Если у юзера нет админских прав, то в папку Windows вирус не попадает, соответственно, лечится гораздо проще.

Добрый день.
Народ... Подскажите какой-нить антивирь, который может послужить хотя бы фаерволом на 2к3 винде?
Авира хоть и не пропускает, но ставится только на ХР и Висту....

сложно бороться с вирусами живущими в ring 0. штука реально опасная, писана индивидумом с хорошими знаниями ОС
читайте http://aborche.livejournal.com/1300.html

и тут лекарство и методы военных действий http://www.trendmicro.com/vinfo/virusencyclo/default…%2EM&VSect=Sn

Лечим усё так!
с помощью AVZ восстанавливаем safe mode
скрипт для востановления -
begin
SetAVZGuardStatus(True);
ExecuteRepair(10);
end.

Перегружаемся в safe mode c потдержкой сетевой

Лечим папку windows, program files, и папку юзера (я лечил халявным Доктор Вебом)

Перезагружаемсо

Усатавлеваем end point от symantec

всё! вирусоф нед!

Добавление от 17.07.2008 15:01:

Лечим усё так!
с помощью AVZ восстанавливаем safe mode
скрипт для востановления -
begin
SetAVZGuardStatus(True);
ExecuteRepair(10);
end.

Перегружаемся в safe mode c потдержкой сетевой

Лечим папку windows, program files, и папку юзера (я лечил халявным Доктор Вебом)

Перезагружаемсо

Усатавлеваем end point от symantec

всё! вирусоф нед!

Тоже подхватили такую же хрень (или уже модифицированную, как его определяет нод32). Сидит в сети и все, хоть большинство компов не заражено и то радует

Провел эксперимент - на компе стоит нод32 (3-ий самый свежий + самые свежие базы). Запускаю зараженный экзешник. Нод32 не успевает или не может перехватить запуск зараженного файла. Происходит заражение. Начинает ругаться на экзешники, которые нах-ся в разных папках на компе (когда вирусня начинает их заражать). Какого хрена позволяет произойти заражению?

Эта модифицированная зараза называется Win32.Sector.12 кое как лечится ВЭБом, а в целом излечится очень туго...

Добавление от 25.09.2008 08:01:

Люди, подскажите, через что он распространяется? В машину, с которой началось заражение в этот день ни флэшек ни других съемных носителей не ставилось!

Symon
Хз...у нас оказалось все пошло с СД диска, присланного нам разработчиками по, которое мы используем. Правда там был Sality.NAJ, а потом в сети ловился Sality.NAR. Но пошло совершенно точно с этого диска, видать вирус потом уже закачал себя заново из инета (типа update сделал...бугага).

POMKA
А у нас это дело пришло с обновлениями Консультант+, зла не хватает, сегодня эта зараза на КД всплыла.

Лечение http://www.trendmicro.com/vinfo/emea/virusencyclo/de….JER&VSect=Sn

Моя лепта в общую копилку.
Набор борца с Sality включает в первую очередь AVZ, включаем AVZguard, пытаемся зачистить память и систему по возможности.
Потом натравить на систему или AVP tool, или A2square, на сайте http://www.emsisoft.com есть версия A2USB, с наиболее актуальными базами. Заием есть смысл поставить триал a-squared Anti-Malware 4.0. Обновить базы и старательно проверить систему. На двух машинах рецепт сработал. Хочу отметить, что sality_off который лежит на сайте Kaspersky оказался неэффективен. Ни в режиме -m, ни в режиме простой проверки. Потом дочищал Panda 2008. Неделю полет нормальный.

Маленькое, но важное уточнение! Утилиты надо запускать с CD, SystemRestore повыключать,финальную проверку если и делать KAV, то выключив iSwift&iChecker, в AVP tool их отключать не получается.

Добавлю в копилку опыта. От этой дряни помогает еще это:

Windows Live OneCare

Я сам столкнулся с ним на незащищенной виртуалке, соответственно, ни каких установок антивируса и обновлений произвести не смог, и тут вспомнил рекламу этого средства на сайте Microsoft

Средство Live OneCare работает в окне браузера IE, на базе ActiveX, даже если сам exe-шник IE заражен.
Sality.NAO не считает за антивирус Live OneCare и не трогает его компоненты (они же не exe).
Одновременно, OneCare не только находит, но и излечивает программы.

Все же уточню:

На несистемном томе лежало два дистрибутива и несколько обновлений MS для XP. OneCare выдал почему-то ошибку и не смог их вылечить, однако вылечил все остальное. После перезагрузки был установлен "продвинутый" антивирус, который успешно обновился и вылечил эти файлы.

P.s.: Так что, даже такое простейшее "юзерское" средство, оказывается, может решить серьезную проблему

лечил от этого ноут приятеля. 1400 зараженных exe.
Вирус окопался и заперся изнутри. Установить антивир не давал. Разрешил только запустить winnt32 и накатить параллельную ось. После чего сканироване перез загрузкой оси (Аваст).
Где-то было написано что вирь в бутовом секторе живёт и кардинально (надёжно) решается только сносом разделов

Вставляю флешку и наблюдаю к своему удивлению подозрительный скрытый фаил с иконкой нотепада, и расширением .ехе. Тудже отправил на проверку и оказалось этот вирус. Самое интересное - он не заражает 64-битные системы!!! Несмотря на то что в флешке был в автозагрузке прописан система чистая, диспетчер задач вызывается и тому подобное.

Первые подозрения возникли когда флешка в ноуте продолжала мерцать, хотя я на неё уже ничего не записывал, и при попытке безопасного отсоединения usb-устройства выдавал что она используется хотя я на неё ничего не качал и все что её могло пользовать позакрывал

Сейчас cure-it проверяю флешку, вылечила почти все экзешники.

Беременное Нейтрино
Нормально лечится без всякого сноса. Самый простой вариан снять жесткий диск, поключить к незаражонному компу с Касперским погонять им, ну ещё чемнибудь, подправить реестр тоталом и может кое что помелочам и злого вируса как небывало.

Люди,а если Авирой удалил все зараженные файлы,то вирус удален?
или гдето засел?У меня он обнаружился как W32.Sality.Y Просто я в этом деле вообще дуб дубом и не знаю что мне делать((( а комп из-за этого вируса до этого вообще переиодически отказывался включаться. А после прочистки Авирой - половина прог,которые часто использовал - не работают,пришлось заново переустанавливать(((

У меня этот вирус ток вчера был...Пришлось изолировать все главные файлы(фотки ,видео и музыку ну там ещё некоторые файлы ,кроме ехе файлов)...и форматировать винч...потом новая винда, сразу антивирусом всё проверил - вируса не оказалось))) а антивирус у меня не лицензионный был до переустановки виндовса, и чтоб он пахал нужно было камп перезагрузить но после перезагрузки антивирус заразился и удалил сам себя)))

Гоняю сейчас эту тварь. Задолбал. Вроде находится и лечится вебом, но напрягают описания его чудного возрождения. Птица феликс какая-то.

Добавление от 12.03.2009 20:38:

Значит так с этой пцицей... Во первых надо отрезать ВСЕ пути её воскрешения. Чистим диск от резервных копий в нормальном инфицированном режиме: Мой Компьютер-> Свойства-> Восстановление системы. Ставим галочку (временно пока гадину не победим) "Отключить восстановление системы ..."
Это только начало. Затем делаем полную очистку дисков (не форматируем, но очищаем - надеюсь процедура известна). Далее потребуется загрузка операционки с CD реаниматора или цепляем больной диск к чистому компу. Проходим антивирем по основным каталогам "Windows, Program files, System Volume Information, Documents and Settings". Вот тут этот герой прячется. Лечим. В оперативку он теперь не попадет. Теперь заходим в безопасный режим на родном винте на родном компьютере (не дает? Ну и фиг с ним. Загружаем не безопасный, а "восстановление каталога" или как-то так в том-же меню из выбора варианта загрузки по F8). Вот тут нам потребуется копия антивиря хоть на флешке, хоть на CD хоть на чем угодно. Веб глушит его здоровски (хотя даже в защищенном режиме до очистки он убивал антивирь или заражал). Делаем полную проверку диска.
Всё. Если есть замечания - не бейте сильно. Опыт проведен на компьютерах частников. Никто из животных не пострадал.
пысы На просторах инета кто-то высказал мысль о том, что автору сего твАрения сначала пожал-бы руку, затем дал-бы в морду. Подписываюсь и я под этой мыслью.
Золотая голова дураку досталась.

Исправлено: shamanskiy, 12.03.2009 20:53

такс.. почитала, кажется - мой друг у меня сейчас 2 ноута дома, 1 - точно с этой гадостью, во второй ставила флешку из зараженного.. забирала с нее 1 файл txt и 1 doc... полагаю второй уже тоже заболел (


shamanskiy
Затем делаем полную очистку дисков (не форматируем, но очищаем - надеюсь процедура известна). нет, не поняла про что речь


Далее потребуется загрузка операционки с CD реаниматора или цепляем больной диск к чистому компу.
CD реаниматора нет и чистого компа видимо нет, носила больного к челу, у которого чистый комп (был ) но подключить он его не смог, хотя чел соображает, 2 компа дома, правда все под ХР, а у меня на больном Виста..

я подумываю не переставить ли Винду, но 1 - не уверена, что поможет без полного форматирования, а у меня Винда поставлялась с ноутом и зашита там хде-то.. 2 - не знаю как ставить эту самую зашитую Висту, это не проблема конечно, 1 раз попробовать и буду знать, но надо чтоб вирь убился.. лишнего времени на бесполезные эксперементы нет.. да и инфу бы с диска D (там много, а винта съемного нет) сохранить


советы почитала... все разное советуют

avz - не помошник - не включить AVZguard, ничего не сделать вообще, максимум - показывает что все драйвера и процессы не зеленые а черные и куча красных процессов, имеющих только pid, после установки оутпоста - этих процессов нет..

есть диск и с NOD32 и с AVP и с DrVeb все базы мартовские.. не работают естественно


помогите девушке советом

я его лечил так, загрузил с внешнего usb винта WinPE (можно и компакта) потом запустил курейта и сказал ему проверять все запускаемые файлы, паралельно почистил всякие темпы и поглядел что в загрузочных ветках реестра помоему чтото от туда удалял лишнего не факт что связано с этим вирем, птом уже грузился с помощью avz выправлял загрузку в safemode а потом переставил каспера в режиме восстановления и все

загрузилась, запустила курейт, он чуток поработал и вырубился, больше запускаться не хотел, перегрузилась, запустила, ничего не нашел.. как и при проверке при обычной загрузке компа...

Лучше с LiveCD загрузитесь или к другой машине винт подключите (осторожно чтоб там все не перезаражать) а на зараженной машине веба гонять бессмыслено, так оно его не пролечит

На просторах инета кто-то высказал мысль о том, что автору сего твАрения сначала пожал-бы руку, затем дал-бы в морду. Подписываюсь и я под этой мыслью. Золотая голова дураку досталась. Солидарен в данном вопросе!
Сам подхватил данную заразу...уж что что ну а такое я в первые вижу. Дома вылечил слейдующей операцией: форматнул винду, не ставив дрова запустил НОД версию 2.7.... с обновлениями за середину марта нынещнего года, заразу нашел удалил правда все проги которые он тронул точнее ехе пришлось в топку удалить но тем неменее систему прочистил этот НОД, а вот на работе данная процедура не вканывает. Какую тока версию нода не ставил, на первых стадиях вроде все пролечил все чисто, а нет через мин 30 начинает атаковать непонятно откуда....от сети отрублен. Буду применять не гуманные решения....думаю о полностью форматировании винта

пробуйте каспера с доктором вебом, они лечат экзешники от этой заразы а не тупо удаляют

До сих пор лечил так (на разных машинах)
1. Загрузка с чистой системы (например, с CD Windows XPE) Как изготовить такой диск самому, и мои маленькие хитрости при его изготовлении
могу описать отдельно, если кто попросит. А пока ссылка: http://www.oszone.net/3200/
2.Запускаю с этого - же CD предварительно скопированный туда Dr.Web или cureit от Данилова (http://www.freedrweb.com/cureit/)
3. В настройках отключаю поиск в архивах и файлах справки. Ставлю максимальный приоритет, дабы не дать перехватить управление вирусу.
4. Пролечиваю все диски
5. Перезагружаюсь в обычном режиме, и запускаю Kaspersky Virus Removal Tool (http://avptool.virusinfo.info/ru/).
6. Настраиваю его на максимальный анализ и проверку всех файлов на всех дисках.
7 Наслаждаюсь.
Но последнее время появились новые разновидности паразита, или это зависит от винды,
но вирус возникаете вновь. Слышал, что часть или полностью код вируса хранится в реестре.
Кто может сообщить подробнее?
Мои наблюдения:
Вирус никогда не ходит один. Он заражает другие вирусы и трояны. При попятке вылечить - убивает антивирус.
NOD32 любой версии бесполезен, он не предотвращает заражение и при лечении убивает все заражённые файлы.
Каспер очень тяжёлый, поэтому я его не ставлю. Но одноразовая утилита лечит хорошо.
DrWeb444 не всегда всё пролечивает, но один раз отбил Sality (sector) на моих глазах.

Каспер очень тяжёлый, поэтому я его не ставлю. Но одноразовая утилита лечит хорошо.
Каспер его пропускает, я обычно его тока после курейта запускаю (вылечин от салити aa и z не один комп) и только после перестановки винды, так как там есть шанс на пару нормальных перезагрузок... проблема в обязательной перезагрузке (включить службу в ручную не получается, как с нодом можно сделать, например). Хотя сейчас появился дома такой эффект тока 2 дня назад: каспер обновлённый, лицовый, а тут перестал замечать автораны и вообще перестал запускаться диспетчер задач (причём без обычного для салити объявления, что нет прав его запустить), редактор реестра в норме и безопасный тоже.. это салити или к-нить попроще методы борьбы можно предпринять?

OSV-2
Слышал, что часть или полностью код вируса хранится в реестре. Кто может сообщить подробнее?
У каждого (!) пользователя (в сети) в реестре создаётся раздел в HKCU\Software\914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей. Раздел с допиской “914? сносим!
В файл system.ini вирус прописывает значения на указатели реестра где находится код тела примерно вот в таком виде.
[MCIDRV_VER]
DEVICEMB=127446824460
[MCI_DPI32]
DRV_VER=0A34224648
Мои наблюдения:
Вирус никогда не ходит один. Он заражает другие вирусы и трояны. При попытке вылечить - убивает антивирус.
NOD32 любой версии бесполезен, он не предотвращает заражение и при лечении убивает все заражённые файлы.
Каспер очень тяжёлый, поэтому я его не ставлю. Но одноразовая утилита лечит хорошо.
Стопудово все подтверждаю- очень тяжело вывести гадину, щас он называется sector.17
Ныжны LiveCD+Cureit+ручная чистка реестра(или утилита с http://support.kaspersky.ru/viruses/solutions?qid=208636131)

Впервые вирус довел до состояния паники (думаю как и многих из вас).
Излагаю то, что РЕАЛЬНО помогло мне.
Скачал утилитку http://support.kaspersky.ru/downloads/utils/sality_off.rar. Запускаем ее с ключом -m. Утилита следит за памятью компьютера и не дает перехватывать и заражать вирусу запускаемые exe. Даже если запустить зараженный exe, утилита его полечит и запусти здоровым. Это клетка для Sality. Вирус не убит, но и не может заражать другие exe. Запуск утилиты без параметров проверяет все диски на комьютере и лечит файлы.
Затем скачал AVZ http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip и добился чтобы не было красных записей при сканировании.

Восстановление Safe mode, Диспетчера и реестра - дело последнее.

Уже третий день работаю с этими двумя загруженными программами, новых утечек не обнаружено.

Вчера ситуация была. Нод с новыми базами высветил сообщение о том что к-то там файл заражён Салити и будет удалён после перезагрузки. Вручную файл не удалялся (файл появился в корзине похожей на те что автораны делают), ни с анлокером ни с чем ещё. Зашёл в реестр и нашёл в винлогоне запись taskman и значение указывающее на этот файл. Так как в винлогоне не должно быть вопще ничего кроме эксплорера из программ, то попробовал удалить (поменять параметр тот же эффект), но он после того как выберешь другую ветвь и вернёшься обратно (обновить) уже как новенький. Значит выполняется к-то код в это время. Нод молчит. Зашёл с барта и через ЕRD командер удалил запись, удалил файл, перезагрузка в безопасном, проверил курейтом свежескаченным, потом тем Нодом. Ничего не нашли... После запуска в нормальном режиме всё нормально и замечательно. Выходит главное убить тварь пока не перезагрузился комп...