Не могу избавиться от W32.Sality.NAO (win32.sector5)
Выполнить инструкцию по запуску CureIt в безопасном режиме не смог, т.к.данный вирус первым делом трет из реестра ветку, позволяющую это сделать. Запустил CureIt, загрузившись с CD ERD-Commander-a. Было обнаружено и вылечено множество .EXE файлов. После перезагрузки в нормальном режиме - сразу видны следы вирусной активности, а чуть позже - появляются зараженные .EXE файлы. virusinfo_syscure.zip получить не смог, т.к. AVZ (чистый, незараженный, запущенный с защищенного от записи носителя, кроме папки LOG, конечно) - не закончив работу - вылетает. Симптомы заражения похожи на те, что описаны в Сети для вируса w32.Sality.AB (win32.sector.4). Помогите локализовать вирус, я не могу найти, где он прячется.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнил, загрузился под ERD Commander и опять пролечил все с помощью CureIt. При обычной загрузке - вирусная активность. Не помогло... Карантин высылаю, повторные логи - прилагаю. Могу так же, если это поможет, прислать лог Sysinternals Autoruns и Proccess Explorer.
При работе вируса - Proccess Explorer отмечает бешенную активность в работе процесса ati2evxx.exe
Последний раз редактировалось chem; 19.04.2008 в 11:29.
В логах проблем не нашел. Зато нашел ошибку (не критическую) в моем вчерашнем скрипте .
На какой файл ругается НОД/Доктор? Системное восстановление отключали? Временные папки чистили? Созываю консилиум.
begin
SetAVZGuardStatus(True);
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
Попробуйте зайти в безопасный режим, если получится, пролечите больной компьютер оттуда с CD с помощью CureIt!, затем в нормальном режиме, как написано здесь: http://virusinfo.info/showthread.php?t=15927
Снова я. Нод, как таковой, умирает одним из первых. Служба его ядра - останавливается вирусом. Если насильно, после временного пролечивания (см. предыдущие посты) Нод все же запустить - методом ручного восстанавливания веток реестра, где Нодовская служба стартует, то на один сеанс Нод оживает и работает до перезагрузки. Причем с максимальными настройками Нод ругается только на .EXE, при запуске зараженного приложения. При проверке Нодом диска - картина точно такая же как и при проверке CureIt-ом - куча найденых и вылеченных EXEшников, только раз в 100 медленнее CureIt-а. Из ньюансов, не указанных ранее - я запретил запись в d:\winnt\system32\drivers\.... Временные папки - TEMP винды, TEMP пользователя и temp-папка IE - очищены, восстановление системы - под Win2K - что такое? Это ж вроде для XP?
сорри, Вы правы .
А что у Вас на разделе C: установлено?
Да вроде ничего там нет, лежит дистрибудив Win2K Pro, и загрузочные файлы винды... С: раздел FAT16. Сама винда - на D: NTFS, конечно...
Кстати - вирусной активности пока не наблюдаю, причем я вторую порцию ваших скриптов еще не выполнял. Значит запрещение записи в SYSDIR\drivers сработало? Вирус не может родиться? Кстати - я открыл эту тему на примере одной конкретной машины, а у меня их десятки, зараженных я имею в виду. Нет ли каких-либо более универсальных рекомендаций по удалению Sality.NAO? Если мне придется собирать логи с каждой машины - это не на одну неделю <img>
Вы инструкции из поста номер 5 выполнили?
Для лечения остальных машин - если там только этот файловый вирус, то для начала можно обойтись без логов AVZ, а пробовать выполнить инструкции из поста номер 5, начиная со строки "Сделайте следующее:" и дальше.
Вы инструкции из поста номер 5 выполнили?
Для лечения остальных машин - если там только этот файловый вирус, то для начала можно обойтись без логов AVZ, а пробовать выполнить инструкции из поста номер 5, начиная со строки "Сделайте следующее:" и дальше.
Это сейчас делается, в безопасном режиме УЖЕ удалось загрузиться, идет проверка. Кстати, после выполнения скрипта 1 из поста 5 - самостоятельно перегрузиться комп не смог, пришлось через reset...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: