Показано с 1 по 12 из 12.

Не могу избавиться от W32.Sality.NAO (win32.sector5) (заявка № 21735)

  1. #1
    Junior Member Репутация
    Регистрация
    18.04.2008
    Сообщений
    5
    Вес репутации
    59

    Exclamation Не могу избавиться от W32.Sality.NAO (win32.sector5)

    Выполнить инструкцию по запуску CureIt в безопасном режиме не смог, т.к.данный вирус первым делом трет из реестра ветку, позволяющую это сделать. Запустил CureIt, загрузившись с CD ERD-Commander-a. Было обнаружено и вылечено множество .EXE файлов. После перезагрузки в нормальном режиме - сразу видны следы вирусной активности, а чуть позже - появляются зараженные .EXE файлы. virusinfo_syscure.zip получить не смог, т.к. AVZ (чистый, незараженный, запущенный с защищенного от записи носителя, кроме папки LOG, конечно) - не закончив работу - вылетает. Симптомы заражения похожи на те, что описаны в Сети для вируса w32.Sality.AB (win32.sector.4). Помогите локализовать вирус, я не могу найти, где он прячется.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('WMI_MFC_TPSHOKER_80'); 
     DeleteService('WMI_MFC_TPSHOKER_80');
     QuarantineFile('D:\WINNT\system32\drivers\ohpihn.sys','');
     QuarantineFile('D:\WINNT\System','');
     DeleteFile('D:\WINNT\System');
     DeleteFile('D:\WINNT\system32\drivers\ohpihn.sys');
    BC_Activate;
    BC_ImportDeletedList;
    RebootWindows(true);
    end.
    После ребута закачайте карантин и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    18.04.2008
    Сообщений
    5
    Вес репутации
    59
    Скрипт выполнил, загрузился под ERD Commander и опять пролечил все с помощью CureIt. При обычной загрузке - вирусная активность. Не помогло... Карантин высылаю, повторные логи - прилагаю. Могу так же, если это поможет, прислать лог Sysinternals Autoruns и Proccess Explorer.
    При работе вируса - Proccess Explorer отмечает бешенную активность в работе процесса ati2evxx.exe
    Вложения Вложения
    Последний раз редактировалось chem; 19.04.2008 в 11:29.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах проблем не нашел. Зато нашел ошибку (не критическую) в моем вчерашнем скрипте .
    На какой файл ругается НОД/Доктор? Системное восстановление отключали? Временные папки чистили? Созываю консилиум.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    DeleteFile('D:\WINNT\system32\drivers\ohpihn.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('WMI_MFC_TPSHOKER_80');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Т.к. у Вас файловый вирус, он может быть запущен любым зараженным файлом, т.е. логи AVZ здесь много нам не скажут.

    Сделайте следующее:
    1) http://virusinfo.info/showthread.php?t=15927 пункт 1 (запишите CureIt! на CD на здоровом компьютере!).

    2) Для восстановления безопасного режима выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Попробуйте зайти в безопасный режим, если получится, пролечите больной компьютер оттуда с CD с помощью CureIt!, затем в нормальном режиме, как написано здесь: http://virusinfo.info/showthread.php?t=15927

    Затем скачайте самый свежий AVPTool http://ftp.kaspersky.com/devbuilds/AVPTool/ и пролечите компьютер им.
    Последний раз редактировалось kps; 19.04.2008 в 12:12. Причина: Подправил ссылку
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    18.04.2008
    Сообщений
    5
    Вес репутации
    59
    Снова я. Нод, как таковой, умирает одним из первых. Служба его ядра - останавливается вирусом. Если насильно, после временного пролечивания (см. предыдущие посты) Нод все же запустить - методом ручного восстанавливания веток реестра, где Нодовская служба стартует, то на один сеанс Нод оживает и работает до перезагрузки. Причем с максимальными настройками Нод ругается только на .EXE, при запуске зараженного приложения. При проверке Нодом диска - картина точно такая же как и при проверке CureIt-ом - куча найденых и вылеченных EXEшников, только раз в 100 медленнее CureIt-а. Из ньюансов, не указанных ранее - я запретил запись в d:\winnt\system32\drivers\.... Временные папки - TEMP винды, TEMP пользователя и temp-папка IE - очищены, восстановление системы - под Win2K - что такое? Это ж вроде для XP?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от chem Посмотреть сообщение
    восстановление системы - под Win2K - что такое? Это ж вроде для XP?
    сорри, Вы правы .
    А что у Вас на разделе C: установлено?

  9. #8
    Junior Member Репутация
    Регистрация
    18.04.2008
    Сообщений
    5
    Вес репутации
    59
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    сорри, Вы правы .
    А что у Вас на разделе C: установлено?
    Да вроде ничего там нет, лежит дистрибудив Win2K Pro, и загрузочные файлы винды... С: раздел FAT16. Сама винда - на D: NTFS, конечно...

    Кстати - вирусной активности пока не наблюдаю, причем я вторую порцию ваших скриптов еще не выполнял. Значит запрещение записи в SYSDIR\drivers сработало? Вирус не может родиться? Кстати - я открыл эту тему на примере одной конкретной машины, а у меня их десятки, зараженных я имею в виду. Нет ли каких-либо более универсальных рекомендаций по удалению Sality.NAO? Если мне придется собирать логи с каждой машины - это не на одну неделю <img>

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Вы инструкции из поста номер 5 выполнили?
    Для лечения остальных машин - если там только этот файловый вирус, то для начала можно обойтись без логов AVZ, а пробовать выполнить инструкции из поста номер 5, начиная со строки "Сделайте следующее:" и дальше.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от chem Посмотреть сообщение
    Нет ли каких-либо более универсальных рекомендаций по удалению Sality.NAO?
    Лучший способ очистки системы - to flatten and re-build Посмотрите рекомендации тут : http://www.scanspyware.net/info/Sality.htm

  12. #11
    Junior Member Репутация
    Регистрация
    18.04.2008
    Сообщений
    5
    Вес репутации
    59
    Цитата Сообщение от kps Посмотреть сообщение
    Вы инструкции из поста номер 5 выполнили?
    Для лечения остальных машин - если там только этот файловый вирус, то для начала можно обойтись без логов AVZ, а пробовать выполнить инструкции из поста номер 5, начиная со строки "Сделайте следующее:" и дальше.
    Это сейчас делается, в безопасном режиме УЖЕ удалось загрузиться, идет проверка. Кстати, после выполнения скрипта 1 из поста 5 - самостоятельно перегрузиться комп не смог, пришлось через reset...

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) chem, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не могу избавиться от sality.aa
      От nick13 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 03.01.2010, 20:27
    2. Ответов: 15
      Последнее сообщение: 23.07.2009, 07:37
    3. Не могу избавиться от вируса Win32.Sector5
      От BarakuzA в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.02.2009, 16:50
    4. Не могу избавиться от W32/Sality.Y
      От PRomanS в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 21.01.2009, 11:46
    5. Win32/Sality.ag aka Sector5
      От 4uHru3 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.10.2008, 15:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01620 seconds with 18 queries