Не могу избавиться от вируса Win32.Sector.6 (Sality.NAO)

**Baz1k** · 16.07.2009, 15:33

В общем, данная зараза липнет ко всем исполняемым (*.exe) файлам. В первую очередь - это текущие процессы системы (nwiz.exe, oodag.exe, rundll32.exe и тд)

Также она блокирует доступ к сайтам антивирусной тематики, не позволяет запускать AVZ (возможно, и другие утилиты подобного рода), не позволяет загружаться в безопасном режиме.

Суть действия данного вируса я не понял, но по мере роста количества зараженных файлов производительность системы заметно падает.

В первую очередь раздобыл Cureit. После быстрой проверки в памяти всегда обнаруживается какой-то обычный процесс (см. выше), зараженный этой гадостью, идентифицируемой Др. Вебом как Win32.Sector.6. Помимо этого обнаруживаются другие процессы, но идентифицируются они уже как Win32.Sector.5.

Полная проверка Cureit'ом общей картины не меняет. Только лишь существенно возрастает количество файлов, зараженных Win32.Sector.5

Также в процессах всегда висит один-два непонятных процессов с именами, типа "wc0d50.exe". Cureit'ом они тоже определяются. Причем он выводит два обозначения одного и того же файла: Win32.Sector.5 (который он лечит), и что-то еще, типа "Trojan.Mail.Spam" (точно не помню написание) - их он удаляет. Данные файлики сидят в папке Documents and Settings/Администратор/Local Settings/temp. Удаление не помогает, после перезагрузки они появляются вновь (а возможно и регулярно, независимо от перезагрузки).

Ну вот, собственно, попытался максимально подробно изложить проблему. Если я правильно понимаю, то тело вируса - это Win32.Sector.6, и файл, который им заражается, заражает уже остальные файлы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 16.07.2009, 16:06

Win32.Sector скачивает троянские модули и обновляет сам себя через Интернет.
Некоторые файлы, похоже, заражены двумя вариантами вируса.
AVZ.exe тоже заражен. Удалите его, а когда вылечите компьютер, распакуйте из zip-файла снова и сделайте логи.
Как лечить файловый вирус: http://virusinfo.info/showthread.php?t=15927

**Baz1k** · 20.07.2009, 13:53

Ну вроде сделал... Но все так и осталось.

**AndreyKa** · 20.07.2009, 14:12

При создании первого лога AVZ был здоров, во втором снова заражен.

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
ExecuteRepair(6); 
SetAVZPMStatus(True);
 DelCLSID('{88888888-8888-8888-8888-888888888888}');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\goqojr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\awv1eg6z.SYS','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\0eO7x7YJ.sys','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

**Baz1k** · 20.07.2009, 14:53

Сделал. Карантин выслал.

После перезагрузки avz.exe снова заразился и запускаться не стал. Заменил его незараженным из архива avz, который скачал утром.

**thyrex** · 20.07.2009, 15:17

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\orwj50Zj.sys','');
 TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe');
 TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\w83232.exe');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe','');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\w83232.exe','');
 DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
 QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\goqojr.sys','');
 SetServiceStart('dpti930', 4);
 DeleteService('dpti930');
 DeleteFile('C:\WINDOWS\system32\drivers\goqojr.sys');
 DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\w83232.exe');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\orwj50Zj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

**Baz1k** · 20.07.2009, 15:36

Сделал.

PS. После каждой перезагрузки приходится проводить быструю проверку Cureit'ом: он "обезвреживает" процесс, зараженный Win32.Sector.6 и "исцеляет" несколько процессов и файлов, зараженных Win32.Sector.5 (в общем, как в первом посте я описал). Иначе AVZ не запускается.

**thyrex** · 20.07.2009, 16:33

Бесполезная борьба. Лечитесь с LiveCD

**Baz1k** · 20.07.2009, 16:47

Сообщение от thyrex

Бесполезная борьба. Лечитесь с LiveCD

Дак вроде лечился DrWebLiveCD... Просканил в SafeMode, кучу поубивал он, но ничего не изменилось...

**thyrex** · 20.07.2009, 16:53

Вы не перепутали CureIt с LiveCD? Это разные способы борьбы

**Baz1k** · 20.07.2009, 17:32

Сообщение от thyrex

Вы не перепутали CureIt с LiveCD? Это разные способы борьбы

Нет, не перепутал..

**thyrex** · 20.07.2009, 17:52

Сообщение от Baz1k

После каждой перезагрузки приходится проводить быструю проверку Cureit'ом

А как понимать это, если Вы лечитесь с DrWeb LiveCD?

**Baz1k** · 21.07.2009, 07:31

Сообщение от thyrex

А как понимать это, если Вы лечитесь с DrWeb LiveCD?

Ну так и понимать.. После сканирования с диска DrWebLiveCD (именно с диска...специально нарезал) в SafeMode ничего не изменилось...

А мои сканирования Cureit'ом - это, уже ставшие "обычными", манипуляции, чтобы запустить AVZ.

**pig** · 21.07.2009, 22:38

Что не изменилось? Safe Mode не работает, Сектор жив - так?

**Baz1k** · 22.07.2009, 07:37

Сообщение от pig

Что не изменилось? Safe Mode не работает, Сектор жив - так?

SafeMode начинал работать после его восстановления через AVZ. Сектор никуда уходить не собирался.

Все в прошедшем времени, так как я его в конце концов осилил.

Делал следующее:
1. Удалил ветку из реестра: HKCU\Software\user914, где user - имя пользователя (у меня ветка называлась Администратор914).
2. Открыл файл c:/windows/system.ini и удалил вот это:

Код:

[MCIDRV_VER]
DEVICEMB=127446824460

3. Прогнал Cureit'ом.
4. После перезагрузки сделал полную проверку Dr. Web 5, дабы вылечить все зараженные файлы.

PS. Существуют еще утилитки sality_off и sality_remover от Касперского. Мне они не понадобились. Но думаю, что они тоже должны помочь.

**CyberHelper** · 23.07.2009, 07:37

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 24
В ходе лечения вредоносные программы в карантинах не обнаружены

Не могу избавиться от вируса Win32.Sector.6 (Sality.NAO) (заявка № 50100)

Опции темы

Не могу избавиться от вируса Win32.Sector.6 (Sality.NAO)

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

не могу избавиться от вируса Trojan-Proxy.Win32.Small.mp

Не могу избавиться от W32.Sality.NAO (win32.sector5)

Не могу избавиться от вируса Win32.Sector5

После лечения вируса sality.win32.sector.12 и необдуманного использования некоторых функций AVZ на серверной ОС некоректно работает сеть!

Не могу избавиться от Win32.Sector.5 и прочих.

Метки для этой темы

Ваши права в разделе