Форум АНТИЧАТ - Virus.Win32.Sality

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)

- - Virus.Win32.Sality (https://forum.antichat.xyz/showthread.php?t=100722)

Virus.Win32.Sality

Друг подхватил такую заразу как я понял что это Sality не открывается диспетчер задач (Выдает то что Отключен администратором) и так же запрешено редактирование реестра!? Кто сталкивался кто что посоветует!? Какие сканеры вирусов метод борьбы с ним !??

http://notes.rudomilov.ru/2008/07/08/borba-s-virusom-virus-win32-sality-z-win32-sector-5-win32-sector-7/

Походу сейчас эпидемия этого вируса.
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=153954

Цитата:

Сообщение от NeXArmAor

Походу сейчас эпидемия этого вируса.
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=153954

Да это ППЦ какайто у всех моих знакомых в округе у всех такая лажа!

Я до сих пор не избавилсо...а вообще-Формат С,переустановка винды,проход свежей винДы утилитой Sality_Off и CureIT

а я избавилсо))

мне помогал Касперский интернет секурити, хотя Салити бьет его

мне AVZ помог

Цитата:

Сообщение от MVadim

а я избавилсо))

Каким способом!?

https://forum.antichat.ru/threadedpost1051709.html#post1051709

пробуй может что нибуть получиться

Способы на которые давали линки не принесли результатов! При попытки открыть любую программу выскакивает окошко "Открыть с помощью" и ещё такой вопрос как записать антивирус на загрузочный диск что бы почистить из под винды!И какие ещё способы борьбы есть с этой дрянью !?

когда выскакивает "Открыть с помощью" ищи там ту прогу которую запускаешь! ей же открывай,и все нормально запуститься

у меня было тоже самое...мно помог AVZ!!

Цитата:

Сообщение от MegaEGG

Мне не помогло ! Так же как и AVZ причем там базы последние были!

-=MeDved=-, ты хоть в безопасном режиме это делаеш? =\
А ваще вот говорят переустановить венду и фсё, даж C: форматнуть, так эта дрянь (хотя судя по описанию не эта) пишется в авторан дисков и ты переустановиш венду, зайдёш на диск D: и сё, он запускается и всё снова + онже ещё в exe файлы пишется а это ваще ппц, никуда не денешся, поэтому тута хз, нужно сначало чистить комп антивирями, но эта гадасть не даёт =\ Значет переустановить/форматнуть надо, но 1 неправельный шаг потом (открытие диска/запуск exeшника) и всё снова, поэтому надо переустановить и очень очень осторожно скачать антивирь и почистица, я надеюсь понятно объяснил :)

Цитата:

Сообщение от Ponchik

Во первых в безопасный режим не заходит редактирование реестра не доступно и переустанавливать систему вообше не вариант
P.S. Думаю записать авирь на загрузочный диск и почистить на вири только как это сделать Х3

Прошу помочь поэтому АП!

Есть что наподобие AVZ ?

Отсоедини жестак он компа и зделай так !
Возьми жестак и постав його дополнительним до другого компа и попробуй проверить разними антивирами или просто скопируй дание и форматни !

Цитата:

Сообщение от Rebit

Нет это тоже не вариант!!так как гарантия на компе!

Цитата:

Сообщение от -=MeDved=-

Нет это тоже не вариант!!так как гарантия на компе!

И так как мне кажется:
раз ты не имеешь доступ ни к реестру ни к деспечеру задач, значит права заниженны (что показывает и запрос на установку от юзера), откат системы наверное неработает ? , заход под админом в безопасном как я понял тоже не помогает \\эх надо было сразу сидеть с ограниченными правами пользователя, половину бы избежал :) ;) , но сейчас поступаем так:
устанавливаем поверх винду ещё одну без изменения файловой системы \\ советую зверя \\ дальше создаём гостевую запись, ставим просмотр скрытых папок, я обычно пользуюсь фаром или тотал командером, из под гостевой записи устанавливаем антивирусник, или же скачиваем AVZ и запускаем под пользователем администратора(запуск от ....) (всё это в новой винде) проверили AVZ, устанавливаем какспера после проверки, проверяем ещё раз, и уже потом возвращаемся к старой винде и смотрим что там ...
и ещё посмотрю юзвирей на данной \\заражённой винде\\ может новый какой появился :) ...
непоможет, скинь мне вирус я на втором ноуте попробую на него глянуть и что можно сделать...

КИС 2009 с новыми базами нахолит его убивает но толку мало, реестр все равно с диспетчером задач не достурен и он еще сидит где то в трее

Цитата:

Сообщение от tecca555

и он еще сидит где то в трее

Ага, между часами и языковой панелью :rolleyes:
---------
Ктотож показывал ссыль на прогу каспера по удалению этого виря, она кагбе специально для этого, пробовал?

Цитата:

Борьба с вирусом VIRUS.WIN32.Sality.z (win32.sector.5, win32.sector.7)

Последние несколько месяцев в Рунете свирепствует вирус, который Kaspersky определяет как VIRUS.WIN32.Sality.z, а Dr. Web - win32.sector.5, win32.sector.7 (подробное описание). Даже у опытных пользователей его уничтожение вызывает трудности. Я же приведу простой и эффективный способ.
Симптомы
Большинство программ перестают работать и "вылетают" с критической ошибкой
Загрузка в безопасном режиме невозможна - вирус портит ветки реестра
Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
Значительно снижается производительность компьютера
Лечение
Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN - любые сетевые подключения. Просто выдергиваем кабель.
Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой - дабы вирус не мог испортить программу. Если испортит - вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен "Безопасный режим".
Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
Перезагружаемся в обычном режиме.
Вновь проводим полную проверку.
Устанавливаем нормальный антивирус со свежими базами.

линк http://notes.rudomilov.ru/2008/07/08/borba-s-virusom-virus-win32-sality-z-win32-sector-5-win32-sector-7/

2.
http://info.drweb.com/virus_description/172448

Цитата:

Win32.Sector.5

Добавлен в вирусную базу Dr.Web®: 2008-04-17 19:41:10

Тип вируса: Файловый вирус

Уязвимые ОС: Windows

Размер: 57 344 байт

Упакован: —

Техническая информация

При своём запуске переводит Internet Explorer в режим online:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
\Internet Settings\
GlobalUserOffline=0

Отключает User Access Control в Windows Vista:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
\policies\system
EnableLUA=0

Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall
SYSTEM\CurrentControlSet\Services\SharedAccess\Par ameters
\FirewallPolicy\StandardProfile\AuthorizedApplicat ions\List
"c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec"

Для хранение своих настроек создаёт ключ в реестре:
HKEY_CURRENT_USER\Software\<имя пользователя>914

Добавляет в system.ini случайное значение
[MCIDRV_VER]
DEVICEMB=116402342188

Внедряет свой код в память всех активных процессов.

Удаляет ветки реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control \SafeBoot
после этого загрузка в Безопасный режим невозможна.

Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку и файлы наиболее часто запускаемые в системе.

Не заражает системные файлы и файлы в папках содержащих в имени "SYSTEM" или "AHEAD".

В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:

"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
"ANTIVIR"
"ANTS."
"APVXDWIN."
"ARMOR2NET."
"ASHAVAST."
"ASHDISP."
"ASHENHCD."
"ASHMAISV."
"ASHPOPWZ."
"ASHSERV."
"ASHSIMPL."
"ASHSKPCK."
"ASHWEBSV."
"ASWUPDSV."
"ATCON."
"ATUPDATER."
"ATWATCH."
"AUPDATE."
"AUTODOWN."
"AUTOTRACE."
"AUTOUPDATE."
"AVCIMAN."
"AVCONSOL."
"AVENGINE."
"AVGAMSVR."
"AVGCC."
"AVGCC32."
"AVGCTRL."
"AVGEMC."
"AVGFWSRV."
"AVGNT."
"AVGNTDD"
"AVGNTMGR"
"AVGSERV."
"AVGUARD."
"AVGUPSVC."
"AVINITNT."
"AVKSERV."
"AVKSERVICE."
"AVKWCTL."
"AVP."
"AVP32."
"AVPCC."
"AVPM."
"AVAST"
"AVSCHED32."
"AVSYNMGR."
"AVWUPD32."
"AVWUPSRV."
"AVXMONITOR9X."
"AVXMONITORNT."
"AVXQUAR."
"BACKWEB-4476822."
"BDMCON."
"BDNEWS."
"BDOESRV."
"BDSS."
"BDSUBMIT."
"BDSWITCH."
"BLACKD."
"BLACKICE."
"CAFIX."
"CCAPP."
"CCEVTMGR."
"CCPROXY."
"CCSETMGR."
"CFIAUDIT."
"CLAMTRAY."
"CLAMWIN."
"CLAW95."
"CLAW95CF."
"CLEANER."
"CLEANER3."
"CLISVC."
"CMGRDIAN."
"CUREIT"
"DEFWATCH."
"DOORS."
"DRVIRUS."
"DRWADINS."
"DRWEB32W."
"DRWEBSCD."
"DRWEBUPW."
"ESCANH95."
"ESCANHNT."
"EWIDOCTRL."
"EZANTIVIRUSREGISTRATIONCHECK."
"F-AGNT95."
"FAMEH32."
"FAST."
"FCH32."
"FILEMON"
"FIRESVC."
"FIRETRAY."
"FIREWALL."
"FPAVUPDM."
"F-PROT95."
"FRESHCLAM."
"FRW."
"FSAV32."
"FSAVGUI."
"FSBWSYS."
"F-SCHED."
"FSDFWD."
"FSGK32."
"FSGK32ST."
"FSGUIEXE."
"FSM32."
"FSMA32."
"FSMB32."
"FSPEX."
"FSSM32."
"F-STOPW."
"GCASDTSERV."
"GCASSERV."
"GIANTANTISPYWAREMAIN."
"GIANTANTISPYWAREUPDATER."
"GUARDGUI."
"GUARDNT."
"HREGMON."
"HRRES."
"HSOCKPE."
"HUPDATE."
"IAMAPP."
"IAMSERV."
"ICLOAD95."
"ICLOADNT."
"ICMON."
"ICSSUPPNT."
"ICSUPP95."
"ICSUPPNT."
"IFACE."
"INETUPD."
"INOCIT."
"INORPC."
"INORT."
"INOTASK."
"INOUPTNG."
"IOMON98."
"ISAFE."
"ISATRAY."
"ISRV95."
"ISSVC."
"KAV."
"KAVMM."
"KAVPF."
"KAVPFW."
"KAVSTART."
"KAVSVC."
"KAVSVCUI."
"KMAILMON."
"KPFWSVC."
"KWATCH."
"LOCKDOWN2000."
"LOGWATNT."
"LUALL."
"LUCOMSERVER."
"LUUPDATE."
"MCAGENT."
"MCMNHDLR."
"MCREGWIZ."
"MCUPDATE."
"MCVSSHLD."
"MINILOG."
"MYAGTSVC."
"MYAGTTRY."
"NAVAPSVC."
"NAVAPW32."
"NAVLU32."
"NAVW32."
"NOD32."
"NEOWATCHLOG."
"NEOWATCHTRAY."
"NISSERV"
"NISUM."
"NMAIN."
"NOD32"
"NORMIST."
"NOTSTART."
"NPAVTRAY."
"NPFMNTOR."
"NPFMSG."
"NPROTECT."
"NSCHED32."
"NSMDTR."
"NSSSERV."
"NSSTRAY."
"NTRTSCAN."
"NTXCONFIG."
"NUPGRADE."
"NVC95."
"NVCOD."
"NVCTE."
"NVCUT."
"NWSERVICE."
"OFCPFWSVC."
"OUTPOST."
"PAV."
"PAVFIRES."
"PAVFNSVR."
"PAVKRE."
"PAVPROT."
"PAVPROXY."
"PAVPRSRV."
"PAVSRV51."
"PAVSS."
"PCCGUIDE."
"PCCIOMON."
"PCCNTMON."
"PCCPFW."
"PCCTLCOM."
"PCTAV."
"PERSFW."
"PERTSK."
"PERVAC."
"PNMSRV."
"POP3TRAP."
"POPROXY."
"PREVSRV."
"PSIMSVC."
"QHM32."
"QHONLINE."
"QHONSVC."
"QHPF."
"QHWSCSVC."
"RAVMON."
"RAVTIMER."
"REALMON."
"REALMON95."
"RFWMAIN."
"RTVSCAN."
"RTVSCN95."
"RULAUNCH."
"SAVADMINSERVICE."
"SAVMAIN."
"SAVPROGRESS."
"SAVSCAN."
"SCAN32."
"SCANNINGPROCESS."
"CUREIT."
"SDHELP."
"SHSTAT."
"SITECLI."
"SPBBCSVC."
"SPHINX."
"SPIDERML."
"SPIDERNT."
"SPIDERUI."
"SPYBOTSD."
"SPYXX."
"SS3EDIT."
"STOPSIGNAV."
"SWAGENT."
"SWDOCTOR."
"SWNETSUP."
"SYMLCSVC."
"SYMPROXYSVC."
"SYMSPORT."
"SYMWSC."
"SYNMGR."
"TAUMON."
"TBMON."
"AVAST"
"TCA."
"TCM."
"TDS-3."
"TEATIMER."
"TFAK."
"THAV."
"THSM."
"TMAS."
"TMLISTEN."
"TMNTSRV."
"TMPFW."
"TMPROXY."
"TNBUTIL."
"TRJSCAN."
"UP2DATE."
"VBA32ECM."
"VBA32IFS."
"VBA32LDR."
"VBA32PP3."
"VBSNTW."
"VCHK."
"VCRMON."
"VETTRAY."
"VIRUSKEEPER."
"VPTRAY."
"VRFWSVC."
"VRMONNT."
"VRMONSVC."
"VRRW32."
"VSECOMR."
"VSHWIN32."
"VSMON."
"VSSERV."
"VSSTAT."
"WATCHDOG."
"WEBPROXY."
"WEBSCANX."
"WEBTRAP."
"WGFE95."
"WINAW32."
"WINROUTE."
"WINSS."
"WINSSNOTIFY."
"WRADMIN."
"WRCTRL."
"XCOMMSVR."
"ZATUTOR."
"ZAUINST."
"ZLCLIENT."
"ZONEALARM."

Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit".

Cкачивает и запускает другие вредоносные программы из сети.

В зависимости от модификации может при помощи своего драйвера блокировать доступ к сайтам содержащим в названии:

"kaspersky"
"eset.com"
"f-secure."
"mcafee."
"symantec."
"etrust.com"
"trendmicro."
"sophos."
"virustotal."
"agnmitum."
"pandasoftware."
"bitdefender."
"spywareguide."
"windowsecurity."
"virusscan."
"ewido."
"spywareinfo."
"onlinescan."
"drweb."
"cureit."

Информация по восстановлению системы

Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
Восстановить Безопасный режим с использованием файлов экспорта соответствующих ветвей реестра, взятых с заведомо неинфицированного компьютера.

еще один момент - даже после переустановки системы, и сканирования обязательно проверяйте папки system volume information на предмет файлов формата "А00010.exe" ну и т.д...

а по существу у avz есть мастер поиска и устранения проблем..или же восстановление системы

Цитата:

Заблокирован диспетчер задач

Многие вредоносные программы применяют блокировку диспетчера задач в качестве меры самозащиты. В этом случае при нажатии Ctrl + Alt + Del вместо диспетчера задач отображается сообщение о том, что диспетчер задач отключен администратором.
Для восстановления работоспособности диспетчера задач необходимо выполнить "Файл/Восстановление системы", там отметить пункт 11 "Разблокировка диспетчера задач", после чего следует нажать кнопку "Выполнить отмеченные операции".
На заметку: Разблокировка диспетчера задач устранит последствие работы вредоносной программы, но не саму вредоносную программу. Поэтому в любом случае стоит произвести исследование ПК с целью поиска вредоносной программы, выполнившей блокировку диспетчера задач.

Симптомы: Заблокирован диспетчер задач
AVZ выводит в протоколе сообщение о том, что диспетчер задач заблокирован

ну и на пустой конец поставь какой -то нормальный антивирус - а тут на вкус и цвет - что ближе то и твое.

Спасибо большое!!!!!!!!

я добил этот вирус без формата дисков,ух с какой попытки!!!!!!
1)Сканил dr.web cureit,затем через AVZ восстановил диспечер задач и реестр
2)Но салити блочил cureit и сайты доктора веба,касспера и т.тд.
Я с дедика под архивом заливал на файлообменик(ставя на архив пасс,чтобы вирус не испортил и не дал заразиться),затем запускал его раз 10,в обычном режжимезатем через авз восстановил безопаснтный режим,оттуда сканил,потом антивирус добил его(доктор веб 4.42).Вот так я его поборол;)

http://webfile.ru/2547902 Sality_off ,залил на файлообменик,я его тоже юзал')

тема баянная...