Sality.Nau - тяжёлый бой с этим вирусом, нод помер, авз еле дышит...

[Sality]

Нод заметил этот вирус и начал детектить заражённые exe файлы, я их очищал, но толку мало, они появлялись один за другим. Нод вырубился и больше не запускается. Запуск авз не удался, окно постоянно закрывалось, помогло переименование exeшника в 111. Запустил скрипты согласно правилам, прилагаю их к сообщению. Компьютер постоянно перезагружается, поэтому сообщение пишу поэтапно.
HijackThis не пашет - лог приложить не могу, поиск по этому форуму, если вписать sality тож не пашет (пришлось искать по форуму через яндекс, но ничего толкового не нашёл).

[V_Bond]

http://virusinfo.info/showthread.php?t=15927

[Sality]

http://virusinfo.info/showthread.php?t=15927

Скачивание CureIt прервалось на 94% и вообще с такими лагами и подвисанием системы сложн что-либо сделать, может мне хоть скрипт подкинете - хотя бы немного разгрузить систему..

[Гриша]

Курейт нужно качать и записывать на диск на здоровой системе...

[Sality]

Курейт нужно качать и записывать на диск на здоровой системе...

Это понятно, но у меня пока нет доступа к здоровой системе, мне нужн хотя бы временно разгрузить комп, неужели нет скрипта который удаляет вирус до следующей перезагрузки? Одна из прог по поиску spyware советует удалить следующие файлы:
%tempdir%\SYSLIB32.DLL
%tempdir%\OLEDSP32.DLL
SYSDLL.DLL
SYSLIB32.DLL
OLEDSP32.DLL
Может так и сделать?

[V_Bond]

у вас файловый вирус авз не предназначен для этого ...
заражаются все исполняемые файлы ....

[Sality]

у вас файловый вирус авз не предназначен для этого ...
заражаются все исполняемые файлы ....

Это понятно, но мне нужн восстановить комп сейчас, хотя бы частично. Нашёл в инете ссылку на sality_off, но он лежит на сайте каспера, куда мне вирус доступ закрыл. Может ли кто-нибудь выложить его сюда или дать альтернативную ссылку? Восстановители диспетчера и реестра авз и других прог не помогают. Можно ли как-нибудь остановить перезагрузки компа?

[Гриша]

Еще раз, скачайте на здоровой системе CureIT, запишите на диск и сделайте полную проверку... пока этого не сделаете бороться бесполезно...

[pig]

нужн восстановить комп сейчас, хотя бы частично.

Частично - это бесполезно. Файловый вирус надо изгонять полностью, иначе он опять всё попрезаражает.

[Sality]

Частично разгрузить комп от этого вируса помогла прога Sality_off с сайта Касперского, сам я её скачать не смог, так как вирь закрыл доступ на сайт Каспера, друг кинул мне её по квипу. Если кто-то столкнётся с такой же проблемой, попробуйте эту прогу (в приложении к этому сообщению).
Сегодня попробую записать CureIt и LiveCD на здоровом компе.

[Sality]

К сожалению, доступа к незаражённому компу так и не получил - вся сеть заражена (у них ссылки указываются как битые - видимо вирь не даёт качать). А нельзя ли эти программы заархивировать под паролем и затем запустить установку, нераспаковывая архив? Ведь в этом случае вирус не сможет убить инсталл, так как без пароля изменения в файл вносить нельзя, но инсталл можно будет запустить - получится установка как с диска . Если мои предположения верны, прошу залить CureIt и сопутствующие программы в запароленном архиве на сторонний ресурс или прямо на этот форум, только название файла смените (вирус не даст скачать, если в названии будет AVP, CureIt итп.). Спасибо ).

[PavelA]

CureIt это самораспаковывающийся архив. Можно распаковать на другой машине.

[Sality]

CureIt это самораспаковывающийся архив. Можно распаковать на другой машине.

Ещё раз перечитайте моё предыдущее сообщение, я не об этом вообще. Я скачал CureIt, но при инсталляции он указывает на то, что каких-то файлов не хватает и вообще инсталл повреждён, так что качайте заново. Как я понял - это дело рук вируса. Поэтому мне посоветовали скачать CureIt на здоровой машине и записать его на сд, а затем уже с сд запустить установку, в этом случае вирь не сможет повредить инсталл. Так вот, я и говорю, а чем хуже запароленный архив, содержащиеся в нём файлы нельзя повредить также как и файлы на сд. Значит если кто-нибудь из хелперов вирусинфо скачает CureIt, заархивит его и установит пароль, а затем даст мне ссылку на скачивание и пароль, то я смогу избавиться от этого вируса. Так?

[Гриша]

Вы все не так понимаете, у CD отсутствуют права на запись, вирус их физически не может заразить, а как только вы распакуете курейт на своей машине ему кердык...

[Sality]

Вы все не так понимаете, у CD отсутствуют права на запись, вирус их физически не может заразить, а как только вы распакуете курейт на своей машине ему кердык...

Это вы не так понимаете, я собираюсь установить курейт НЕ распаковывая его, а запустив прямо из архива: два раза кликаем на архив, вводим пароль, два раз кликаем на курейт - запускается установка. То, что вирус убьёт распакованный курейт - это и так понятно, но сможет ли вирус убить курейт, если его не распаковывать, а запустить прямо из архива - вот в чём мой вопрос .

[Гриша]

Не городите огород, как написано тут http://virusinfo.info/showpost.php?p=166807&postcount=1 так и делайте...

[Sality]

Не городите огород, как написано тут http://virusinfo.info/showpost.php?p=166807&postcount=1 так и делайте...

Уважаемый Гриша, неужели так сложно ответить на прямо заданный вопрос? Я его уже несколько раз задал и пояснял. Понятное дело, я так и сделаю, как указано в ссылке, как только ПОЯВИТСЯ ВОЗМОЖНОСТЬ. Но, пока, такой возможности нет.
Если вирь способен убить инсталл в запароленном архиве и альтернатив использования здоровой системы вы не знаете - так и скажите (из ваших предыдущих сообщений не ясно, возможен ли предложенный мною вариант, вы не знаете ответа на вопрос, либо такое решение просто сомнительно).
Если моё предположение верно, заархивьте CureIt и выложите на форум - вот и всё.
Спасибо.

[Гриша]

То есть, вы хотите чтобы мы вам дали курейт в запароленном архиве, вы его скачаете, запишите на CD и проверитесь, так? Я возможно до этого не так понимал...

Вот вам запароленный CureIT http://slil.ru/26370725

Пароль 123

[pig]

То, что вирус убьёт распакованный курейт - это и так понятно, но сможет ли вирус убить курейт, если его не распаковывать, а запустить прямо из архива - вот в чём мой вопрос .

А запуск из архива делается через неявную распаковку на диск, во временный каталог. Так что всё равно убьёт. Не в архиве, конечно, а запускаемую копию.

[Sality]

От вируса я вроде бы избавился. Распаковал CureIt на своём компе, запустил - а он всё ещё живой, провёл быструю проверку - ничего, кроме srvany.exe не нашёл (а эт ясно что ). Отсюда вывод, CureIt не был убит вирусом, так как к тому времени вируса на компе уже не было. Я кроме sality_off ничего не юзал, знач именно он мне и помог. Так что я оч. рекомендую всем хелперам ознакомиться с прогой и в дальнейшем рекомендовать её пользователем с вирями типа Sality. Полная проверка CureIt выявила несколько простеньких и по-видимому безвредных вирей, adware и spyware (по крайней мере я их вредоносной деятельности ранее не замечал).
На всякий случай делаю повторную проверку Avz и HijackThis.
Просмотрите, мож осталась какая-нить зараза, спасибо.