вирус Win32:Sality

Здравствуйте. Вирус установился с флэшки цифровой камеры знакомого . До этого он пользовался ей в интернет кафе. Стирает экзешные файлы программы. Антивирус аваст опознает его как вирус Win32:Salityодновременно с этим вирусом устанавливается Win32:Rootkit-gen в c:\windows\sistem32\drives\kpjfpt.sys. Этот вирус был удален антивирусом в режиме загрузки., при загрузке системы появляется окошко с сообщением что windows installer в целях безопасности был заблокирован, и nero (екзешный файл был уничтожен вирусом) установить не удается по той же причине. установка прерывается.

Выполняйте [url=http://virusinfo.info/showthread.php?t=15927]это[/url]. Пока хоть один экземпляр Sality aka Sector будет обнаруживаться, дальнейшие телодвижения смысла не имеют. Очень плодовитый гад.

А как быть если компьютер всего один? Нет способа избавиться от вируса не используя "здоровый" компьютер?

[QUOTE=denisiv;457263]А как быть если компьютер всего один? [/QUOTE]Нужно найти здоровый. Если никак - рекомендуем переустановить систему.

ок. Мне нужно уехать на несколько дней и я не успеваю его просканировать вышеуказанной утилитой. Я все сделаю когда приеду. Если я перепишу некоторые фотографии на флэшку и вордовский файл с необходимыми документами то она окажется зараженной?

Может оказаться.

понятно

Вчера, как только я приехал, я использовал для проверки компьютера Dr.Web LiveCD как и было Вами рекомендовано я его скачал со здорового компьютера. вирус Sality aka Sector не был обнаружен. За время моего отъезда компьютер был выключен. имеет смысл использовать утилиту Cureit, или лучше воспользоваться другим антивирусом?

Перекрёстная проверка - AVPTool.

что такое перекрестная проверка? авптоол мне тоже качать со здорового компа?

Да.

P.S. Имелась в виду как раз проверка другим антивирусом.

сделал проверку курейтом в безопасном режиме, сейчас сделаю в обычном режиме. пришлось запускать checkdisk, некоторые файлы оказались повреждены. и программа поправляла в них какие то индексы и дескрипторы. Поэтому я проверил курейтом в безопасном режиме. До этого утилита не делала полную проверку целиком.

Нашлось что-нибудь?

нет. сейчас делаю в обычном режиме. компьютер завис когда утилита успела половину всех файлов проверить. я перезагрузил компьютер. отключу сеть и снова попробую в обычном режиме. но и проверив половину файлов утилита тоже ничего не нашла. Я сохранил с нее логи. привычно некоторые кейгены и крэки обнаруживала как вирусы.

[size="1"][color="#666686"][B][I]Добавлено через 57 секунд[/I][/B][/color][/size]

отпишусь когда сделаю проверку в обычном режиме.

Сделал проверку в обычном режиме утилитой cureit, почему-то, что в обычном, что в безопасном режиме компьютера, в полном режиме проверки утилита проверяет только диск с:\

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 15 минут[/I][/B][/color][/size]

вирусов не обнаружено. проверяю утилитой авптоол

проверил утилитой avptool в безопасном режиме компьютера, вирусов не найдено, кроме трояна в папке system volume information, который был удален

[size="1"][color="#666686"][B][I]Добавлено через 42 минуты[/I][/B][/color][/size]

помогите пожалуйста. уже около недели как компьютер стоит на постоянной антивирусной проверке. а мне еще платежи за хостинг через интернет проводить

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 22 минуты[/I][/B][/color][/size]

вообщем nero 8 не устанавливается. в процессе инсталляции появляется табличка "Программа Windows Installer завершена преждевременно". При нажатии на кнопку "Ок" появляется окошко с надписью не удается получить доступ к службе Windows installer. Windows работает в защищенном режиме, либо Windows installer установлен неправильно. Обратитесь в службу поддержки."

[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]

при переустановке windows installer после перезагрузки системы появляется окошко с надписью приложение windows installer в целях безопасности системы и защиты предотвращения выполнения вредоносных программ было закрыто службой DEP(служба предотвращения выполнения данных) Я очень извиняюсь за флуд. но я подробно описываю все процессы происходящие на моем компьютере. С нетерпением жду Вашего ответа.

что мне делать дальше?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 58 минут[/I][/B][/color][/size]

проверил утилитой Касперского Salytu killer она нашла и уничтожила только один какой то вредоносный скрип. сканирование делал несколько раз.

[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]

заранее извинияюсь за орфографию в названии утилиты. мог написать с ошибкой.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 3 минуты[/I][/B][/color][/size]

народ помогите хоть кто нибудь. почему никто не отвечает?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

я выполнил все Ваши рекомендации. когда советовали проверку авптоол я задержался из за того что утилитой курейт доделывал вторую проверку в обычном режиме с отключением сети. а потом согласно Вашим рекомендациям скачал утилиту Avptool и сделал ей проверку. все описано Выше. и уже второй день не слышу ответа

почему меня игнорируете? я выполнил все Ваши указания и не на шаг не уклонялся.

Понял, чего в супе не хватает :)
Новые логи сделайте, тогда хелперам будет на что смотреть и отвечать.

ок. логи поместить в этой же теме? Я с самого начала не уклонялся от Ваших указаний. Я попросил друга переписать мне курейт так как утилиты я могу брать только со здорового компьютера. он мне переписал dr. web live cd и сказал что это тоже самое что и курейт. я потому Вам и написал что проверил др. веб. лив сд. а так как live cd почему то глючил, я попросил его переписать курейт. и уже проверил курейтом как вы и говорили с отключенной сетью и сначала в безопасном режиме а затем в обычно. Вы как раз прислали сообщение проверить компьютер авт тоол. Что я и сделал позже. потому что вначале не выполнил первое Ваше указание до конца. Тем более в Вашей ссылке указывалось что надо проверять утилитой cureit а не live cd. А пока я ждал чтобы он записал и принес мне дист с cureit у меня выбора особо не было

Да, новые логи сюда. В новое сообщение.

Ок. Согласно Вашей рекомендации сделал логи и прикладываю их в этом сообщении.

Ничего зловредного в логах нет.

1. SUPERAntiSpyware - деинсталлируйте.

2. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]R3 - URLSearchHook: (no name) - - (no file)[/QUOTE]

ок, а как мне восстновить windows installer, чтобы я мог nero и др. программы установить?

Попробуйте заново переустановить Windows Installer.

пробовал не помогало

[size="1"][color="#666686"][B][I]Добавлено через 1 час 10 минут[/I][/B][/color][/size]

систему профиксил в HijackThis. nero не устанавливается, та же проблема с windowsinstaller, при попытке переустановить windowsinstaller стало появляться окошко "У Вас нет прав обновления системы, обратитесь к администратору.

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 29 минут[/I][/B][/color][/size]

систему профиксил в HijackThis. согласно Вашей рекомендации. nero не устанавливается, та же проблема с windowsinstaller, при попытке переустановить windowsinstaller стало появляться окошко "У Вас нет прав обновления системы, обратитесь к администратору. Помогите пожалуйста восстановить windowsinstaller

систему профиксил в HijackThis. согласно Вашей рекомендации. nero не устанавливается, та же проблема с windowsinstaller, при попытке переустановить windowsinstaller стало появляться окошко "У Вас нет прав обновления системы, обратитесь к администратору. Помогите пожалуйста восстановить windowsinstaller

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 8 минут[/I][/B][/color][/size]

я выполняю все Ваши рекомендации и профиксил систему утилитой HijackThis, почему никто не отвечает на мой вопрос относительно windowsinstaller?

Почему нет ответа? Что я сделал не так? Если от Вас бесполезно ждать помощи так и скажите. чтобы я зря не терял время. Народ это уже несерьезно. Третий день жду ответа. Все мы люди ошибаемся. Если человек что то не так делает то надо предупреждать, а не игнорировать.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Указанное Вами приложение SUPERAntiSpyware, профиксил систему в HijackThis, все сделал по Вашим указаниям. но не понимаю почему ответ в течении трех дней. неужели если человек что то упустил или сделал не так, сложно спросить?

[QUOTE=denisiv;473356]Почему нет ответа?[/QUOTE]
Я не заходила на форум, а про остальных не могу ничего сказать.

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Вариантов много. Идем по-порядку:

1. Для начала проверьте, не отключено ли у Вас восстановление системы. Это может повлиять.

2. Пробуем установить в Safe Mode.

3. Если отказано в доступе, то зайдите в Windows как администратор и проверьте все системные файлы на целостность по sfc /scannow. Далее опять пройдитесь по пунктам 1 и 2.

4. Если не получится, проверьте права в реестре: правой кнопкой мыши на всех ветвях реестра (ключи HKEY_...). Вызовите контекстное меню, там в пункте Permissions должны присутствовать администраторы. И для гарантии добавьте себя лично (не помешает также добавить пользователя Administrator или Администратор, как он у Вас называется при входе в защищенном режиме).

помогите пожалуйста с windows installer, да и после того как профиксил ряд приложений перестал загружаться. например windowssidebar. я ставил его для виндовса xp

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

ой увидел спасибо. попробую сделать все согласно Вашим рекомендациям.

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Если отключено восстановление системы, мне его включить?

[QUOTE=denisiv;473370]Если отключено восстановление системы, мне его включить?[/QUOTE]
Да.

Выполнил я все вышеперечисленные Вами действия. Ничего не помогло. при установке неро стала появляться надпись виндос работает в защищенном режиме либо приложение windowsinstaller установленно неправильно.

Что именно сделали? Пункты 1 и 3 выполнили? Пробуйте установку в обычном режиме.

Все пункты с 1 по 4-й пробовал

[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]

в обычном режиме пробовал

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 37 минут[/I][/B][/color][/size]

не помогает те же симптомы. Перед вышеперечисленными симпотами выскакивает окошко с надписью принудительное завершение windows installer, а потому уже начинается симптомы которые я описал в предыдушем сообщении

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 40 минут[/I][/B][/color][/size]

единственный положительный эффект, это в обычном режиме windows installer стал нормально переустанавливаться. а все остальные проблемы с установкой неро и некоторых других программ те же

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

единственный положительный эффект, это в обычном режиме windows installer стал нормально переустанавливаться. а все остальные проблемы с установкой неро и некоторых других программ те же и симптомы те же что я описал выше

Мне смогут тут помочь?

[size="1"][color="#666686"][B][I]Добавлено через 46 секунд[/I][/B][/color][/size]

ответа нет уже в течении полуторасуток

[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]

ответа нет уже в течении полуторасуток

Такой лог сделайте [url]http://virusinfo.info/showthread.php?t=37840[/url]

Лог сделал. Прилагаю его к этому сообщению

мне удалять драйвер расширенного мониторинга ArKit Driver?

Да, можете удалить. Антируткит ставили для того, чтобы посмотреть корректность некоторых ключей в реестре. Скорее всего, вирус изменил настройки учетной записи пользователя. Посмотрите в журнале Windows код ошибки. По нему можно попробовать поискать, почему возникает проблема и как ее исправить.

как посмотреть код ошибки в журнале Windows?