Модификация Win32.Sector.5

[Shu_b]

прогоните авптулом все компы, например....

Опять же, предварительно проверив, лечит ли корректно авпстул его...
иначе ждать пока или нод или доктор добавят в базы алгоритмы лечения.

[Skye]

Уважаемые, если так можно выразиться, коллеги. Я заметил в консоли НОДа очень интересный факт. Перед каждым появлением в системах Sality (будь то АВ, AD, NAS), у меня появлялся в логах Win32/KillAV.NE. При таком раскладе возможны 2 структурных действия: либо он качает Салити, либо его генерит. Изменений по трафику я не вижу, следовательно сошлюсь на то, что он его генерирует...

[priv8v]

Опять же, предварительно проверив, лечит ли корректно авпстул его

извините за то, что я не расшифровал слово "прогоните".
Под этим словом я имел в виду "просканируйте компьютеры и найдите где сидит зловред", т.е я не советовал АВПТулом лечить компы - т.к ТС просил не говорить как ему лечить - просил только помочь обнаружить с какого компа лезет зараза - т.е я посоветовал с помощью АВПТула просто найти на каком компе есть еще такая зараза - т.о выяснить откуда зараза попадает на расшаренные ресурсы.
а как лечить заразу автор знает и сам. и это хорошо описано на ресурсе др.веба и на других форумах.
да и самому несложно догадаться как лечить если знать, что он делает.

[santy]

...Нод по-прежнему лечить отказывается, как и CureIt.

Имеет смысл отправить зараженные файлы в Eset. Возможно, лечение со временем будет выпущено через обновление баз.

[kps]

Уважаемые, если так можно выразиться, коллеги. Я заметил в консоли НОДа очень интересный факт. Перед каждым появлением в системах Sality (будь то АВ, AD, NAS), у меня появлялся в логах Win32/KillAV.NE. При таком раскладе возможны 2 структурных действия: либо он качает Салити, либо его генерит. Изменений по трафику я не вижу, следовательно сошлюсь на то, что он его генерирует...

По одному случаю из раздела "Помогите!" могу сказать, что тогда судя по всему Салити (Сектор) подгружал в память троян, который боролся с антивирусами, причем троян был в памяти, но на диске его не было. М.б. часть Салити, созданная для его защиты.

[Skye]

извините за то, что я не расшифровал слово "прогоните".
Под этим словом я имел в виду "просканируйте компьютеры и найдите где сидит зловред", т.е я не советовал АВПТулом лечить компы - т.к ТС просил не говорить как ему лечить - просил только помочь обнаружить с какого компа лезет зараза - т.е я посоветовал с помощью АВПТула просто найти на каком компе есть еще такая зараза - т.о выяснить откуда зараза попадает на расшаренные ресурсы.
а как лечить заразу автор знает и сам. и это хорошо описано на ресурсе др.веба и на других форумах.
да и самому несложно догадаться как лечить если знать, что он делает.

Я правильно трактовал Ваши слова, будем надеяться, что другие пользователи так же дочитают до этой страницы прежде, чем начнут борьбу не с того конца.

Все равно за совет - спасибо, он обязательно кому нибудь поможет .

Может быть (раз уж я стал центром эксперимента), я могу еще чем нибудь помочь, или попробовать различными методами погонять данную модификацию?

[borka]

По одному случаю из раздела "Помогите!" могу сказать, что тогда судя по всему Салити (Сектор) подгружал в память троян, который боролся с антивирусами, причем троян был в памяти, но на диске его не было. М.б. часть Салити, созданная для его защиты.

Салити ака Сектор содержит код, противодействующий антивирусам - вынос баз, убийство процессов и т. д.

[kps]

Салити ака Сектор содержит код, противодействующий антивирусам - вынос баз, убийство процессов и т. д.

Угу, я так и подумал, что это его драйвер - это часто единственная зацепка, по которой по логам AVZ можно определить наличие этого файлового вируса в системе.

[priv8v]

Может быть (раз уж я стал центром эксперимента), я могу еще чем нибудь помочь, или попробовать различными методами погонять данную модификацию?

Попробуйте Антивирус Калинина. С его эвристикой и кроссплатформенностью он должен помочь. Про то, что его автор несет людям истину - тоже не следует забывать. Поэтому все вышеперечисленные факторы должны оказать благотворное влияние на решение Вашей проблемы.


(это шутка, у меня аж слезы на глазах, не надо воспринимать этот совет всерьез - я просто шучу)

PS: если одна модификация данного вируса по функционалу не сильно отличается от другой, то можете на других компах поискать в реестре куда он себя в исключения системного фаера добавил - как я понял система какая-то заражена и заражает при этом файлы на расшаренном ресурсе на другом компе и решение проблемы сводится лишь к нахождению данной системы, которая заражает файлы на расшаренном ресурсе...

[AndreyKa]

Система девственно чиста, поражен только пошареный ресурс.

Я заметил в консоли НОДа очень интересный факт. Перед каждым появлением в системах Sality (будь то АВ, AD, NAS), у меня появлялся в логах Win32/KillAV.NE.

Простите, уважаемый, но вы сами себе противоречите.

[Skye]

Простите, уважаемый, но вы сами себе противоречите.

Эм. Не так выразился. Система действительно чистая, проблема только в пошареной папке. Смотрю другие машины - пошареных ресурсов нет, но есть Win32/KillAV.NE и вместе с ним модифицированный Сектор.5 (на одной машине), или чистый Сектор.5 (вторая машина), или Сектор.4 на третьей (Салити NAS, AD, AB соотвественно). Похоже, опасения оправдались (что к трояну КиллАВ идет в комплекте Сектор.*, который генерится на машине непосредственно или загружается с инета, и пытается поразить открытые ресурсы в сети). При таких раскладах я б предложил его переквалифицировать в "Червя", но кто ж мне даст (с).

[AndreyKa]

Похоже, опасения оправдались (что к трояну КиллАВ идет в комплекте Сектор.*, который генерится на машине непосредственно или загружается с инета, и пытается поразить открытые ресурсы в сети).

Нет, наоборот, при запуске зараженного фирусом Sality EXE или .SCR файла создаётся троянская библиотека KillAV (она уже находится в теле вируса и не откуда не скачивается).

[kps]

Нет, наоборот, при запуске зараженного фирусом Sality EXE или .SCR файла создаётся троянская библиотека KillAV (она уже находится в теле вируса и не откуда не скачивается).

Точнее троянский драйвер. В логах AVZ виден в Модулях пространства ядра.

[Skye]

Тогда получается, что троянская библиотека КиллАВ пытается поразить пошареные ресурсы? Или я чего то недопонимаю?..

[Shu_b]

Присланные экземпляры стали детектироваться и лечиться доктором как Win32.Sector.4

[evglap]

Присланные экземпляры стали детектироваться и лечиться доктором как Win32.Sector.4

прочитал - скачал последний CureIt - ан нет .... все по прежнему...

Shu_b, подскажите куда можно отправить зараженный "модификацией Win32.sector.5" - мой файл к сожалению так и определяется и не лечится

[pig]

http://support.drweb.com/sendnew/

[evglap]

http://support.drweb.com/sendnew/

уже ! ждем-с...

и в Каспер, и в Нод, и в ДрВеб отправил

[Shu_b]

уже ! ждем-с...

и в Каспер, и в Нод, и в ДрВеб отправил

если можете, поделитесь номером запроса.

[Groft]

И, если можно, ссылочку на вирустотал с детектом этого вируса