Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Virus.win32.sality.aa везде! Помогите! (заявка № 31170)

  1. #1
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35

    Thumbs up Virus.win32.sality.aa везде! Помогите!

    Он мне надоел очень сильно. Касперский вроде лечит его, но с течением времени этот вирус всё равно заражает те же самые файлы которые уже заражал.. Помогите от него окончательно избавиться.
    Всё сделал по правилам. Вместо эксплорера запущена была Опера(експлорер повреждён).
    Спасибо.
    Последний раз редактировалось leon; 05.10.2008 в 22:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501

  4. #3
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Цитата Сообщение от V_Bond Посмотреть сообщение
    Данный этап уже проходил, но где-то неделю назад. (Dr.Web) сейчас не могу, слишком много времени это займёт. Винчестеров 3 штуки, на которых очень много разных *.rar и *.zip базы данных.. долго будет проверять. Я бы проверил, но на самом деле времени уже нет. Да и машины нету на которой можно проверить.

    В реестре раздел safeboot пустой. Редактор реестра не запускается, диспетчер тоже. При помощи хайджэка фиксю О7, реестр должен открываться (остаётся доступным буквально на 3-5 секунд), А теперь не открывается а пишет что отсутствует или повреждена какая-то dll
    " .dll" так и пишет.. без самого названия.. Такая-же фигня и с диспетчером задач.

    Касперский сдох после того как я его отключил для логов. Не запускается.
    Последний раз редактировалось leon; 30.09.2008 в 20:54.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1363
    Попробуйте эту утилиту Вложение 80497

  6. #5
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Скажите, как мне этот вирус из сети 25 компов выдурить?
    Профили перемещаемые, Документы тоже.
    В сети были чистые компы, но потом всё-равно заражлись. Как этот вирус перемещается по сети? кроме того что создаются autoun.inf и *.exe как он может ещё распространяться? Что мне нужно сделать перед тем как начать лечение? Т.к. всё равно, если даже 1 комп я вылечиваю(Касперский, Dr.web Cureit ничего не находят) то потом всё равно он заражается.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    откючить все от сети и лечить по очереди , подключая только вылеченные

  8. #7
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Всё сделал как нужно: отнёс домой 2 винта из 3х, прогнал их в безопасном при помощи CureIt, принёс на работу, восстановил винду с установочного диска. Прогнал AVZ и HijackThis. Логи Вшему вниманию предоставил.
    Последний раз редактировалось leon; 05.10.2008 в 22:16.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('dac970nt');
     QuarantineFile('C:\WINDOWS\system32\drivers\soqjnl.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\soqjnl.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Диспетчер задач и редактор реестра снова отключаются. Тотал виснет, AVZ закрывается через 3-4 секунды после открытия. Переименовал avz.exe в qweqwe.exe, выполнил скрипт. Карантин выслал. Высылаю логи.


    Файл сохранён как 081002_125729_virus_48e50b8962c8e.zip
    Размер файла 4617158
    MD5 ad9221bdc549af55bfae9937ca1eb1c8
    Последний раз редактировалось leon; 05.10.2008 в 22:16.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    недолечен файловый вирус ... нужно все начинать заново

  12. #11
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Чёрт. Это всё-таки сеть. Повезу опять домой лечить, только счас уже будет 5 винтов. + серверный.

  13. #12
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Сначала. Проверил 11 винчестеров.. Пока...
    1. Сервер
    Логи.
    Последний раз редактировалось leon; 05.10.2008 в 22:16.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    недолечен .... вы после лечения уже подключались к сети ?

  15. #14
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Цитата Сообщение от V_Bond Посмотреть сообщение
    недолечен .... вы после лечения уже подключались к сети ?
    Нет, но даже если бы подключал - в сети нет ни одного компа. специально только в субботу-воскресение занялся этим.

    Как вы узнали что недолечен? вы же логи не смотрели....(возле логов Написано 0 просмотров каждый)
    Последний раз редактировалось leon; 05.10.2008 в 16:17.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    смотрел ...

  17. #16
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Ну у меня признаков нету вируса...

    Одно могу сказать когда авз выполнял скрипты-касперский сервер был включён.. его нельзя отключить, и из процессов удалить тоже.

    Что делать? опять идти проверять?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    давайте попробуем
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('dac960nt.sys','');
     DeleteService('dac960nt');
     DeleteService('dac970nt');
     QuarantineFile('C:\WINDOWS\system32\drivers\jlmnmo.sys','');
     QuarantineFile('C:\WINDOWS\TEMP\nm0.exe','');
     DeleteFile('C:\WINDOWS\TEMP\nm0.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\jlmnmo.sys');
     DeleteFile('dac960nt.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    virusinfo_syscheck.zip повторите ...

  19. #18
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Файл сохранён как 081005_111255_virus_48e8e7871ad62.zip
    Размер файла 1006192
    MD5 9724760ef896c0be6903f81e8107301d

    Лог:
    Последний раз редактировалось leon; 05.10.2008 в 22:16.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    похоже чисто ....
    вот только nm0.exe не понятно от чего ... подождем ответ вирлаба

  21. #20
    Junior Member Репутация
    Регистрация
    13.09.2008
    Адрес
    Брест
    Сообщений
    19
    Вес репутации
    35
    Спасиба! Подождём...
    Комп №2:
    Последний раз редактировалось leon; 05.10.2008 в 22:16.

  • Уважаемый(ая) leon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. virus.win32.sality.aa
      От samavinash в разделе Malware Removal Service
      Ответов: 2
      Последнее сообщение: 17.07.2010, 08:45
    2. Ответов: 14
      Последнее сообщение: 26.02.2009, 15:09
    3. Ответов: 1
      Последнее сообщение: 26.02.2009, 14:29
    4. Virus.Win32.Sality.aa
      От Pain в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.02.2009, 10:28
    5. Помогите избавиться от Virus.Win32.Sality.aa
      От hardcoreASH в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.11.2008, 12:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00211 seconds with 16 queries