Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Устойчивый и живучий вирус w32.sality.s (Win32.Sector.28682). Прошу помощи. (заявка № 17573)

  1. #1
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    10
    Вес репутации
    59

    Exclamation Устойчивый и живучий вирус w32.sality.s (Win32.Sector.28682). Прошу помощи.

    Всем доброго времени суток.

    Давно я не подцеплял ничего особенно, но, видимо, пришел и мой черед...
    Скорее всего, вирусняк подцепил из нашей локальной сети...

    У меня три основные Windows XP SP2 (признаю, без автоматического обновления), одна для видеомонтажа, другая для игр, третья для работы.
    Во второй установлен антивирус Antivir, в третьей - Avast Home, в первой - ничего.

    Первые симптомы появились некоторое время назад. Я часто находился во второй операционной системе, под защитой (как я думал) Antivir'а. Заметил, что стоит мне отойти ненадолго от компьютера, компьютер пищал внутренним динамиком; появлялось характерное окошко Antivir'а о нахождении вышеупомянутого в заголовке темы sality.
    Я, к сожалению, не интересовался этим, наивно полагая, что раз антивирь ловит, он же и лечит.
    Эхх.
    После скачивания очередной игры в локальной сети, появилось большое количество окошек Antivir'а, уведомляющих о заражении многих системных файлов (в т.ч. и explorer.exe). Интересно, что лечить "антивир" их не предлагал, только удалять, что я, разумеется, делать не стал.
    Я, перезагрузив компьютер, вошел в другую операционную систему, где стоял Avast.
    Был озадачен отсутствием привычного значка в трее этого антивируса. Всегда рабочий ярлык с рабочего стола теперь указывал "в никуда".
    Порывшись наугад (плохо знаком с этим антивирусом), запустил сервис аваста для сканирования компьютера. Почти сутки шло это сканирование, в результате которого выявилось заражение тысяч системных файлов, но ни один из них не был вылечен!
    Я в шоке.

    Добавлю, что у меня стоит еще одна Windows XP SP2, почти без софта, без антивирусов, только с подключением к интернету; ей в обычное время я не пользуюсь.

    Загрузился в нее.
    Очередное потрясение. Internet Explorer, Mozilla Firefox, Opera - все отказывались заходить на сайт Касперского (я хотел сделать он-лайн сканирование). Я убрал все прокси-сервера из настроек, но это не дало результата! При этом другие сайты открывались на ОКей!

    С соседнего компьютера, с тем же подключением к интернету, сайт Касперского вполне быстро и успешно открывается!

    Дальше - хуже. Со второго компьютера я скачал пробную версию "Касперского". Поначалу она банально отказалась инсталлироваться, вылетая с "неизвестной ошибкой". Со второй попытки вроде инсталл успешно прошел, но, этот антивирь умирал сразу после его загрузки после старта операционной системы!
    То есть делаю "ребут", все грузится, значок Касперского появляется в трее и тут же исчезает (из процессов тоже). Если запускать его вручную - тот же результат.


    Пытаюсь все ту же "чистую" Windows XP запустить в безопасном режиме - "синее окно смерти" с фигурирующей надписью "проверьте свой компьютер на вирусы".

    К счастью, AVZ запустился, я выполнил в нем скрипт по данной рекомендации. Только так я смог зайти в безопасный режим.

    Затем из этого режима я, отключив восстановление системы, выполнил полную проверку компьютера программой CureIT (которая тоже успешно загрузилась). Она нашла вирусы, удалила, но после перезагрузки все опять возвращается на свои места.
    Запустил полную проверку через AVZ 4 (выкрутив на максимум безопасности настройки, высший эвристический анализ и т.д.). Оставил. Отошел от компьютера.
    Возвращаюсь - AVZ и в помине в процессах нет.

    Еще заметил, что когда загружаешь Windows и подключаешь защищенную от записи флешку, вылазит сообщение, типа explorer.exe или rundll32.exe не могут произвести запись на защищенный носитель. Кроме того, вылазят окна с надписью типа "не удается произвести запись на \device\harddisk15\dr17" (цифры меняются). У всех таких окошек - три кнопки "повторить", "отменить", "пропустить". Приходится тыкать на все до умопомрачения, т.к. окон таких вылазит много...

    Это нечто.


    Поэтому, прошу помощи у вас.

    Требуемые файлы прилагаю. Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ

    Код:
    begin
     SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}');
     QuarantineFile('d:\windows\explorer.exe','');
     QuarantineFile('D:\WINDOWS\system32\wmdrtc32.dll','');
     DeleteFile('D:\WINDOWS\system32\wmdrtc32.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин согласно приложения 3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=17573

  4. #3
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    10
    Вес репутации
    59
    Это проделать в любой из зараженных операционных систем?
    Последний раз редактировалось DoctorLans; 05.02.2008 в 16:08.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В той, где логи делали.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    10
    Вес репутации
    59
    В безопасном режиме или без разницы?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Выходит в обычном - делайте в обычном

  8. #7
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    10
    Вес репутации
    59
    Всё, архив загружен через форму.

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Вы логи через форму грузили
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    логи - к сообщению прикреплять, карантин - по форме грузить...

  11. #10
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    10
    Вес репутации
    59
    akoK, все делал по инструкции.
    AVZ-файл-Просмотр карантина



    Выделил все файлы (2 шт.). Нажал "архивировать" - появился virus.zip, который я и залил через форму.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    explorer.exe - чистый
    wmdrtc32.dll - Virus.Win32.Sality.s

    Теперь нужны логи...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    И попробуйте полечить зараженные вирусом файлы CureIt!'ом (ссылка в правилах).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Или AVPTool
    Microsoft Most Valuable Professional in Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    10
    Вес репутации
    59
    Свежие логи.
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    CureIt проверились? Virus жив... уже и avz заразил

  17. #16
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    10
    Вес репутации
    59
    rubin
    Цитата Сообщение от kps
    И попробуйте полечить зараженные вирусом файлы CureIt!'ом (ссылка в правилах).
    В первом своем сообщении я уже упоминал о полной проверке компьютера этой программой. Она нашла и исцелила огромное количество файлов, зараженных Win32.Sector.28682 (подозреваю это тот же win32.sality.s по версии AVZ), однако проблемы это не решило - после перезагрузки вирус продолжил свою подлую деятельность.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\drivers\mnkhj.sys','');
     DeleteFile('D:\WINDOWS\system32\drivers\mnkhj.sys');
     DeleteFile('D:\WINDOWS\system32\wmdrtc32.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Сделайте новый лог syscheck (п.10 правил).
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    10
    Вес репутации
    59
    akoK, не пускает по этой ссылке: AVPTool, видимо опять же из-за деятельности вируса.

  20. #19
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    10
    Вес репутации
    59
    Скрипт от Bratez выполнил.
    Новые логи прилагаю.
    Карантин загрузил.

    Сколько не удаляй этот .dll - он все появляется...
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    у вас файловый вирус .... нужно лечится сначала от него ...
    выполните пункт 2 правил ....

  • Уважаемый(ая) DoctorLans, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.Sector.28682 он же Win32/Sality.NAM
      От Lqaz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.08.2009, 10:05
    2. Win32.Sector.28682
      От Zizou в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:34
    3. Вирус Win32.Sector.xxx либо Win32.Sality.
      От Akela в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.09.2008, 17:46
    4. win32.sector.28682
      От Yulia в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.09.2007, 10:38
    5. подцепил Win32.Sector.28682
      От hurricane в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.03.2007, 16:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01054 seconds with 20 queries