Устойчивый и живучий вирус w32.sality.s (Win32.Sector.28682). Прошу помощи.
Всем доброго времени суток.
Давно я не подцеплял ничего особенно, но, видимо, пришел и мой черед...
Скорее всего, вирусняк подцепил из нашей локальной сети...
У меня три основные Windows XP SP2 (признаю, без автоматического обновления), одна для видеомонтажа, другая для игр, третья для работы.
Во второй установлен антивирус Antivir, в третьей - Avast Home, в первой - ничего.
Первые симптомы появились некоторое время назад. Я часто находился во второй операционной системе, под защитой (как я думал) Antivir'а. Заметил, что стоит мне отойти ненадолго от компьютера, компьютер пищал внутренним динамиком; появлялось характерное окошко Antivir'а о нахождении вышеупомянутого в заголовке темы sality.
Я, к сожалению, не интересовался этим, наивно полагая, что раз антивирь ловит, он же и лечит.
Эхх.
После скачивания очередной игры в локальной сети, появилось большое количество окошек Antivir'а, уведомляющих о заражении многих системных файлов (в т.ч. и explorer.exe). Интересно, что лечить "антивир" их не предлагал, только удалять, что я, разумеется, делать не стал.
Я, перезагрузив компьютер, вошел в другую операционную систему, где стоял Avast.
Был озадачен отсутствием привычного значка в трее этого антивируса. Всегда рабочий ярлык с рабочего стола теперь указывал "в никуда".
Порывшись наугад (плохо знаком с этим антивирусом), запустил сервис аваста для сканирования компьютера. Почти сутки шло это сканирование, в результате которого выявилось заражение тысяч системных файлов, но ни один из них не был вылечен!
Я в шоке.
Добавлю, что у меня стоит еще одна Windows XP SP2, почти без софта, без антивирусов, только с подключением к интернету; ей в обычное время я не пользуюсь.
Загрузился в нее.
Очередное потрясение. Internet Explorer, Mozilla Firefox, Opera - все отказывались заходить на сайт Касперского (я хотел сделать он-лайн сканирование). Я убрал все прокси-сервера из настроек, но это не дало результата! При этом другие сайты открывались на ОКей!
С соседнего компьютера, с тем же подключением к интернету, сайт Касперского вполне быстро и успешно открывается!
Дальше - хуже. Со второго компьютера я скачал пробную версию "Касперского". Поначалу она банально отказалась инсталлироваться, вылетая с "неизвестной ошибкой". Со второй попытки вроде инсталл успешно прошел, но, этот антивирь умирал сразу после его загрузки после старта операционной системы!
То есть делаю "ребут", все грузится, значок Касперского появляется в трее и тут же исчезает (из процессов тоже). Если запускать его вручную - тот же результат.
Пытаюсь все ту же "чистую" Windows XP запустить в безопасном режиме - "синее окно смерти" с фигурирующей надписью "проверьте свой компьютер на вирусы".
К счастью, AVZ запустился, я выполнил в нем скрипт по данной рекомендации. Только так я смог зайти в безопасный режим.
Затем из этого режима я, отключив восстановление системы, выполнил полную проверку компьютера программой CureIT (которая тоже успешно загрузилась). Она нашла вирусы, удалила, но после перезагрузки все опять возвращается на свои места.
Запустил полную проверку через AVZ 4 (выкрутив на максимум безопасности настройки, высший эвристический анализ и т.д.). Оставил. Отошел от компьютера.
Возвращаюсь - AVZ и в помине в процессах нет.
Еще заметил, что когда загружаешь Windows и подключаешь защищенную от записи флешку, вылазит сообщение, типа explorer.exe или rundll32.exe не могут произвести запись на защищенный носитель. Кроме того, вылазят окна с надписью типа "не удается произвести запись на \device\harddisk15\dr17" (цифры меняются). У всех таких окошек - три кнопки "повторить", "отменить", "пропустить". Приходится тыкать на все до умопомрачения, т.к. окон таких вылазит много...
Это нечто.
Поэтому, прошу помощи у вас.
Требуемые файлы прилагаю. Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
И попробуйте полечить зараженные вирусом файлы CureIt!'ом (ссылка в правилах).
В первом своем сообщении я уже упоминал о полной проверке компьютера этой программой. Она нашла и исцелила огромное количество файлов, зараженных Win32.Sector.28682 (подозреваю это тот же win32.sality.s по версии AVZ), однако проблемы это не решило - после перезагрузки вирус продолжил свою подлую деятельность.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: