Показано с 1 по 16 из 16.

Не могу избавиться от вируса Win32.Sector.6 (Sality.NAO) (заявка № 50100)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    44
    Вес репутации
    32

    Cool Не могу избавиться от вируса Win32.Sector.6 (Sality.NAO)

    В общем, данная зараза липнет ко всем исполняемым (*.exe) файлам. В первую очередь - это текущие процессы системы (nwiz.exe, oodag.exe, rundll32.exe и тд)

    Также она блокирует доступ к сайтам антивирусной тематики, не позволяет запускать AVZ (возможно, и другие утилиты подобного рода), не позволяет загружаться в безопасном режиме.

    Суть действия данного вируса я не понял, но по мере роста количества зараженных файлов производительность системы заметно падает.

    В первую очередь раздобыл Cureit. После быстрой проверки в памяти всегда обнаруживается какой-то обычный процесс (см. выше), зараженный этой гадостью, идентифицируемой Др. Вебом как Win32.Sector.6. Помимо этого обнаруживаются другие процессы, но идентифицируются они уже как Win32.Sector.5.

    Полная проверка Cureit'ом общей картины не меняет. Только лишь существенно возрастает количество файлов, зараженных Win32.Sector.5

    Также в процессах всегда висит один-два непонятных процессов с именами, типа "wc0d50.exe". Cureit'ом они тоже определяются. Причем он выводит два обозначения одного и того же файла: Win32.Sector.5 (который он лечит), и что-то еще, типа "Trojan.Mail.Spam" (точно не помню написание) - их он удаляет. Данные файлики сидят в папке Documents and Settings/Администратор/Local Settings/temp. Удаление не помогает, после перезагрузки они появляются вновь (а возможно и регулярно, независимо от перезагрузки).

    Ну вот, собственно, попытался максимально подробно изложить проблему. Если я правильно понимаю, то тело вируса - это Win32.Sector.6, и файл, который им заражается, заражает уже остальные файлы.
    Последний раз редактировалось Baz1k; 16.05.2011 в 18:57.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Win32.Sector скачивает троянские модули и обновляет сам себя через Интернет.
    Некоторые файлы, похоже, заражены двумя вариантами вируса.
    AVZ.exe тоже заражен. Удалите его, а когда вылечите компьютер, распакуйте из zip-файла снова и сделайте логи.
    Как лечить файловый вирус: http://virusinfo.info/showthread.php?t=15927

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    44
    Вес репутации
    32
    Ну вроде сделал... Но все так и осталось.
    Последний раз редактировалось Baz1k; 16.05.2011 в 18:57.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    При создании первого лога AVZ был здоров, во втором снова заражен.
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteRepair(6); 
    SetAVZPMStatus(True);
     DelCLSID('{88888888-8888-8888-8888-888888888888}');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\goqojr.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\awv1eg6z.SYS','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\0eO7x7YJ.sys','');
     QuarantineFile('c:\windows\system32\ctfmon.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  6. #5
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    44
    Вес репутации
    32
    Сделал. Карантин выслал.

    После перезагрузки avz.exe снова заразился и запускаться не стал. Заменил его незараженным из архива avz, который скачал утром.
    Последний раз редактировалось Baz1k; 16.05.2011 в 18:57.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\orwj50Zj.sys','');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe');
     TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\w83232.exe');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\w83232.exe','');
     DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
     QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\goqojr.sys','');
     SetServiceStart('dpti930', 4);
     DeleteService('dpti930');
     DeleteFile('C:\WINDOWS\system32\drivers\goqojr.sys');
     DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\w83232.exe');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\wc5a33.exe');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\orwj50Zj.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    44
    Вес репутации
    32
    Сделал.

    PS. После каждой перезагрузки приходится проводить быструю проверку Cureit'ом: он "обезвреживает" процесс, зараженный Win32.Sector.6 и "исцеляет" несколько процессов и файлов, зараженных Win32.Sector.5 (в общем, как в первом посте я описал). Иначе AVZ не запускается.
    Последний раз редактировалось Baz1k; 16.05.2011 в 18:57.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Бесполезная борьба. Лечитесь с LiveCD
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    44
    Вес репутации
    32
    Цитата Сообщение от thyrex Посмотреть сообщение
    Бесполезная борьба. Лечитесь с LiveCD
    Дак вроде лечился DrWebLiveCD... Просканил в SafeMode, кучу поубивал он, но ничего не изменилось...

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Вы не перепутали CureIt с LiveCD? Это разные способы борьбы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    44
    Вес репутации
    32
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вы не перепутали CureIt с LiveCD? Это разные способы борьбы
    Нет, не перепутал..

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Цитата Сообщение от Baz1k Посмотреть сообщение
    После каждой перезагрузки приходится проводить быструю проверку Cureit'ом
    А как понимать это, если Вы лечитесь с DrWeb LiveCD?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    44
    Вес репутации
    32
    Цитата Сообщение от thyrex Посмотреть сообщение
    А как понимать это, если Вы лечитесь с DrWeb LiveCD?
    Ну так и понимать.. После сканирования с диска DrWebLiveCD (именно с диска...специально нарезал) в SafeMode ничего не изменилось...

    А мои сканирования Cureit'ом - это, уже ставшие "обычными", манипуляции, чтобы запустить AVZ.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Что не изменилось? Safe Mode не работает, Сектор жив - так?

  16. #15
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    44
    Вес репутации
    32
    Цитата Сообщение от pig Посмотреть сообщение
    Что не изменилось? Safe Mode не работает, Сектор жив - так?
    SafeMode начинал работать после его восстановления через AVZ. Сектор никуда уходить не собирался.

    Все в прошедшем времени, так как я его в конце концов осилил.

    Делал следующее:
    1. Удалил ветку из реестра: HKCU\Software\user914, где user - имя пользователя (у меня ветка называлась Администратор914).
    2. Открыл файл c:/windows/system.ini и удалил вот это:
    Код:
    [MCIDRV_VER]
    DEVICEMB=127446824460
    3. Прогнал Cureit'ом.
    4. После перезагрузки сделал полную проверку Dr. Web 5, дабы вылечить все зараженные файлы.

    PS. Существуют еще утилитки sality_off и sality_remover от Касперского. Мне они не понадобились. Но думаю, что они тоже должны помочь.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 24
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Baz1k, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 12
      Последнее сообщение: 07.06.2009, 11:48
    2. Не могу избавиться от W32.Sality.NAO (win32.sector5)
      От chem в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:56
    3. Не могу избавиться от вируса Win32.Sector5
      От BarakuzA в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.02.2009, 16:50
    4. Ответов: 0
      Последнее сообщение: 19.12.2008, 09:30
    5. Не могу избавиться от Win32.Sector.5 и прочих.
      От caro в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.05.2008, 21:32

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00995 seconds with 16 queries