-
Junior Member
- Вес репутации
- 54
Не могу избавиться от вируса Win32.Sector.6 (Sality.NAO)
В общем, данная зараза липнет ко всем исполняемым (*.exe) файлам. В первую очередь - это текущие процессы системы (nwiz.exe, oodag.exe, rundll32.exe и тд)
Также она блокирует доступ к сайтам антивирусной тематики, не позволяет запускать AVZ (возможно, и другие утилиты подобного рода), не позволяет загружаться в безопасном режиме.
Суть действия данного вируса я не понял, но по мере роста количества зараженных файлов производительность системы заметно падает.
В первую очередь раздобыл Cureit. После быстрой проверки в памяти всегда обнаруживается какой-то обычный процесс (см. выше), зараженный этой гадостью, идентифицируемой Др. Вебом как Win32.Sector.6. Помимо этого обнаруживаются другие процессы, но идентифицируются они уже как Win32.Sector.5.
Полная проверка Cureit'ом общей картины не меняет. Только лишь существенно возрастает количество файлов, зараженных Win32.Sector.5
Также в процессах всегда висит один-два непонятных процессов с именами, типа "wc0d50.exe". Cureit'ом они тоже определяются. Причем он выводит два обозначения одного и того же файла: Win32.Sector.5 (который он лечит), и что-то еще, типа "Trojan.Mail.Spam" (точно не помню написание) - их он удаляет. Данные файлики сидят в папке Documents and Settings/Администратор/Local Settings/temp. Удаление не помогает, после перезагрузки они появляются вновь (а возможно и регулярно, независимо от перезагрузки).
Ну вот, собственно, попытался максимально подробно изложить проблему. Если я правильно понимаю, то тело вируса - это Win32.Sector.6, и файл, который им заражается, заражает уже остальные файлы.
Последний раз редактировалось Baz1k; 16.05.2011 в 19:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Win32.Sector скачивает троянские модули и обновляет сам себя через Интернет.
Некоторые файлы, похоже, заражены двумя вариантами вируса.
AVZ.exe тоже заражен. Удалите его, а когда вылечите компьютер, распакуйте из zip-файла снова и сделайте логи.
Как лечить файловый вирус: http://virusinfo.info/showthread.php?t=15927
-
-
Junior Member
- Вес репутации
- 54
Ну вроде сделал... Но все так и осталось.
Последний раз редактировалось Baz1k; 16.05.2011 в 19:57.
-
При создании первого лога AVZ был здоров, во втором снова заражен.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteRepair(6);
SetAVZPMStatus(True);
DelCLSID('{88888888-8888-8888-8888-888888888888}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\goqojr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\awv1eg6z.SYS','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\0eO7x7YJ.sys','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 54
Сделал. Карантин выслал.
После перезагрузки avz.exe снова заразился и запускаться не стал. Заменил его незараженным из архива avz, который скачал утром.
Последний раз редактировалось Baz1k; 16.05.2011 в 19:57.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\orwj50Zj.sys','');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\w83232.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\w83232.exe','');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\goqojr.sys','');
SetServiceStart('dpti930', 4);
DeleteService('dpti930');
DeleteFile('C:\WINDOWS\system32\drivers\goqojr.sys');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\w83232.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\orwj50Zj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сделал.
PS. После каждой перезагрузки приходится проводить быструю проверку Cureit'ом: он "обезвреживает" процесс, зараженный Win32.Sector.6 и "исцеляет" несколько процессов и файлов, зараженных Win32.Sector.5 (в общем, как в первом посте я описал). Иначе AVZ не запускается.
Последний раз редактировалось Baz1k; 16.05.2011 в 19:57.
-
Бесполезная борьба. Лечитесь с LiveCD
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
thyrex
Бесполезная борьба. Лечитесь с LiveCD
Дак вроде лечился DrWebLiveCD... Просканил в SafeMode, кучу поубивал он, но ничего не изменилось...
-
Вы не перепутали CureIt с LiveCD? Это разные способы борьбы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
thyrex
Вы не перепутали CureIt с LiveCD? Это разные способы борьбы
Нет, не перепутал..
-
Сообщение от
Baz1k
После каждой перезагрузки приходится проводить быструю проверку Cureit'ом
А как понимать это, если Вы лечитесь с DrWeb LiveCD?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
thyrex
А как понимать это, если Вы лечитесь с DrWeb LiveCD?
Ну так и понимать.. После сканирования с диска DrWebLiveCD (именно с диска...специально нарезал) в SafeMode ничего не изменилось...
А мои сканирования Cureit'ом - это, уже ставшие "обычными", манипуляции, чтобы запустить AVZ.
-
Что не изменилось? Safe Mode не работает, Сектор жив - так?
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
pig
Что не изменилось? Safe Mode не работает, Сектор жив - так?
SafeMode начинал работать после его восстановления через AVZ. Сектор никуда уходить не собирался.
Все в прошедшем времени, так как я его в конце концов осилил.
Делал следующее:
1. Удалил ветку из реестра: HKCU\Software\user914, где user - имя пользователя (у меня ветка называлась Администратор914).
2. Открыл файл c:/windows/system.ini и удалил вот это:
Код:
[MCIDRV_VER]
DEVICEMB=127446824460
3. Прогнал Cureit'ом.
4. После перезагрузки сделал полную проверку Dr. Web 5, дабы вылечить все зараженные файлы.
PS. Существуют еще утилитки sality_off и sality_remover от Касперского. Мне они не понадобились. Но думаю, что они тоже должны помочь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 24
- В ходе лечения вредоносные программы в карантинах не обнаружены
-