-
Сообщение от
priv8v
прогоните авптулом все компы, например....
Опять же, предварительно проверив, лечит ли корректно авпстул его...
иначе ждать пока или нод или доктор добавят в базы алгоритмы лечения.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 59
Уважаемые, если так можно выразиться, коллеги. Я заметил в консоли НОДа очень интересный факт. Перед каждым появлением в системах Sality (будь то АВ, AD, NAS), у меня появлялся в логах Win32/KillAV.NE. При таком раскладе возможны 2 структурных действия: либо он качает Салити, либо его генерит. Изменений по трафику я не вижу, следовательно сошлюсь на то, что он его генерирует...
-
Опять же, предварительно проверив, лечит ли корректно авпстул его
извините за то, что я не расшифровал слово "прогоните".
Под этим словом я имел в виду "просканируйте компьютеры и найдите где сидит зловред", т.е я не советовал АВПТулом лечить компы - т.к ТС просил не говорить как ему лечить - просил только помочь обнаружить с какого компа лезет зараза - т.е я посоветовал с помощью АВПТула просто найти на каком компе есть еще такая зараза - т.о выяснить откуда зараза попадает на расшаренные ресурсы.
а как лечить заразу автор знает и сам. и это хорошо описано на ресурсе др.веба и на других форумах.
да и самому несложно догадаться как лечить если знать, что он делает.
-
Сообщение от
Skye
...Нод по-прежнему лечить отказывается, как и CureIt.
Имеет смысл отправить зараженные файлы в Eset. Возможно, лечение со временем будет выпущено через обновление баз.
-
-
Сообщение от
Skye
Уважаемые, если так можно выразиться, коллеги. Я заметил в консоли НОДа очень интересный факт. Перед каждым появлением в системах Sality (будь то АВ, AD, NAS), у меня появлялся в логах Win32/KillAV.NE. При таком раскладе возможны 2 структурных действия: либо он качает Салити, либо его генерит. Изменений по трафику я не вижу, следовательно сошлюсь на то, что он его генерирует...
По одному случаю из раздела "Помогите!" могу сказать, что тогда судя по всему Салити (Сектор) подгружал в память троян, который боролся с антивирусами, причем троян был в памяти, но на диске его не было. М.б. часть Салити, созданная для его защиты.
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
priv8v
извините за то, что я не расшифровал слово "прогоните".
Под этим словом я имел в виду "просканируйте компьютеры и найдите где сидит зловред", т.е я не советовал АВПТулом лечить компы - т.к ТС просил не говорить как ему лечить - просил только помочь обнаружить с какого компа лезет зараза - т.е я посоветовал с помощью АВПТула просто найти на каком компе есть еще такая зараза - т.о выяснить откуда зараза попадает на расшаренные ресурсы.
а как лечить заразу автор знает и сам. и это хорошо описано на ресурсе др.веба и на других форумах.
да и самому несложно догадаться как лечить если знать, что он делает.
Я правильно трактовал Ваши слова, будем надеяться, что другие пользователи так же дочитают до этой страницы прежде, чем начнут борьбу не с того конца.
Все равно за совет - спасибо, он обязательно кому нибудь поможет .
Может быть (раз уж я стал центром эксперимента), я могу еще чем нибудь помочь, или попробовать различными методами погонять данную модификацию?
-
Сообщение от
kps
По одному случаю из раздела "Помогите!" могу сказать, что тогда судя по всему Салити (Сектор) подгружал в память троян, который боролся с антивирусами, причем троян был в памяти, но на диске его не было. М.б. часть Салити, созданная для его защиты.
Салити ака Сектор содержит код, противодействующий антивирусам - вынос баз, убийство процессов и т. д.
-
Сообщение от
borka
Салити ака Сектор содержит код, противодействующий антивирусам - вынос баз, убийство процессов и т. д.
Угу, я так и подумал, что это его драйвер - это часто единственная зацепка, по которой по логам AVZ можно определить наличие этого файлового вируса в системе.
-
-
Может быть (раз уж я стал центром эксперимента), я могу еще чем нибудь помочь, или попробовать различными методами погонять данную модификацию?
Попробуйте Антивирус Калинина. С его эвристикой и кроссплатформенностью он должен помочь. Про то, что его автор несет людям истину - тоже не следует забывать. Поэтому все вышеперечисленные факторы должны оказать благотворное влияние на решение Вашей проблемы.
(это шутка, у меня аж слезы на глазах, не надо воспринимать этот совет всерьез - я просто шучу)
PS: если одна модификация данного вируса по функционалу не сильно отличается от другой, то можете на других компах поискать в реестре куда он себя в исключения системного фаера добавил - как я понял система какая-то заражена и заражает при этом файлы на расшаренном ресурсе на другом компе и решение проблемы сводится лишь к нахождению данной системы, которая заражает файлы на расшаренном ресурсе...
-
Сообщение от
Skye
Система девственно чиста, поражен только пошареный ресурс.
Сообщение от
Skye
Я заметил в консоли НОДа очень интересный факт. Перед каждым появлением в системах Sality (будь то АВ, AD, NAS), у меня появлялся в логах Win32/KillAV.NE.
Простите, уважаемый, но вы сами себе противоречите.
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
AndreyKa
Простите, уважаемый, но вы сами себе противоречите.
Эм. Не так выразился. Система действительно чистая, проблема только в пошареной папке. Смотрю другие машины - пошареных ресурсов нет, но есть Win32/KillAV.NE и вместе с ним модифицированный Сектор.5 (на одной машине), или чистый Сектор.5 (вторая машина), или Сектор.4 на третьей (Салити NAS, AD, AB соотвественно). Похоже, опасения оправдались (что к трояну КиллАВ идет в комплекте Сектор.*, который генерится на машине непосредственно или загружается с инета, и пытается поразить открытые ресурсы в сети). При таких раскладах я б предложил его переквалифицировать в "Червя", но кто ж мне даст (с).
-
Сообщение от
Skye
Похоже, опасения оправдались (что к трояну КиллАВ идет в комплекте Сектор.*, который генерится на машине непосредственно или загружается с инета, и пытается поразить открытые ресурсы в сети).
Нет, наоборот, при запуске зараженного фирусом Sality EXE или .SCR файла создаётся троянская библиотека KillAV (она уже находится в теле вируса и не откуда не скачивается).
-
-
Сообщение от
AndreyKa
Нет, наоборот, при запуске зараженного фирусом Sality EXE или .SCR файла создаётся троянская библиотека KillAV (она уже находится в теле вируса и не откуда не скачивается).
Точнее троянский драйвер. В логах AVZ виден в Модулях пространства ядра.
-
-
Junior Member
- Вес репутации
- 59
Тогда получается, что троянская библиотека КиллАВ пытается поразить пошареные ресурсы? Или я чего то недопонимаю?..
-
Присланные экземпляры стали детектироваться и лечиться доктором как Win32.Sector.4
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Shu_b
Присланные экземпляры стали детектироваться и лечиться доктором как Win32.Sector.4
прочитал - скачал последний CureIt - ан нет .... все по прежнему...
Shu_b, подскажите куда можно отправить зараженный "модификацией Win32.sector.5" - мой файл к сожалению так и определяется и не лечится
-
-
-
Junior Member
- Вес репутации
- 59
-
Сообщение от
evglap
уже ! ждем-с...
и в Каспер, и в Нод, и в ДрВеб отправил
если можете, поделитесь номером запроса.
-
-
И, если можно, ссылочку на вирустотал с детектом этого вируса