выбора форматирования с выбором файловой системы. Выбираем установку без форматирования!!!!! (оставить файловую систему без форматирования (изменений) ) жмете "ENTER" на этой строчке, и все установка пошла, далее установку проводите как всегда. Минус в том, что слетят установленные программы. Но это лучше чем информация не так ли? :)
Если есть возможность переустановить Windows то переустановите. Мне пришлось устанавливать Windows второй копией на диск (а не просто переустановить ОС) потому как было ооочень много информации на системном диске C:\ форматировать раздел нельзя и сбрасывать информацию было некуда.
После установки Windows загружаемся из под Live CD и удаляем старую папку с Windows ( только не перепутайте Кутузовы! старую папку Windows с новой!!! У меня новая папка Windows была под названием Windows.0 ну а старая соответственно как обычно)
После этого всего мы имеем чистую систему :) без заразы :) Если пропустить эти все действия и просто переустановить систему, это ничего не даст :) она снова появится :) Поэтому соблюдайте то что я изложил выше и все будет ОК
Если у Вас есть более действенный способ, милости прошу изложить его в моем блоге, или киньте ссылку :)
© Нестеров Игорь Владимирович 2009 год
155 комментариев:
спасибо, очень подробно и информативно. Сам с первого раза с этой заразой не справился пока не приготовил точно такой-же боекомплект
"Если пропустить эти все действия и просто переустановить систему, это ничего не даст :) он снова появится :)" - а скажите, откуда же он вылезет, если физически удалить Windows и Program Files, и почистить System Volume и Recycled?
Пасиб, лучшая статья, помог очень сильно.
Уважаемый Аноним Вы задали мне следующий Вопрос: "а скажите, откуда же он вылезет, если физически удалить Windows и Program Files, и почистить System Volume и Recycled?"
Ответ: Как правило у пользователей не один раздел жесткого диска в компьютере верно? И как правило на дисках хранится кроме фотографий и музыки еще и инсталяторы программ и т.д. То есть .EXE файлы, верно? А Sektor 17 какого типа вирус? файловый, то есть который заражает .EXE файлы (программы). Поэтому необходимо не просто "физически удалить Windows и Program Files, и почистить System Volume и Recycled"
А следовать тем инструкциям которые я написал в статье. Если поступить иначе, то можно упустить одну из возможностей распостранения вируса в системе, как Вы сделали это выше, в своем вопросе.
HoldFast Когда мне знакомый принес свой компьютер и сказал что у него подозрение на вирус (а я очень люблю заниматься лечением и уничтожением вирусов) то я хотел не просто удалить вирус и вылечить систему, а изучить подробно как он работает, где прячется, его механизмы самосахранения в системе... Проблема нубовских статей в сети действительно есть, но это развитие, без них никуда :) В свое время мне пришлось посидеть пару дней в сети, и прочитать мегабайты информации, (в том числе и нубовских) для того что б нарисовать стратегию уничтожения :) данного вируса. Рад что Вам реально помогла моя статья :)
Нубские они по сравнению с вашей:)
Просто люди без опыта советуют разные вещи, и не совсем верные и вводят в людей заблуждение, и приходится по 20 раз переуставливать систему, а про развитие как не подумал, через тернии к победе:)
А если загрузится с тогоже Live CD, запустить утилиту для создания, изменения и удаления разделов HDD (PartitionMagic, Acronis) просто удалить разделы HDD (не форматирование) снести полностью все в ноль! Разве я не избавлюсь от заразы!?
no_name
Вы задали ВОПРОС:А если загрузится с тогоже Live CD, запустить утилиту для создания, изменения и удаления разделов HDD (PartitionMagic, Acronis) просто удалить разделы HDD (не форматирование) снести полностью все в ноль! Разве я не избавлюсь от заразы!?
ОТВЕТ: Смысл только удалять раздел? не форматируя его? Все равно после удаления раздела придется создавать новый раздел и форматировать его иначе никак!! Если удалить раздел, потом создать новый, сделать быстрый формат, а не полный, а потом применить утилиту по восстоновлению файлов, то Вы рискуете на 99,9% восстановить вирус и зараженные программы. Если вам абсолютно не важна информация на вашем компьютере, то просто из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки которые у вас есть (дабы исключить возможность инфецирования компьютера зараженными программами, или вирусом который находится на них) И тогда зараза будет побеждена, но такой выход для большинства не приемлем, так как на разделах находится важная информация.
а у меня для таких случаев система стоит на отдельном диске и больше там нету нужной информации, если при восстановлении системы слетают все проги - то прощще форматнуть системный и поставить свежую винду и сразу после этого полная проверка сканером др.Веб, больше проблемы не возникало, за статью Огромное спасибо, оч помогло в одном запущщеном случае. сегодня появилась такая проблема: с LiveCD загружается система, появляется синий дисплей, на нем курсор и все...это проблема железа или результат работы вируса?
А, у меня для таких случаев система стоит на отдельном диске и больше там нету нужной информации, если при восстановлении системы слетают все проги - то прощще форматнуть системный и поставить свежую винду и сразу после этого полная проверка сканером др.Веб, больше проблемы не возникало, за статью Огромное спасибо, оч помогло в одном запущщеном случае. сегодня появилась такая проблема: с LiveCD загружается система, появляется синий дисплей, на нем курсор и все...это проблема железа или результат работы вируса?
ОТВЕТ: УВ. Аноним Вы наверное не понимаете что такое вирус HLLP вида, вас не спасет то что у вас система на отдельном диске, так как в момент заражения подключен и другой диск, т. е. особого смысла, кроме быстродействия системы я не вижу в такой политике, в любом случае заразится ВСЕ! По поводу LiveCD Вы достаточно долго ждали? возможно он грузился, а Вы не дождались полной загрузки? Возможно битый дистрибутив LiveCD. Вирус не может
так действовать, так как он просто спит.. А LiveCD загружается в оперативную память, а не на жесткий диск,возможно проблемы с ОЗУ, я подозреваю что все таки поротый LiveCD Попробуйте LiveCD который есть на диске Hiren's BootCD 9.9 Очень быстрый и стабильный LiveCD загружается в течении 1 минуты. Ссылка на Hiren's BootCD 9.9 http://www.nifigatut.net/soft/183832-hirens-bootcd-99-keyboard-patch.html
Fagot молодчага, классный сайт, и вообще......
SMA
P.S. Еще раз с праздником!!! не згори на солнышке.... :)
Я вчера впервые столкнулся с модификацией .AA
Видимо, по этому, распознал не сразу. Да и прочий зоопарк маскировал симптомы.
Модуль дампить я не стал, я тупо его выдрал с помощью утилиты для восстановления удаленных файлов :)
Кстати, грузиться этот модуль перестал сразу после лечения с помощью Sality_Off.
Я сделал вывод, что один из зараженных системных файлов дропает драйверок, грузит его, а затем сразу удаляет.Выцепить его с помощью BootCleaner от AVZ не удалось, hj,rfz попытка создать одноименный файл с хитрыми правами - тоже, Sality его снес :)
За это Sality_RegKeys спасибо, пойду изучать.
С уважением, Antanta.
допустим мне не важна информация на моем пк. при установке виндовса через биоз я отформатирую диск с и д. это поиожет избавится от заразы?
Уважаемый Аноним ваш
вопрос:
допустим мне не важна информация на моем пк. при установке виндовса через биоз я отформатирую диск с и д. это поиожет избавится от заразы?
Ответ:
Да, если взять и отформатировать все разделы жесткого диска (системный раздел и разделы с информацией) То зараза будет побеждена.
Благодарствую за подробную статью. Есть вопрос: а что если физически снять винт и подключить его к незаражённой машине, на которой установлен лицензионный касперский с самыми последними обновлениями, и прогнать проверку на максимальных настройках? Поможет ли это победить заразу и насколько повреждена будет информация послет такой проверки? (В частности, установленные программы, вроде 1С:Предприятие-сервер)
Ув. Аноним ваш вопрос:
А что если физически снять винт и подключить его к незаражённой машине, на которой установлен лицензионный касперский с самыми последними обновлениями, и прогнать проверку на максимальных настройках? Поможет ли это победить заразу и насколько повреждена будет информация после такой проверки? (В частности, установленные программы, вроде 1С:Предприятие-сервер)
Ответ:
Рад, что Вы задали довольно интересный вопрос.
1) Если в системе установлено несколько жёстких дисков, то необходимо сканировать каждый из них.
К слову сказать, я не сделал так, как Вы предложили, за неимением на тот момент возможности сделать так.
2) На вашем месте, я бы поступил по следуйщей схеме. Снять винт, присоеденить его к 100% не зараженной машине, (На зараженный винчестер не заходить и ничего на нем не открывать и не запускать!!!) скачать последнюю версию лечащей утилиты Dr.Web CureIT! и для начала просканировал бы зараженный винт этой утилитой. Почему? на моей практике именно эта утилита корректно лечит зараженные файлы.
Не забудьте только в настройках выставить зараженные>лечить.
После этого прогнать вашим Кассперским, для подстраховки. Сканировать все винты зараженной машины!!! Из под Live CD грохнуть все что находится в папках RECYCLER и SYSTEM VOLUME INFORMATION которые находятся в корне каждого, жесткого диска.
Применяйте всегда для лечения несколько хороших антивирусов, в данном случае Доктор Веб и Кассперский очень хорошая связка для данного вируса. Не всегда для победы, достаточно одного антивируса...
3) Насколько Вы знаете данный вирус заражает исполняемые файлы (.EXE) которые запускаются пользователем, системные файлы (ОС) он не трогает. Зараженные файлы после этого вируса лечить умеет не каждый антивирус, вот поэтому я вам рекомендую для начала прогнать зараженный винт именно утилитой Dr.Web CureIT! данная утилита хорошо справляется с лечением зараженных файлов после черного дела SEKTOR 17 но к сожалению не на 100% Некоторые файлы после лечения не запускаются. А уж после лечения CureIT!ом запускайте Кассперского на максимальных настройках.
4) Что касается работоспособности
1С:Предприятие-сервер, после лечения, насколько Вы понимаете 1С запускается часто, следовательно вирус поработал и над ним, базы данных конечно не тронуты, но .exe 1C после лечения, конечно под вопросом. Если есть возможность протестировать 1С после лечения на стабильность работы, это конечно хорошо, но если 1С установлена на сервере и необходима постоянная работа программы, то на вашем месте я не рисковал бы, и переустановил программу по новой, понимаю что сервер это не простой ПК юзера, но со стабильностью работы на предприятии или фирмы не играют. Если же возможности переустановки нет, то лечите по той схеме которую я вам посоветовал.
С ув. F@got@dmin
К статии воспользуйтесь загрузочным лечащим диском от Dr.WEB Dr.WEB Live CD http://www.freedrweb.com/livecd/
А уж потом цепляйте зараженный диск на машину с Кассперским.
Такой вопрос, а Avira Antivir полностью обновленная обнаружит его? И по вашему мнению, какой самый надежный антитварь на сегодняшний день?
Ув. Анонимваш вопрос:
Такой вопрос, а Avira Antivir полностью обновленная обнаружит его? И по вашему мнению, какой самый надежный антитварь на сегодняшний день?
Ответ:
1)При лечении данного вируса я использовал продукты антивирусных компаний торговых марок Kasspersky и Dr.Web
За продукты Avira не буду врать, не тестировал на данном вирусе, но думаю что да, даже бесплатная версия антивируса Avira Personal детектирует на данный вирус.
2) Какой самый надежный антивирус? Для меня это смешной вопрос. Не существует самого надежного антивируса :) Все что человеком создано, человеком обойдется. Есть просто более хорошие, средние и никакие :) Все перечислять не буду, скажу просто о своих предпочтениях. Считаю что внимания заслуживают те же продукты торговых марок Kasspersky и Dr.Web
Отличная статья! В свое время я тоже столкнулся с этой дрянью и написал пост: http://helplamer.ru/?p=244
Многим он пригодился. Советуют и ваш способ, так что спасибо за труд.
"4) Просто обновляем Windows, с загрузочного диска..."
Если нет возможноти(установочного диска) для обновления системы? - может появился другой способ избавиться от RootKit-а ?(всетаки полгода прошло с момента написания статьи:)). и так ли опасен этот RootKit ? Можно ли работать с ним не обращая на него внимания?
Если использовать http://www.freedrweb.com/livecd/
Как измениться последовательность действий? Dr.Web Cureit! уже не надо будет использовать?:)
Ув. Аноним ваш вопрос:
Если нет возможности(установочного диска) для обновления системы? - может появился другой способ избавиться от RootKit-а ?(всетаки полгода прошло с момента написания статьи:)). и так ли опасен этот RootKit ? Можно ли работать с ним не обращая на него внимания?
Ответ:
Если Вы внимательно читали, то дело не только в рутките. Насколько Вы знаете, то вирус Sektor 17 не заражает системные ".ехе" файлы необходимые для работы системы, все остальные ".ехе" заражает. А это многие программы включенные в дистрибутив Windows Если не восстановить программы включенные в дистрибутив ОС то работа в ней может сопровождаться сбоями. Также вирус заражает установленные программы пользователя, после лечения которых, их рабочая часть составляет не более 50% (это относится и к программам входящим в дистрибутив ОС)
Т.Е. обновление ОС необходимо, как залог стабильной работоспособности в будущем.
По поводу руткита, я общался с некоторыми пользователями которые лечили данный вирус по моей схеме, они утверждают что после того как они использовали в схеме лечения утилиту "Sality_Off" то вышеупомянутого руткита они в системе не наблюдали. Это говорит о том что в каждом конкретном случае ход лечения может быть разным.
Вы спросили о том что можно ли оставить или нет данный руткит в системе? На данный вопрос могу только мило улыбнуться :) Это составляющая диструкции вируса, и она должна быть удалена, так как если его оставить в системе, то гарантировать стабильную работу ОС вам никто не сможет.
По поводу того что нет возможности достать загрузочный дистрибутив Windows позволю с вами не согласиться, в бескрайних просторах INTERNET таких дистрибутивов масса :) Качайте :)
Ув. Аноним ваш вопрос:
Если использовать http://www.freedrweb.com/livecd/
Как измениться последовательность действий? Dr.Web Cureit! уже не надо будет использовать?:)
Ответ:
Вы можете его использовать как дополнительное средство в лечении данного вируса. Так как Hiren's BootCD вам все равно понадобится при лечении. Дело в том что насколько Вы помните по статье, то данный диск (Hiren's BootCD) в нашем случае еще используется и носителем программ которые нам необходимы для лечения вируса, без загрузки ОС (AvpTool,Sality_Off,AVZ 4.3, ATF Cleaner,Sality_RegKeys.zip) Да и по большому счету действенность моего варианта c записанным CureIT! на Hiren's BootCD ничем не хуже нежели реализована в Dr.Web LiveCd Вид другой, но принцип работы и действенность одинаковы. Просто например при использовании Dr.Web LiveCd можете не записывать на диск Hiren's BootCD утилиту CureIT! (но не позволяйте при смене загрузок Dr.Web LiveCd на Hiren's BootCD загрузится в обычном режиме Windows, до пункта, в схеме лечения, где это указано)
Последовательность в схеме лечения при использовании Dr.Web LiveCd следующая, по пунктам статьи
1,2,3,4,5>(запускаем Dr.Web LiveCd)Далее загружаем Hiren's BootCD и используем записанные на нем утилиты для лечения вируса (пункты 8,9) Но не позволяйте при смене загрузок Dr.Web LiveCd на Hiren's BootCD загрузится в обычном режиме Windows, до пункта, в схеме лечения, где это указано!
Добрый день. Автору огромное спасибо за статью,но у меня один вопрос, правда он может вам показаться глуповатым,ведь я в этом деле как вы указывали ранее нуб,так что заранее извиняюсь)если сделать так как вы указали:
"Если вам абсолютно не важна информация на вашем компьютере, то просто из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки которые у вас есть (дабы исключить возможность инфецирования компьютера зараженными программами, или вирусом который находится на них) И тогда зараза будет побеждена."
Это действительно так?и если да,то могу ли я перед этим скинуть на болванки музыку,фотографии,вордовские файлы и файлы Excel,и быть уверенным что они не будут нести никакой опасности?
и ещё,после того как я "из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки",мне надо будет просто установить виндоус,антивирус,и я могу жить спокойно?)
Ув. Аноним ваш вопрос:
Добрый день. Автору огромное спасибо за статью,но у меня один вопрос, правда он может вам показаться глуповатым,ведь я в этом деле как вы указывали ранее нуб,так что заранее извиняюсь)если сделать так как вы указали:
"Если вам абсолютно не важна информация на вашем компьютере, то просто из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки которые у вас есть (дабы исключить возможность инфецирования компьютера зараженными программами, или вирусом который находится на них) И тогда зараза будет побеждена."
Это действительно так?и если да,то могу ли я перед этим скинуть на болванки музыку,фотографии,вордовские файлы и файлы Excel,и быть уверенным что они не будут нести никакой опасности?
и ещё,после того как я "из под Live CD полностью отформатируйте все разделы жесткого диска, включая флешки",мне надо будет просто установить виндоус,антивирус,и я могу жить спокойно?)
Ответ:
Да действительно, если из под Live CD зделать полное (не быстрое, а именно полное) форматирование разделов жесткого диска, и всех флешек (флешки вставить в компьютер до загрузки Live CD) то Sektor 17 будет побежден. Без лечения системы Вы можете записать не боясь на "диск" музыку, фотографии, вордовские файлы и файлы Excel(он их не заражает). Без полного лечения системы нельзя записывать на "диск" никаких ".EXE" (программ и драйверов!!)
После того как Вы отформатируете все разделы жесткого диска, и ваши флешки, вам останется просто установить Windows, необходимые программы, антивирус (обязательно) и можете как Вы выразились "Жить спокойно"
Если вам так удобней или легче, то можете сделать так как я описал выше в ответе. Но имхо не мой метод :) И маленькая поправочка, вас я не называл "Нубом" Вы что то перепутали. Всех посетителей моего блога я уважаю, несмотря на "образованность" :)
А если системные процессы заражены (explorer, winlogon, lsass, csrss)?
Как лечить?
Ув. Аноним ваш вопрос:
А если системные процессы заражены (explorer, winlogon, lsass, csrss)?
Как лечить?
Ответ:
Sektor 17 не заражает системные файлы .ехе (файлы необходимые для работы системы)он заражает .ехе файлы пользователя. Вы уверены что они заражены? И если заражены то уверены что сектором? Но если все же заражены сектором те системные файлы которые Вы описали выше, то после лечения, боюсь они не будут работать вовсе... Так что или переустановка или обновление Windows в таком случае.
Sality_off пишет что эти процессы заражены. CureIt! не ругается на них.
Вы проводили лечение строго моей схеме лечения? Cureitом! сканировали с диска? Cureit! с последними базами? Вы уверены что эта именно Sektor 17 а не другая модификация? сканировали Cureitом!
с Live CD? Мне кажется что Вы действовали не согласно схеме лечения или что то напутали в последовательности, поэтому у вас возникли трудности. Ответьте на вопросы. Будем дальше решать :)
Все усложняется тем, что на зараженном ноутбуке нет CD-ROMа, и внешнего у меня тоже нет. Поэтому я могу лечить только в безопасном режиме и только с флешки.
Хм... А где Вы при заражении Sektor 17 видели безопасный режим? Насколько Вы знаете Sektor 17 безопасный режим "убивает"
У вас остается только обычный режим и флешка, выбор не велик...
Запускать Cureit! в обычном режиме нельзя, сектор его заразит, лечения не получится.
Я вижу в этой ситуации следующий выход. Слить флешкой всю информацию которая вам нужна (или переносным жестким диском) на другой компьютер в созданную специально для этой информации папку например на диске D:\ На компьютере куда будете сливать информацию ОБЯЗАТЕЛЬНО ОТКЛЮЧИТЬ АВТОЗАПУСК!!! Можете моей комплексной утилитой которая выложена у меня в блоге, или файлом реестра который отключает автозапуск лежит там же вот ссылка на мою статью нужные программки лежат в конце статьи. http://antivirusfagot.blogspot.com/2009/07/trojanwin32midgareuik.html
Последовательность проста.
Скидываем на флешку информацию (все кроме .EXE .DLL .SCR файлов) сливаем в папку на другом компьютере, и так пока не сольете все. Так как сектор еще использует приемы заражения с помощью автозапуска( а у вас он уже поселился на флешке) то на том компьютере на который будете лить информацию необходимо в срочном порядке отключить автозапуск до того как Вы начнете лить инфу, где взять, чем отключить, ссылка выше, после слива информации воспользуетесь моей статьей "Как удалить вирус с флешки"
В принципе слитую инфу можно не сканировать, все что сектор может заразить я указал. Но если переживаете то можете курейтом папочку просканить :) А вот что делать с зараженной машиной, вопрос интересный :) А ответ в принципе простой, Полное форматирование всех локальных дисков (информацию то слили) И установка новой ОС Почему так? Можно было бы воспользоваться, или зделать самому загрузочную флешку, но толку? После того как антивирусные утилиты пролечат систему, система будет не в лучшем состоянии. А поэтому, информацию слили, формат с загрузочной флешки, и установка новой ОС.
Посмотрите в сети много установочных дистрибутивов Windows которые устанавливаются с флешки. Вот если бы информации было оооочень много, тогда бы был вопрос другой. А если не так уж и много, то сделайте так как я написал вам выше.
Безопасный режим восстановил с помощью AVZ. Придется форматировать винт и пробовать ставить винду с флешки.
Если хотите полечить систему, то вам нужно достать дистрибутив для флешки по типу Live CD перепаковать этот образ немного (включить в него куреит и другие программы) И с загрузочной флешки провести лечение. В своей схеме лечения, я не сливал информацию, и тотально лечил систему, так как было очень много информации которую некуда было сливать. Если у вас такой ситуации нет, то сливайте инфу, и форматируйте все под нуль...
я почитал ...повторил как написано сделал и получилось спасибо автору за разьяснения и подробную статью....благодарный пользователь GMAN
To GMAN
Я стараюсь помогать )))
Здравствуйте...не могу скачать ни одной программы из приведённых ссылок...(( поделитесь,плз..
Ув. Аноним ваш вопрос:
Здравствуйте...не могу скачать ни одной программы из приведённых ссылок...(( поделитесь,плз..
Все ссылки проверил в этой статье, все работает. Укажите что именно Вы не можете скачать. И укажите, куда вам можно скинуть ссылки.
Здравствуйте. Дня 3 назад скачал один архив, там оказался салити. Удалял по Вашей инструкции и всё получилось, правда жутко много времени потратил (комп слабенький). Слетел аваст, поставил касперского 2010.
У меня такой вопрос:
Мне нужен этот архив, можно даже сказать необходим... могу-ли я скачать его, открыть в безопасном режиме и там-же полечить (sality killer'ом) или надо будет опять всё по пунктам проходить?
Здравствуйте. Дня 3 назад скачал один архив, там оказался салити. Удалял по Вашей инструкции и всё получилось, правда жутко много времени потратил (комп слабенький). Слетел аваст, поставил касперского 2010.
У меня такой вопрос:
Мне нужен этот архив, можно даже сказать необходим... могу-ли я скачать его, открыть в безопасном режиме и там-же полечить (sality killer'ом) или надо будет опять всё по пунктам проходить?
Спасибо за хорошую статью! Методику пока что не пробовал, но радует то, что есть четкий алгоритм!
У меня по ходу возник вопрос: я записал себе загрузочный диск версии 9.9, запустил мини хр. Из под нее пытаюсь запустить CureIT, заранее добавленный на загрузочный диск. Выскакивает ошибка: This application has failed to start bacause RICHED20.dll was not found. Re-installing this application may fix this problem. Нажимаю Ок и програмка запускается, правда на англ. языке....может быть это как то связано с отсутствием рус. кодировок в мини хр? Повлияет ли это на работу утилиты?
Ув. Аноним ваш вопрос:
У меня по ходу возник вопрос: я записал себе загрузочный диск версии 9.9, запустил мини хр. Из под нее пытаюсь запустить CureIT, заранее добавленный на загрузочный диск. Выскакивает ошибка: This application has failed to start bacause RICHED20.dll was not found. Re-installing this application may fix this problem. Нажимаю Ок и програмка запускается, правда на англ. языке....может быть это как то связано с отсутствием рус. кодировок в мини хр? Повлияет ли это на работу утилиты?
Ответ:
Вам нужно было скачать образ Hiren's BootCD (на чистой машине) далее скачать Cureit! Далее (мне удобнее через программу Ultra ISO) открыть образ диска, запихнуть Cureit! (в верху окна программы через ДЕЙСТВИЯ>ДОБАВИТЬ ФАЙЛЫ) в корень образа и сохранить (в верху окна программы дискетка) Далее записать как образ на CD болванку. Много раз так делал, все четко никаких ошибок, не вылетало. Попробуйте еще раз внимательно на чистой машине все сделать с самого начала.
Ув. Аноним ваш вопрос:
У меня такой вопрос:
Мне нужен этот архив, можно даже сказать необходим... могу-ли я скачать его, открыть в безопасном режиме и там-же полечить (sality killer'ом) или надо будет опять всё по пунктам проходить?
Ответ:
После лечения программа может быть не рабочая, да и не стоит испытывать судьбу. Попробуйте найти еще где нибудь нужную информацию.
скачал Hiren's BootCD 9.9 и Dr.Web Cureit.Остальные утилиты(AvpTool,"Sality_Off",Sality_RegKeys.zip.,AVZ 4.3,ATF Cleaner.) не могу(((
ссылки можно кидать на мыло Cuba89.ne@gmail.com
Здравствуйте!
Спасибо за помощь которую Вы оказываете.Я записал папку с ан-ми программами в образ, но не могу переместить и, соответственно, запустить AVP Tool.На диске miniXP, где, собственно, и находится Рабочий стол, свободно всего 20 с лишним Мб.AVP Tool весит больше 50.Пробовал как Hirens 9.8, так 10.Что можете предложить в данной ситуации?Спасибо.
Ув. Аноним ваш вопрос:
Я записал папку с ан-ми программами в образ, но не могу переместить и, соответственно, запустить AVP Tool.На диске miniXP, где, собственно, и находится Рабочий стол, свободно всего 20 с лишним Мб.AVP Tool весит больше 50.Пробовал как Hirens 9.8, так 10.Что можете предложить в данной ситуации?Спасибо.
Ответ:
1) Скачать все таки диск Hiren's BootCD 9.8 (ссылка в статье) и все должно получиться.
2)Сбросить AVPTool на флешку т. е.
сбросить на флешку утилиту Касперского (на чистой машине прямо установить ее на флешку) воткнуть ее в потушеный компьютер (зараженный) запустить Hiren's BootCD и после загрузки диска запустить AVPTool на флешке. Правда такой вариант подходит только когда мы работаем из под загрузочного диска. В нормальном режиме если мы запустим AVPTool (.exe файл) на зараженной машине, то приложение заразится. И лечение не удастся. В принципе AVPTool нам нужен только при лечении компьютера с загрузочного диска, в нормальном режиме лечение AVPTool по схеме не мы не проводим, поэтому действительно выходом из этой ситуации будет то что AVPTool Вы установите на флешку, загрузитесь из под Hiren's BootCD
и запустите AVPTool с флешки, из под загрузочного диска заражение AVPTool на флешке не произойдет.
И еще одно, Live CD нужно использовать не входя на сам диск т.е. при загрузке Hiren's BootCD появляется черное окошко и там перед нами выбор
1) Загрузка с харда
2) Загрузка диска
3) Загрузка с Live CD
Нам нужен именно (3) вариант именно этот Live CD
А я просто снял винты и просканировал их антивиром с другого компа через USB-бокс и вроде все впорядке.....все нашел и зачистил...
пожалуйста обьясни подробней тупому пользователю))), как востановить реестр?ато немогу безопасный режим грузить
Ув. Аноним ваш вопрос :
пожалуйста обьясни подробней тупому пользователю))), как востановить реестр?ато немогу безопасный режим грузить
Ответ :
Пункт 15) статьи Далее открываем наш диск, ищем в нашей папке скачаный архивчик Sality_RegKeys.zip (http://support.kaspersky.ru/faq/?qid=208636131) на сайте Касперского, ищем в названиях содержимого архива, вашу версию операционной системы, в моем случае это был файл реестра SafeBootWinXP.reg кликаем на него два раза вносим данные в реестр (безопасный режим восстановился, но это следует делать только согласно пункту лечения приведённого в статье т.е. выполнить предыдущие пункты лечения иначе восстановить безопасный режим не получится, вирус уничтожит его снова)
После этого перезагружаем компьютер, при загрузке компьютера жмем клавишу F8 в появившемся списке выбираем "Безопасный режим"
Эх, жаль, что наткнулась на эту статью слишком поздно :( Однако, теперь антисекторский набор запасла впрок :D Не так страшен был WIN32 SEKTOR 17, как сколько заразы принеслось до того, как уникумы обнаружили что антивирь умер :( При сканирование жестака было обнаружено почти 3000 паразитов всех мастей. Благо, что самая важная информация записана на балванки, иначе можно было б удавиться
новых творческих начинаний в новом году!
У меня вот такой вопрос.. Мне легче форматнуть все нафиг с ноута, чем мучиться так.. Допустим мне нужно 40 Гб документов сохранить, и у меня есть внешний жесткий от другого(не зараженного) компьютера.. Как мне перенести все файлы на хард, не заразив при этом файлы на самом жестком диске..? Или всё же проще будет сделать так, как написано в вашей инструкции?
Все просто!
Насколько Вы знаете Sektor заражает пользовательские .exe файлы.
Поэтому копируйте все, кроме .exe и .scr файлов на сьемный хард.
Не забывайте что если вирус активен на зараженном компьютере то при вставке флешки или сьемного харда, sektor "прыгнет" к вам на флеш или хард, а если же на сьемнике еще будут и .exe файлы то заразит и их..
В общем....
Схема...
Загружаемся с Live CD (предварительно на выключенном компьютере или ноутбуке подключаем сьемный хард)
После загрузки Live CD копируем всю необходимую информацию на сьемный диск. Копируем все кроме .exe и .scr файлов!!!
Вот в принципе и все, пишите если что...
А ноутбук в принципе можно будет полностью после этого форматнуть, только оба раздела! После формата поставить систему, программы, и вернуть с сьемного харда (инфу)
Здравствуйте! После вируса как и вас остался .sys. Действительно ли спасет только переустановка винды (очень не хочется)? Чем может быть опасен этот руткит?
Ув. Аноним ваш вопрос:
Здравствуйте! После вируса как и вас остался .sys. Действительно ли спасет только переустановка винды (очень не хочется)? Чем может быть опасен этот руткит?
Ответ:
Что делает этот руткит, я так и не смог ни найти, ни разобраться. Мало ли что он может делать, лучше обновить Windows...
Спасибо большое!!!
А что делать, если не работает CD/DVD привод на ноутбуке? :(
Ув. Аноним ваш вопрос:
А что делать, если не работает CD/DVD привод на ноутбуке? :(
Ответ:
Пробовать делать загрузочную флэшку, благо как это сделать в сети информации очень много, соответственно ваше железо должно поддерживать загрузку с ремувэйбл (флешек) Необходимо зайти в биос вашего железа, и найти вкладку Boot или опцию, там необходимо выставить first boot device removable после этого сохранить и выйти из биос, и начать загрузку с флешки. Не забудьте на флешку накидать софта который указан в статье, весь софт можете сложить в папочку и назвать ее например 1
Далее провести лечение.
Уважаемый F@got@dmin,
сразу признаюсь, я далеко не продвинутый пользователь, так что уж не обессудь за серость))))
Ситуация у меня такая:
сидел у меня на компе Brontok, сидел и в принципе не мешал, просто создавал везде свои папки. Потом я снес систему, он пропал, но вскоре вернулся, видимо с флешки. И я так подозреваю что привел друга))) Т.к. AnVir показывал процессы бронтока и салити одновременно (при удалении появлялись вместе). Загрузить аваст удалось только при удалении всех непонятных процессов одновременно. Но аваст не успел убить вирус полностью, вирус его победил первым. Я отформатировал системный диск, со второго удалил все программы, экзешники и дистрибутивы (до форматирования). Остались только doc-и и мр3. На новую систему установил аваст и прошелся им по второму разделу. Он засунул в карантин половину файлов doc (типа заражены салити), которые мне оооочень нужны. Вобщем я их восстановил и кинул на болванку. Проверил комп тремя антивирусами - вроде чисто. Потом увидел этот блог. Короче говоря вопросы следующие:
1. Можно ли вылечить мои документы и опасны ли они вобще?
2. Где я дурак?))))
Спасибо за познавательную статью!
Ув. crimami@mail
Уважаемый F@got@dmin,
сразу признаюсь, я далеко не продвинутый пользователь, так что уж не обессудь за серость))))
Ситуация у меня такая:
сидел у меня на компе Brontok, сидел и в принципе не мешал, просто создавал везде свои папки. Потом я снес систему, он пропал, но вскоре вернулся, видимо с флешки. И я так подозреваю что привел друга))) Т.к. AnVir показывал процессы бронтока и салити одновременно (при удалении появлялись вместе). Загрузить аваст удалось только при удалении всех непонятных процессов одновременно. Но аваст не успел убить вирус полностью, вирус его победил первым. Я отформатировал системный диск, со второго удалил все программы, экзешники и дистрибутивы (до форматирования). Остались только doc-и и мр3. На новую систему установил аваст и прошелся им по второму разделу. Он засунул в карантин половину файлов doc (типа заражены салити), которые мне оооочень нужны. Вобщем я их восстановил и кинул на болванку. Проверил комп тремя антивирусами - вроде чисто. Потом увидел этот блог. Короче говоря вопросы следующие:
1. Можно ли вылечить мои документы и опасны ли они вобще?
2. Где я дурак?))))
Ответ:
Пролечите свою систему по моему методу, изложенному в статье.
При скане Dr.Web Cureit! выставьте в настройках зараженное > лечить.
Будут еще вопросы пишите.
P.S.
Всегда для лечения любого вида и типа вредоносных программ используйте Dr.Web Live CD и все у вас будет хорошо.
Для себя прочтите (очень рекомендую) мою статью "Как лечить вирусы или простейший способ лечения вирусов"
P.P.S.
Вы нигде не дурак, просто не знали, вот если бы знали но не сделали вот тогда... :)
To crimami@mail
Если Вы уверены, что ваша система чиста, (хотя я бы ооочень рекомендовал просканить систему загрузочным диском Dr.Web Live CD)
Поступите следующим образом, скиньте ваши документы в отдельную папку под названием например 1, в этой папке ничего не запускайте :) запишите на чистой машине на CD болванку Dr.Web Cureit! выставьте в настройках зараженное > лечить.
Просканьте Cureit! эту папку, после лечения пользуйтесь наздоровье :)
To crimami@mail
Странно что Sality как Вы сказали заразил файлы формата *.doc Вы уверены что это так?
Насколько я знаю, он заражает файлы с расширением *.exe *.scr
Как по мне - тема раскрыта четко, спасибо за пост!
Хехе… Мда… Таким взглядам и отношению к работе многие только будут завидовать! Молодцом!
Я люблю свою работу :)
Пишите :)
Занятно пишете, жизненно. Все-таки, для того, чтобы делать по-настоящему интересный блог, нужно не только сообщать о чем-то, но и делать это в интересной форме:)
Я вам скажу так :) нужно просто любить свою работу, и если это условие будет соблюдено, и например если Вы заходите создать свой блог на рабочую тематику, он будет интересен читателям, так как Вы вложите в него свою душу и любовь :)
Я это уже на другом сайте видел, но все равно спасибо.
Ув. Аноним если Вы видели статью именно такого содержания, дословно, то ее написал я. Мне интересно, а где Вы ее видели еще кроме как на моем блоге?
Вчера подруга скинула на мыло адрес вашего сайта. Но я не придал особого значения, я сегодня зашел и понял что она была права - сайт действительно СУПЕР!
Хорошая статья, узнал много нового!)
У автора очень приятный слог
Отлично!!! Вместо книги на ночь.
Можно ли взять одну картинку с Вашего блога? Очень понравилась. Линк на Вас есстественно поставлю.
Спасибо за статью.
Ув. Аноним ваш вопрос:
Можно ли взять одну картинку с Вашего блога? Очень понравилась. Линк на Вас есстественно поставлю.
Ответ:
Конечно берите :)
Спасибо уважаемые читатели, за добрые слова. Я стараюсь писать качественно и не хоть бы как.
Рад что вам понравилось :) Для меня это награда за свой труд :)
Супер статья! Подписался на RSS, буду следить =)
Отличный пост, прочитала с удовольствием! Не плохое начало. Удачи в дальнейшем!
Без преувеличения можно сказать, что пост тему раскрыл на все 100.
А если сектор "был пойман за руку" и убит в процессах (в течение 5 минут после авторана с флехи).
много ли он мог напортачить (таскмэн и регедит в дауне, в реестре прописались лишние пункты контекстного меню, флехи с вирусом не открываются (вместо этого стартует какой-то заменитель блокнота akelpad (инфицирован сектором)) (в контекстное меню сменных носителей добавилась строка "AutoPlaY" она стартует тот же akelpad, клики по "Проводник" и "Открыть" по последствиям аналогичны клику по "AutoPlaY"))
Фул чистка
и
Реинстал
мне в руки?
(перегруз системы с момента заражения ещё не проводился, в процессах
ПОДОЗРИТЕЛЬНОЙ активности не выявлено (все стандартные, систему не грузят, список подгружаемых библиотек разве что не проверял :) ))
процесс снимал через xplorer.exe
P.S. статья найс!!! ))))
To Люц
То что Вы описали, это пример активного заражения, степень которого, я думаю понимаете.
Что делать? Ну например оценить степень заражения. Для этого выполняете по пунктам:
1)Ищете 100% чистую машину
2)Идете по ссылке http://support.kaspersky.ru/downloads/utils/salitykiller.zip
3)После скачки данного архива, распаковываете его и содержимое записываете на CD диск (обязательно только так!!!)
4)Вставляете записанный диск в зараженную машину и запускаете на исполнение записанный файл.
5)Ждете пока он делает свою работу, не мешаете.
6)По отчету будет видно где и сколько он нашел этой гадости.
7)Если будет заражен хоть 1 *.EXE файл, моя статья вам в помощь.
8)Мое мнение по тем симптомам что Вы описали, что заражение ОС произошло в полной мере.
9)Решать вам, и если будут еще вопросы, пишите...
To Люц
P.S. Заражение данным видом вируса происходит в считанные секунды. Так что думаю вам необходимо проводить лечение в полной мере.
идиотский вопрос: с какой целью вирус заражает *.ехе? что дальше? если он так себя защищает, то явно что-то не хорошее задумал :)
To Олег
Этот вирус типа Parasitic (паразитический)
Этот тип вирусов внедряет вредоносный код в заражаемый файл так, что работоспособность файла не нарушается полностью или частично. Вредоносный код может прописываться в начало, середину или конец кода исходного файла Прописывание вирусного кода в начало исходного файла происходит двумя методами:
1) вирус перезаписывает код начала файла в конец, а вирусный код внедряет в начало,
2) вирус присоединяет код файла-жертвы к своему коду.
При запуске заражённого файла-жертвы управление получает первым вирус. При этом, чтобы исходный файл нормально или близко к этому функционировал, вирус может временно восстановить этот файл или продублировать запуск файла с исходным кодом, либо восстановить код файла в памяти операционной системы.
При прописывании зловредного кода в конец исходного файла вирус модифицирует начало кода файла так, чтобы первичными командами являлись вирусные команды.
При внедрении своего кода в середину исходного файла, вирус может перенести часть кода файла или, как бы раздвинуть его, или прописаться в неиспользованное компилятором пространство, отведённое для текстового сообщения. При этом может произойти сжатие первичного кода файла, чтобы не изменился его первичный размер.
Кроме этого еще выполняет те инструкции которые в него вложил создатель.
to FagotAdmin
Тоесть, что создатель в него вложил достоменно неизвестно?
За изложенный принцип работы Спасибо :)
To Oleg
почему же, известно
http://www.securelist.com/ru/descriptions/7343003/Virus.Win32.Sality.aa
Подробное описание его работы.
Не получилось у меня запустить VvpTool. Вроде все по инструкции делал. Руки тоже растут как надо, кажется :). Говорит длл какого-то не хватает. вот.
Я вместо этого пункта пробую лайфсиди от каспера. Посмотрим, что получится.
To Олег
Конкретно какое название длл?
После так сказать распаковки авп тул все содержимое скопировали и записали? ничего не упустили?
To Олег
Да лайв СД от Касперсского подходит в этом пункте.
Добрый день! У меня такая ситуация, NOD определяет sality вирус, начинает заражать exe файлы, причем все антивирусники работают, и вся система работает как обычно и ничего не глючит, я делаю откат системы на пару дней назад и почему то те exe файлы которые NOD уже удалил, потому что они заражены, снова работают например winamp.exe acdsee.exe.Делаю проверку Cureit , ничего не находит, avast нашел порядка 40 зараженных sality файлов в папке system volume information, salitykiller тоже ничего не находит. Как то странно все это, система не тормозит и не глючит, все антивирусники нормально сканируют и ничего так больше и не нашли. Что дальше то делать???
Мне даже кажется я знаю в чем Вы допустили ошибку. Те перечисленные утилиты, такие как Cureit, SalityKiller Вы запускали с компьютера? А нужно на чем? Либо записать на чистой машине на болванку эти утилиты и запускать с болванки, не копируя их куда либо на жесткий диск, либо с флешки с переключателем на запрет записи (у меня такая) Так как если вышеупомянутые утилиты запускать на зараженной машине, например с рабочего стола, то вирус заражает их и не дает нормально пролечить систему! А вообще то говорю в который раз лечите систему от данного зверя так как я написал в своей статье! И не иначе! По пунктам ничего не пропуская! Если я в чем то не прав поправьте меня...
Пардон. Я уже забыл, что о длл-ке должен был написать :).. Хотел у меня он FLTLIB.DLL ... Вот.
Сам столкнулся с такой проблемой, помогло следующее: переустановил Windows с форматированием диска, установил касперский, полностью обновил и несколько раз прогнал полную проверку
Интересная статья,недавно столкнулся с этим вирусом вроде один заражёный комп вылечили,правда говоря немного "покривому",надеюсь с помощью вашей статьи спасём уже нормально ещё один:)Но есть вопрос(мало опыта в борьбе с такими вирусами)возможно ли заражение ехе файлов находящихся в различных архивах и образах?
Вопрос:Возможно ли заражение *.ехе файлов находящихся в различных архивах и образах?
Ответ: Только если на момент упаковки файлов в архивы, система была уже заражена. Если архивы и образы создавались до заражения, и вы в этом уверены на 100% тогда нечего бояться. Файлы архивов этот вирус не заражает, как и файлы образов.
Есть другой способ избежать этого) установите linux и радуйтесь)
Ну, не то чтобы супер, но на твердую четвёрку точно!
РАБОТАЕТ ЛИ ЭТОТ СПОСОБ ДЛЯ SEKTOR 21 ???
Я думаю что после такой тотальной зачистки у любого вируса даже самого страшного файлового вируса шансов не останется.
Подскажите, какие пункты посоветуете выполнить, если был отформатирован диск с виндой, а по остальным прошелся CureIt. Вирус - sector 4, форматировал Partition Magic'ом
Вопрос:
Подскажите, какие пункты посоветуете выполнить, если был отформатирован диск с виндой, а по остальным прошелся CureIt. Вирус - sector 4, форматировал Partition Magic'ом
Ответ:
На ЧИСТОЙ машине скачиваете и кидаете на флешку утилиты.
"Sality_Off"
http://support.kaspersky.ru/faq/?qid=208636131
"AvpTool"
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную вами папку, например на рабочем столе, после этого кидаем папку с программой на флешку. НА ЧИСТОЙ МАШИНЕ!!
После того как эти утилиты Вы скачали на ЧИСТОЙ МАШИНЕ!!! и кинули на флешку. При ВЫКЛюченном компьютере вставьте флешку в USB и загрузитесь из под любого Live CD
После загрузки диска
Заходим в любую папку, кликаем сервис> свойства папки > вкладка "вид" ставим галку на "Отображать содержимое системных папок", убираем галку на "Скрывать защищенные системные файлы", ставим галку на "Показывать скрытые файлы и папки".
Заходим в корень каждого локального жесткого диска и ищем папку в корне, с названием System Volume Information заходим в нее и удаляем все ее содержимое. Там же, на разделах, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое. Сначала первое потом второе.
Потом, просканируйте по очереди сначала первой а потом второй утилитой на флешке, разделы с информацией.
Сделать это просто заходим при загруженном Live CD в Мой Компьютер, и там Вы увидите флешку. :)))
Настройки AvpTool
Копируем папку с AvpTool с диска, на рабочий стол. Если не получается на рабочий стол то можно на флешку и запустить ее с флешки. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол или флешку программу, изменяем настройки. Максимальный эвристический анализ "детальный" жмем ОК, Сканировать все файлы, жмем ОК в разделе "действие" ставим галку "запросить по окончании проверки" жмем ОК. Для сканирования ставим галки, на всех разделах локального жесткого диска, и жмем кнопку "поиск вирусов".
Огромное спасибо за мануал, убил эту гадость у себя, сейчас у друзей убиваю))
Столкнулся с ошибкой при запуске AVP tool, описанной выше. Ругался на FLTLIB.DLL. Нашел его в windows/system32. Так что при записи на диск установленного avp tool, необходимо также кидать и эту длл.
Не кидать и записивыть на диск, а просто если из под лайв СД загрузились то просто кинуть папку на рабочий стол и все, программа сама подтянет после запуска.
и отключаем восстановление системы.
э..как это сделать?...
и ещё.читал где-то, что что бы предотвратить инфицирование флешки, можно на ней сделать autorun.inf
если это не так, от как избежать инфицирования флешки и можно ли ставить ОС с диска, купленного в магазе(не лиц.,но пашет и обновляется, благодаря ключу на диске)
Как отключить восстановление системы http://support.microsoft.com/kb/310405/ru
От файлового вируса autorun.inf не поможет на флешке, поможет в случае флешки только переключатель на запрет записи на нее, это поддерживает не каждая флешка, но у меня есть такая от компании PQI на ней просто переключатель на запрет записи.
На диске вирус инфу не сможет тронуть, но установленную ОС если вирус полностью не пролечен то покоцает заново, и снова вам придется работать.
а если переключателя нету, можно ли избежать инфицирования или полностью вылечить её в дальнейшем?
Тогда например загрузитесь с любого Lve CD при уже вставленной флешке, и впринципе можно избежать заражения флешки таким образом.
А вылечить после этой гадости можно вот только многие из программ после лечения не будут работать.
И при случае с Live CD упаси вас Бог запустить какой либо *.exe файл на разделах жесткого диска. Тогда заразите флешку.
проблема в том, что все файлы на флешке друга...
что мне придётся сделать для лечения?(такой уж я нуб...)
тоесть, если я не запущу ниодного ехе, то флешке будет чиста?
с флешки просто скопируйте все файлы кроме exe и scr
Пролечить зараженную флешку просто, вставьте компьютер и просканируйте своим антивирусом при этом не открывая флешку. При вставке флешки держите зажатой клавишу SHIFT
для чего держать шифт?
после сканирования флешки скопируйте нужные файлы кроме файлов с расширением exe и scr и после того отформатируйте флешку.
их набора программ для борьбы с этим вирусом есть программы с ехе и scr?
нод сможет вылечить флешку от этого проказника?
ещё вопрос:передаётся ли этот паразит через торренты, и могу ли я безопасно для других раздавать?
Расширение программ .*exe подумайте немного, есть ли среди набора лечения, программы с таким расширением? По поводу торрента, Вы можете раздавать все кроме файлов с расширением *.exe и *.scr тоесть все кроме программ и скринсейверов.
Иначе в противном случае заразите просто людей. А заразиться от скачки из торрента можете только если скачаете зараженный файл этой заразой, с расширением *.exe и *.scr тоесть программы и скринсейвера.
To Gpef
1) да
2) Нифига не понял, вам нужно запустить перепакованный лайв сд
согласно написанному в статье.
3)Запуск лайвс сд прост там просто прес ту эникей...
4)Вы не думали что ваши игры заражены, и что после лечения они не будут корректно работать? Сохраните сейвы с игры, а все остальное сносите и форматируйте согласно статье. Мой вам совет если важного на разделе С\ нет то форматируйте и устанавливайте виндовс.
5) Это действие вредоносной программы, система заражена, вот на флешку и прыгает.
Пишите, но обдумывайте более детально свои вопросы, для того что б я мог более конкретно и детально на них отвечать.
Действуйте в точности с описанным методом в статье.
Статья подходит для лечения всех вредоносных программ в мире...
Есть подозрение,что я заразился SEKTOR 17,потому что качал файл ,через торрент ,а там заразились многие.Есть вопросы :
1.У меня NOD 32 мог ли он предотвратить заражение?
2.На предположительно зараженный комп ,скачал и проверил с помощью Dr.Web CureIt подозрительную загрузку - ничего не нашел. Мог ли сектор 17 заразить утилиту DrWeb таким образом ,что она на него не реагирует? И мне стоит попробывать записать ее на болванку на другом компе.
3. Мог ли вирус "перебежать" в другое место оставив чистым ту подозрительную закачку?
To Gpef
http://forum.3dnews.ru/showthread.php?t=53712
да оно качайте.
Сколько раз можно писать особо одаренным!!!
В данном случае с этим вирусом сканировать только утилитами записанными на болванку!!
ппц... ппц...
NOD 32 не самый хороший авер.
ДЕЙСТВУЙТЕ СОГЛАСНО ОПИСАННОМУ МЕТОДУ В СТАТЬЕ!! ЧИТАЙТЕ КОМЕНТАРИИ!! ЧИТАЙТЕ ВНИМАТЕЛЬНО СТАТЬЮ!!!
У меня есть зараженная флешка этим вирусом, как её вылечить? Файлы которые на ней, не важны, можно удалить.
А может и важны файлы.. Я вспомнил что у меня ещё одна флешка заражена этой пакостью)) Как лечить эти флешки..?
To A_Nester
Если информация на флешке не важна, удерживайте shift вставляйте флешку, и... Форматируйте ее.
Если информация важна, определитесь какая, если .EXE файлы или .SCR то забудьте о них если файлы с расширением .JPEG .DOC .TXT то
1) Просканируйте флешку вашим антивирусом с последними антивирусными базами.
2) Прочитайте статью написанную мной
http://antivirusfagot.blogspot.com/2009/06/viruswin32salityaa.html
Здравствуйте.
С AvpTools проблемы. При нажатии на Старт не происходит совсем ничего. Хватит ли cureit'a и salitykillera? Сижу на пункте 8, жду вашего ответа!
c ув.
Скиньте АВП тулл на рабочий стол (после загрузки лайв СД) или при выключенной оси втыкаете флешку на которую установлено АВП тулл) и запускаете лайв СД потом после загрузки запускаете АВП тулл с флешки но такой вариант запуска только при использовании лайв СД
Здравствуйте снова. Извините, я плохо в этом всем разбираюсь. Вообще никак :(
Расскажу по порядку.
Когда я подготавливала к записи образ Hiren's, я установила на рабочий стол чистой машины AvpTool, после этого записала указанной Вами программой UltraISO. Подключаю к своему зараженному ноуту. Все отлично. CureIT сканирует, находит заразу, Salitykiller сканирует, уже ничего не находит. Пытаюсь копировать AvpTool, мне пишут "Delete one or more file to free disc space" и выскакивают кнопки "Disk Cleanup" "OK". Но у меня на C 10 гигов свободных и на D два, и писала я сам диск на двд, а не сд. Ну, я нажимаю Disk Cleanup все копируется, но может поэтому AvpTool и работает неправильно. Не могу понять, что дальше делать... Сижу, тупо загружаюсь, то в обычный режим, то с Лайфа, гоняю куреитом и киллером, но они уже ничего не находят... Но не хотелось бы пропустить хоть что-то.
Можно еще вопрос? Если я выходила в иннет с кпк, он тоже заражен? Виндоуз Мобайл на кпк (htc). Копытом набиваю сейчас с него, поэтому так сбивчиво. Вообще у меня и другие вопросы есть.
Заранее спасибо за ответы!
для кпк он не опасен )))
АВП тулл установите на флешку, вставьте ее на потушенной машине, запустите лайв СД, после запуска лайв СД с флешки запустите АВП тулл.
КПК не заражен? А я его уже собралась перепрошивать! В самом деле? Но там же тоже виндоуз и куча exe-ешек! Ну, я так думаю :) Ворд, Ексель и все такое. Но не хотелось бы перепрошивать кпк, да...
Извините, что я такая настойчивая, зовите меня блондинкой, но я в панике. Мне в понедельник нести флэшку к заказчику и если я заражу его предприятие, это будет что-то. И еще меня волнует мой рабочий комп.
Когда я еще не знала, что мой ноут заражен, я воткнула в него флэшку, скопировала с него txt-файл и считала его на рабочем компе. Когда стало ясно, что ноут заражен, я с чистого компа загнала на болванку cureit и начала прогонять в безопасном режиме (cureitа, а не в вообще безопасном компа, мне вообще безопасный компа недоступен) на рабочем компе. Где-то треть линеечки прошло и выпал синий экран. При перезагрузке винда попросила восстановить систему, я восстановила. Все работает. Я пошла к нашим безопасникам и сказала, чтоб они вытащили винт и прогнали его на чистом компе, но они сказали мне скопировать все данные (а среди них есть и exe-шники) к себе куда-нибудь, а они отформотят все, переустановят ОС и все будет нормально. Когда я сказала, что вирус заражает exe-шники, они просто надо мной посмеялись, сказали, что ни один вирус ничего такого не делает, вирусы просто портят системные файлы. Доказать им ничего не удалось. Помощи от них ждать не приходиться. Но один из них пришел и все проверил AVZ, которое я потом у вас в статье увидела. AVZ отработал, ничего не нашел.
Рабочий комп: диспетчер работает нормально, в реестр пускает, в безопасный режим и System Volume Information - нет, но это может быть и ограничение наших безопасников. Идти к ним это выяснять я не хочу, опять похохочут и ничего не скажут. Быстрая проверка в обычном режиме свежим Curit'ом показала, что все чисто. Я скинула все свои данные включая exe на свежекупленную флешку и прогнала Curit'ом ее. Тоже все чисто. Но мне с этой флэшкой идти в понедельник к заказчикам, так что я распечатала Ваш метод по избавлению от вирусов с флэшки и хочу за эти выходные дни найти чистый комп и на нем проверить.
У меня вопросы:
1. Мог ли мой рабочий комп заразиться из *.txt? Я так понимаю что очень мог. Не в txt же дело. Но почему его так спокойно (с диска!) просанировать cureIT
2. Как и чем мне рабочий комп еще проверить при таких вот условиях? Я хочу вебовский ЛайфСД запустить.
Заранее большое спасибо!
этот вирус тхт не заражает.
Прочтите внимательно комментарии в этой статье и многое станет понятно.
В этой ситуации в идеале подойдет лайв СД с утилитами указанными в стаье, как чистить флешку, есть статья на этом блоге, да и в коментах в этой статье как чистить флеш от этого вируса.
Вы думаете кпк заражен?? каким образом??
Кслову, этот вирус кроме действия как файловый вирус производит заражение еще и с помощью файла запуска авторан инф, создайте пустой архив вин рар и откройте через него флешку, всякие рециклеры папки и авторан инфы удалять, флеш просканировать нормальным антивирусом с последними базами, за ехе забудьте даже после лечения работают только 50%
txt он не заражает, но (я так понимаю) саму же флэшку заражает, даже, если скопировать txt. То есть... Вот я вставила флэшку в зараженный комп, потом тут же вставила в рабочий и открыла txt. Неважно, на самом деле, что я открыла. Я вставила зараженную флэшку.
Как можно заразить кпк? Ну там же синхронизация постоянная... То есть, кпк воспринимается компом, как любой носитель и заражаеться так же. Как флэшка. Когда кпк подключается по кабелю, он уже, как флэшка... Нет?
создайте пустой архив вин рар
Извините, не поняла, можно по шагам :)
рециклеры папки
А это что значит?
флеш просканировать нормальным антивирусом с последними базами
Это да!
за ехе забудьте даже после лечения работают только 50%
Плохо :( Ну, что ж...
с уважением
Извините за тупой вопрос. Ну то есть если я с флэшки запустила только txt, даже если сама флэшка заражена, комп не заразится? Флэшка до этого врубалась в 100% зараженный комп на пару секунд. Но Авторан же по идее подействует и так и так? Или нет? извините еще раз.
при вставке флешки в комп она заражается.
По поводу кпк, на чистой машине подключите кпк, просканьте его антивирусом, только ничего не запускайте на самом кпк
детальнее почитайте статью как удалить с флешки вирус.
ехе файлы скорее всего заражены на флешке, не рискуйте, хотя если очень нужно просканьте флешку мимнимум 2 антивирусными програмами.
зайдите на кпк и то что там увидите выделите и просканируйте антивирусом.
Если на компе не вырублен авторан, то заражение идет в секунды, после открытия флеш.
Добрый день Подскажите пожалуйста этот способ лечения компа подойдет для лечения нескольких компов в сети, путем поочередного лечения (т.е. не отключать все компы компы от сети, а лечить каждый поотдельности)???
LEX да можно так, но только в том случае, если на компьютере после лечения установлен нормальный антивирус с последними базами. Не забывай за файлопомойки в сети, и о том что вылеченный компьютер может полезть на зараженную файлопомойку и если не будет нормальной защиты то заразится снова. Есть один метод, так сказать одновременного лечения сети, вообще за такие советы wmz берутся но ладно.... Утилиту "Sality_killer" с помощью GPO групповой политики подвешиваешь на старт на каждый хост при старте.
здравствуйте!
до пункта 5 сделала все четко.
на 5-ом зависла. запускаю cureit, вылизит предупреждение,что другие программы работать не могут, пока работает cureit, я жму ок....и все. далее черный полупрозрачный экран и зловещие песочные часы....так я прождала часов 8 ...поспала,действительно))))
Здравствуйте. У меня такая проблемка стоит антивирус аваста и просит постоянного обновления а когда обновляешь она пишет ожидайте выполняеться инициализация и так целые сутки что делать подскажите
Для начала прочтите статью
http://antivirusfagot.blogspot.com/2009/10/blog-post_27.html
Если после проверки вирусы будут найдены и уничтожены, необходимо будет переустановить антивирусную программу.
Антивирусу могут мешать обновиться вирусы на ПК.
Если же проверка покажет что вирусов нет, то также необходимо переустановить антивирусную программу.
Деинсталяцию антивируса необходимо производить программой от разработчиков данного антивируса aswclear5.exe
А уж потом заново скачать дистрибутив антивируса с официального сайта и установить его заново.
Можно удалить данный вирус проще.
Для начала загружаемся с загрузочного диска с WinXP, а еще лучше с Linux. Копируем всю необходимую инфу в другой раздел. Форматируем раздел с операционной системой. Для надежности можно временно сделать скрытым раздел где хранится наша информация. Установить ОС, скачать и установить kaspersky antivirus обновить. Потом отменить скрытие раздела. И уже антивирем почистить ваши данные. Я так делаю. Это во первых быстрее, и эффективнее. Ибо как я понял ОС уже мертва для работы. Для чего ж тогда всю ее проверять? Проверка и очистка системы занимает от 2 до где то 5 часов, а переустановка и очистка часа три от силы.
Очень хорошая статья, спасибо! Помогите мне, пожалуйста, у меня вирус win32.sector12 (я прочитала,что все эти вирусы аналоги - Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 и что это модификации вируса win32.sality.aa)я поставила на полную проверку на вирусы доктора веба, он вроде бы как вылечил все (он работал нормально на компьютере). Действительно ли он все вылечил, достаточно ли этого и нужно ли делать что-то еще (то, что описано в статье я не делала, т.к. не знала, а поставила сразу на проверку)? Подскажите, пожалуйста, хрупкой девушке, пытающейся разобраться с этой трудной задачей))))))
мне не нужна информация на зараженном компе. Как отформатировать все диски? Напишите подробно для супер чайников
Обратитесь к знакомым которые знают чуть лучше компьютер чем Вы.
Отправить комментарий