Автор Тема: меня посетил вирус Sality  (Прочитано 8855 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
меня посетил вирус Sality
« : 14 Сентябрь 2009, 22:04:57 »
короче: пришёл ко мне знакомый, думали во чтобы такое поиграть и раскопал я в недрах винта игруху в которую почти не играл - Mashed. Ну поиграли, понравилось, друг попросил записать ему на флешку, ну записал. Причём ещё при нём хотел я вызвать диспетчер задач, но тот сказал что "админ отключил эту фичу" (ну я конечно не слово в слово, а смысл передаю). Тогда я не придал этому значения, а вот сегодня мы встретились и он рассказал что у него ТА ЖЕ ФИГНЯ! Короче нет сомнений, это вирус.

Сегодня я пытался с ним боротся, но он гад и реестр прикрыл, и диспетчер и не даёт антивирусник ставить (не смейтесь, но его у меняне было  :blush: как то лень было ставить) и даже блкирует некоорые сайты! Я переустановил винду с удалением предыдущей папки Windows, и вроде всё было ОК, НО стоило немного поиграть в КС, как вирус вернулся в НОВЫЙ виндоус! Учитывая что НИКАКИХ драйверов и прог я не ставил (не считая драйвера модема), а виндоус был проверенный.

Короче: что делать? слышал что есть некие live cd и их можно скачать с оф сайтов, НО гадский вирус не пускает меня на сайты антивирусников! Ктонибуть, можете дать ПРЯМУЮ ссылку на какойнибуть live cd? Желательно Каспесркого. Можно и другой, но лишь бы не nod32
« Последнее редактирование: 16 Сентябрь 2009, 19:27:59 от ALEX_230_VOLT »

Оффлайн shiningforce

  • Пользователь
  • Сообщений: 1500
  • Пол: Мужской
  • This is my boomstick
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #1 : 14 Сентябрь 2009, 22:11:53 »
Эко вас, батенька, раскорячило ;) Дуй в железный раздел с этой темой, а заодно поищи похожие - метод борьбы с такой напастью известен и в тех темах достаточно подробно расписан (в пределах первых 5 страниц).

Оффлайн Ti_

  • Пользователь
  • Сообщений: 3265
  • Пол: Мужской
    • ВКонтакте
    • Youtube
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #2 : 14 Сентябрь 2009, 22:12:34 »

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #3 : 14 Сентябрь 2009, 22:14:58 »
shiningforce, а можно прямую ссылку? неохота терять время на поиски  :-\

Добавлено позже:
Цитата: Ti_
http://www.freedrweb.com/livecd/
спасибо, уже скачиваю ;)
хотя с deposit files уже убедился что не даёт скачать :(

Добавлено позже:
shiningforce, просьба на прямую ссылку в силе

Оффлайн shiningforce

  • Пользователь
  • Сообщений: 1500
  • Пол: Мужской
  • This is my boomstick
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #4 : 14 Сентябрь 2009, 22:19:23 »
http://www.emu-land.net/forum/index.php/topic,29074.0.html
4-я страница, за ней должно быть ещё пару подобных тем, причём недалеко.

Оффлайн Henty

  • Пользователь
  • Сообщений: 796
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #5 : 14 Сентябрь 2009, 22:20:15 »
http://www.freedrweb.com/download+cureit/gr/
Вот это можешь скачать и проверить комп.

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #6 : 14 Сентябрь 2009, 22:21:11 »
shiningforce, спасибо, щас буду читать

Добавлено позже:
Henty, так уже качаю ;)

Оффлайн aptyp

  • Пользователь
  • Сообщений: 6263
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #7 : 14 Сентябрь 2009, 22:25:24 »
ALEX_230_VOLT, всем твоим exe-шникам полный пипец, качай антивирус с другого компа и быстрее.

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #8 : 14 Сентябрь 2009, 22:26:51 »
aptyp, в смысле? этот вирус все exe бьёт?
а камп у меня только 1 :'(

Оффлайн aptyp

  • Пользователь
  • Сообщений: 6263
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #9 : 14 Сентябрь 2009, 22:27:19 »
он ведь сразу инсталлятор антивируса заразит.

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #10 : 14 Сентябрь 2009, 22:34:02 »
aptyp, я качаю образ ;)
вот только проблема: чёто закачака iso на 99% встала. Тоже вирус?

Добавлено позже:
патчи поставил

Добавлено позже:
кста, а на linux вирус влияет? а то у меня он чёто тоже грузится перестал  :-\

Добавлено позже:
лан, щас загружу linux  с диска, скачаю оттуда всё нормально, а то так вирус падла всё блокирует  >:(

Оффлайн Photon9

  • Пользователь
  • Сообщений: 10356
  • Пол: Мужской
  • йОжик сОник
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #11 : 14 Сентябрь 2009, 22:38:41 »
Ага было у меня такое, притарабанили както Сплинтер Целл, в течении нескольких часов эта зараза сожрала % 30 exe файлов с жёсткого, перестал работать диспетчер и отображение скрытых файлов. Я всё самое ценное скинул на флеху и снёс оба раздела на жёстком.
  Самое тупое что я заметил как при установке игры на секунду вылезло какоето окошко но не придал значения.
  Может я ошибаюсь но систему ты врядли спасёшь.

Оффлайн Nereid-sama

  • Пользователь
  • Сообщений: 2037
  • Пол: Мужской
  • 乇乂ㄒ尺卂 ㄒ卄丨匚匚
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #12 : 14 Сентябрь 2009, 22:44:01 »
Так-то, сидеть в интернетах без антивируса. Угораздит же.

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #13 : 14 Сентябрь 2009, 22:49:06 »
кста, у меня два жёстких диска и второй в приципе пустой, и на нём стоит Linux Ubuntu. Короче там 3 раздела: ext3, swap, и обычный ntfs. Может ли зараза перекинутся на него? Может отключить этот диск?
И вообще вирус по всем разделам будте гулять или ограничится основным?

p.s. пишу с загруженой с диска ubuntu

Добавлено позже:
кста, щас по идее есть шанс скопировать важную инфу, так? плохо вот что инфы это слишком много. Можно ли скопировать её на второй ЖД? Или он тоже может быть заражён?

Оффлайн Photon9

  • Пользователь
  • Сообщений: 10356
  • Пол: Мужской
  • йОжик сОник
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #14 : 14 Сентябрь 2009, 22:53:51 »
Цитата: ALEX_230_VOLT
плохо вот что инфы это слишком много. Можно ли скопировать её на второй ЖД? Или он тоже может быть заражён?

Можно попробовать переустановить систему отрубить автозапуск, потом подключить жосткий и отсканить АВ с базами поновее.

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #15 : 14 Сентябрь 2009, 23:10:23 »
Photon9, то есть отлкючить основной ЖД на 230, поставить XP  на второй жёсткий диск на 30, отключить в свежей винде автозагрузку (кстати, а как это сделать?), подключить старый жд на 230 и личить его? Так?

То есть ты считаешь что вирус не перебрался на второй ЖД? Так а можно ли на него скопировать всю ценную инфу и с чистым сердцем форматнуть основной на 230? Или это тоже не факт что поможет? В смысле та инфа что я скопирую уже будет заражена  :-\

Добавлено позже:
кста, а правда что этот вирус только exe-шники хавает? просто для меня самое важное - сохранить фотографии, но и ещё некоторые свои наработки на gm. иожно ли их смело скопировать на второй ЖД?

ОТВЕТЬЕ КТОНИБУТЬ!

Оффлайн BmpCorp

  • Пользователь
  • Сообщений: 1413
  • Пол: Мужской
  • Серьёзнее не бывает
    • Steam
    • Youtube
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #16 : 14 Сентябрь 2009, 23:20:54 »
Цитата: ALEX_230_VOLT
кста, а правда что этот вирус только exe-шники хавает?
Чтобы ответить, хорошо бы знать, какой именно "этот" вирус ;) Но судя по описанию, это может быть, например, Sality (либо другой вирус с аналогичным действием). Как-то раз я его подхватывал, и он заражал только кучу exe-шников, прочие файлы (и exe-шники в архивах) он не тронул.

Нужные документы я скопировал на другой диск, затем восстановил Винду при помощи Acronis True Image. После этого просканировал комп несколькими антивирусами, удалил все заражённые exe-шники и больше он не появлялся.

PS: Насчёт отключения диспетчера задач и редактора реестра. Вместо диспетчера задач можно (даже нужно) поставить, например, Process Explorer, который вирусы так просто не отключат. :) А редактировать реестр можно с помощью, напимер, Total Commander. Вроде бы даже если администратор запретил редактирование. :)

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #17 : 14 Сентябрь 2009, 23:27:28 »
BmpCorp, да есть у меня аналог Диспетчера - Prowise Manager, но я ведь не знаю какой именно из процессов вирус  :-\
http://www.freedrweb.com/download+cureit/gr/
Вот это можешь скачать и проверить комп.
скачал я это хрень и что с ней делать? из самой винды запускать или как?
запустить со второго ЖД и личить первый?

Оффлайн Йобан Матич

  • Emu-Land Team
  • Сообщений: 2593
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #18 : 14 Сентябрь 2009, 23:29:33 »
Цитата: Nereid-sama
Так-то, сидеть в интернетах без антивируса.
Единственное что я поймал из интернетов - это msblast. Антивирусом не пользуюсь, сижу за
NAT'ом =)

Цитата: ALEX_230_VOLT
сохранить фотографии, но и ещё некоторые свои наработки на gm. иожно ли их смело скопировать на второй ЖД?
Да. Только ЕЧЕ не копируй.

ALEX_230_VOLT,
Запусти cureit из-под wine что-ли =)

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #19 : 15 Сентябрь 2009, 00:20:51 »
удалось наконец таки нормально установить wine, саму проверку уже буду проводить завтра

Оффлайн Teffycom

  • Пользователь
  • Сообщений: 1701
  • Пол: Мужской
  • Ex-Cool-Spot
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #20 : 15 Сентябрь 2009, 04:46:02 »
Люди, ставьте антивирусы! У меня однажды вирус повредил ВСЕ данные с HDD и все мои файлы :'(
Стоит сейчас NOD 32, хороший антивирус, не жалуюсь!
А экзэшники после закачки я всегда проверяю!

Оффлайн aptyp

  • Пользователь
  • Сообщений: 6263
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #21 : 15 Сентябрь 2009, 05:15:49 »
И без антивируса можно жить без вирусов. :lol: Точно. А случись эпидемия важно вовремя среагировать.

Оффлайн Henty

  • Пользователь
  • Сообщений: 796
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #22 : 15 Сентябрь 2009, 08:17:43 »
скачал я это хрень и что с ней делать? из самой винды запускать или как?
запустить со второго ЖД и личить первый?

Это portable-антивирус с последними базами. Его хоть из safe mode запускай, заработает. Лучше сделай так, как тебе Йобан Матич посоветовал, из под Wine запустить.

Оффлайн Hz

  • Пользователь
  • Сообщений: 69
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #23 : 15 Сентябрь 2009, 09:57:15 »
Это скорее всего не вирус а троян. Если есть Total commander - включи в нём отображение скрытых файлов (Конфигурация->Настройка:Содержимое панелей->Показывать скрытые/системные файлы). В Total Commander зайди на диск C: (потом и на остальных посмотри), там скорее всего будет файл autorun.inf и какой-нибудь exe файл с именем типа 3fds67, или штук 15 файлов autorun с разными расширениями, или какой-нибудь файл с расширением cmd или bat (AUTOEXEC.BAT это нормальный системный файл, не вирус, обычно он пустой, точнее у меня он всегда был пустой). Как проверишь отпишись. :)

Добавлено позже:
И ещё: не все антивирусы видят этих троянов (или вирусов). Если этого трояна(вируса) нет на компе, то можно перед тем как вставить чужую флэшку вырубить процесс explorer.exe (чтобы автозапуск не сработал, если он включен) и запустить Total Commander. Потом Вставляешь флэшку, заходишь на неё через Total Commander (включив отображение скрытых и системных файлов). И удаляешь оттуда autorun.inf, ну и всякие левые неизвестные файлы с расширением exe, cmd, bat, vbs. :)

Добавлено позже:
И ещё забыл написать что exe-шники он не хавает.

Оффлайн Soujuu

  • Пользователь
  • Сообщений: 658
  • Пол: Мужской
  • Sounds dangerous... I'm in!
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #24 : 15 Сентябрь 2009, 13:33:34 »
Это скорее всего не вирус а троян. Если есть Total commander - включи в нём отображение скрытых файлов (Конфигурация->Настройка:Содержимое панелей->Показывать скрытые/системные файлы). В Total Commander зайди на диск C: (потом и на остальных посмотри), там скорее всего будет файл autorun.inf и какой-нибудь exe файл с именем типа 3fds67, или штук 15 файлов autorun с разными расширениями, или какой-нибудь файл с расширением cmd или bat (AUTOEXEC.BAT это нормальный системный файл, не вирус, обычно он пустой, точнее у меня он всегда был пустой). Как проверишь отпишись. :)
трудно назвать причину, почему Total Commander НЕ нужен, в том числе и при борьбе с троянами. Хотя иногда помогаю только радикальные средства вроде форматирования.


Оффлайн Hz

  • Пользователь
  • Сообщений: 69
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #25 : 15 Сентябрь 2009, 16:05:46 »
Цитата: Soujuu
трудно назвать причину, почему Total Commander НЕ нужен, в том числе и при борьбе с троянами.
Что-то я не понял что ты имел в виду. :)
Когда комп заражается такими вирусами(троянами), отображение скрытых и системных файлов в explorer сразу вырубается, и включить его невозможно, или сложно, в реестре кое-что меняется, точно не помню, но это можно включить после удаления трояна(вируса). А в тотал коммандере легко включается. ))
Цитата: ALEX_230_VOLT
Сегодня я пытался с ним боротся, но он гад и реестр прикрыл
Если вирус не заблокировал планировщик задач, то нажми выполнить, набери
"at 18:23 /interactive regedit", вместо 18:23 - время, когда запустится regedit (т.е. если сейчас 18:23, то напиши 18:24 и через минуту запустится regedit с "правами" сиcтемы, т.е. там доступ будет везде, также можно и другие приложения запускать).

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #26 : 15 Сентябрь 2009, 21:05:25 »
не верю я в Тотал командер, буду личить  через cureit из под wine ;)
затем поставлю XP, затем быстренько патчи и какойнибуть антивирус

Добавлено позже:
Цитата
А тема-то как звучит Улыбка Прям "На меня снизошло божественное откровение"
ну вообще то так и есть  :D до этого я считал антивирусы почти бесполезными, теперь же считаю просто беполезными  ;)

Добавлено позже:
так, дело пошло. Имя этого вируса win32 sector 17. также известен как win32 Sality
это тот самый? или другой?

Добавлено позже:
вот гад! он реально по всем ехе прошёля! не пощадил даже МАМЕ  :'(
но вроде лечится без удаления файла

Добавлено позже:
вот нашёл описание борьбы с этой гадостью
http://www.mikedi.ru/serendipity/index.php?/archives/11-IstoriJa_pro_Sality_Win32.Sector.17.html

Добавлено позже:
опа! и Win32.HLLW.Autoruner.5555 тоже есть  o_0 но правда только в 1 архиве и врядли что то успел сделать

Добавлено позже:
кста, а можно ли сейчас через wine юзать уже вылеченные проги? Или вирус может заразить даже эмулируемую прогу?  0_0

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус
« Ответ #27 : 16 Сентябрь 2009, 19:27:41 »
вот ещё инфа
http://notes.rudomilov.ru/2008/07/08/borba-s-virusom-virus-win32-sality-z-win32-sector-5-win32-sector-7/
собираю коллекцию потихоньку  :lol:
зато потом другим будет ясно как с этим вирусом боротся ;)

Оффлайн Йобан Матич

  • Emu-Land Team
  • Сообщений: 2593
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус Sality
« Ответ #28 : 16 Сентябрь 2009, 19:44:14 »
Цитата: ALEX_230_VOLT
кста, а можно ли сейчас через wine юзать уже вылеченные проги? Или вирус может заразить даже эмулируемую прогу?  

WINE - Is Not Emulator =)
Может. А если хочешь МАМЕ, то поставь sdlmame и mamepgui в качестве фронтенда.

Sality - мощная штука, где-то в моих архивах есть =) Радуйся что Penetrator'а не поймал или Conficker'а.

Оффлайн ALEX_230_VOLT

  • Модератор
  • Сообщений: 7645
  • Пол: Мужской
    • Просмотр профиля
Re: меня посетил вирус Sality
« Ответ #29 : 16 Сентябрь 2009, 20:13:29 »
Цитата
WINE - Is Not Emulator
видел я такие надписи уже. а что это тогда?  0_0
Цитата
Sality - мощная штука
тем не менее чистится потихоньку :) думаю что за сегодня успею полностью избавится от этой дряни