Пожалуйста подождите

Sality,он же Win32.Sector

23 декабря 19:30
Рейтинг +00 - +    Эмоции
комментариев: 19
Сегодня пришлось столкнуться с неким вирусняком Sality,он же Win32.Sector.Вирус старенький,но противный.
Инфа нашлась в постах за 2008 год
Sality это комплекс содержащий в себе набор троянских программ ворующих пароли к ftp сайтам из far, wincmd, tcmd и т.д., набор кейлоггеров которые воруют пароли к системе, спамботов которые рассылают спам и сам модуль который производит заражение компов.(Источник)
Симптомы
  1. Большинство программ перестают работать и “вылетают” с критической ошибкой
  2. Загрузка в безопасном режиме невозможна - вирус портит ветки реестра
  3. Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
  4. Значительно снижается производительность компьютера
  5. Лечение
  1. Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN - любые сетевые подключения. Просто выдергиваем кабель.
  2. Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой - дабы вирус не мог испортить программу. Если испортит - вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
  3. Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
  4. Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен “Безопасный режим”.
  5. Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
  6. Перезагружаемся в обычном режиме.
  7. Вновь проводим полную проверку.
  8. Устанавливаем нормальный антивирус со свежими базами.
Найдено тут

Более новый пост:
Методы борьбы с вирусом Sality (т.н. "Салитий").

1. Качаем программу от Лаборатории Касперского, называемую "sality_off".
Если ваш компьютер уже заражен вирусом, то программу по прямой ссылке вы скачать не сможете, поскольку вирус блокирует доступ к доменам компаний, занимающихся разработкой антивирусного ПО (таких как "Dr.Web" и "Лаборатория Касперского" в первую очередь). Выход здесь один:
скачиваем эту программу, заменив доменное имя kaspersky.ru на IP, соответствующий данному домену. Узнать его можно, следующим образом на другом компьютере, подключенно к интернету(в Windows XP) : Пуск -> Выполнить -> cmd -> ping kaspersky.ru.
Так же IP можно узнать через зараженный компьютер, используя любой интернет-сайт, предоставляющий услуги трейса.
Получив ip, подставляем его в оригинальну ссылку на файл:
http://support.kaspersky.ru/downloads/utils/sality_off.rar
81.177.31.148/downloads/utils/sality_off.rar

2. Качаем антивирус Касперского и CureIT (лучше их иметь заранее в запасниках со свежими базами и на компакт-диске). Про NOD и Avast можно сразу забыть - они умирают сразу.

3. Качаем removeIT и sality_remover.

4. Отключаем все сетевые устройства (проще говоря выдергиваем сетевой кабель) и носители информации: флешки, выносные жесткие диски, фотоаппараты, МФУ и т.п.

5. Запускаем sality.off с ключем -m (распаковываем его из архива в корень диска C):
Пуск -> выполнить -> C:/Sality_off.exe -m
Ждем пока он не сделает полную проверку. Не выключаем его. Запускаем sality_remover,
проверяем, удаляем зараженные файлы. Закрываем его, запускаем RemoveIT, убивавем оставшиеся вирусы. Так же пробегаемся CureIT.
Добавляем ярлык C:/Sality_off.exe -m в автозагрузку.
Устанавливаем Касперский. Перезагружаем компьютер.
Активируем Касперский (пробный ключ на месяц - для этого потребуется подключиться к интернету), включаем полную проверку. Ждем окончания проверки. Зараженных файлов больше не должно остаться.

6. Открываем доступ к диспетчеру задач (taskmgr):
Пуск -> 
выполнить -> 
gpedit.msc -> 
Конфигурация пользователя -> 
Административные шаблоны -> 
Система -> 
Возможности Ctrl+Alt+Del -> 
Удалить диспетчер задач

Отключаем параметр. Выходим на рабочий стол, нажимаем F5 (обновляем).
Повторяем процедуру, если диспетчер задач не хочет пояявляться при сочетании клавиш Ctrl+Alt+Del.

7. Открываем доступ к редактору реестра (regedit):
устанавливаем программу для тонкой настройки Windows (например, Tweak XP),
ставим(убираем) галочку в нужно месте. Готово.

Взято отсюда

Вобщем эта зараза в краткие сроки загаживает всё что можно и нельзя,предпочитая жрать эксешники.Кстати диспетчер задач оно тоже вырубает.
Чем-то похоже на приснопамятный кидо.
Вобщем предохраняйтесь,ага.

UPD. сейчас поймала на флешке штук 5 инфицированых файлов.Eset Smart Security 4.0.314.0 справился с задачей.
Если мне кто-то пояснит как их выколупать из карантина и не перезаразить всё вокруг-отдам на растерзание без сожаления)

А вот тут сборник вышеупомянутых програмулек для отлова зверей.

комментарии

К первому непрочитанному 
  • побряцал оружием
    23 декабря 2009 | 19:38 (ссылка #1453837)
    0 - + Сообщить модератору
    Born To Frag
    хоть бы сам вирус выложила на посмотреть ;)
  • 23 декабря 2009 | 19:41 (ссылка #1453843)
    0 - + Сообщить модератору
    я
    Выыловлю-выложу)))
    Хотя в открытую его выкладывать это охота на обезьян со стеклянной банкой с орехами)))
  • побряцал оружием
    23 декабря 2009 | 19:43 (ссылка #1453844)
    0 - + Сообщить модератору
    Born To Frag

    выложи в закрытую. просто интересно clamAV как на него отреагирует

    кстати под бубунтой могла бы и просканить все тем-же ClamAV

  • 23 декабря 2009 | 19:46 (ссылка #1453849)
    0 - + Сообщить модератору
    я
    Да это не у меня.Позвали на "неработающий принтер",а там рассадник во главе с этой ерундой.
  • 23 декабря 2009 | 19:45 (ссылка #1453845)
    0 - + Сообщить модератору
    Sality
    месяц назад с ним столкнулся.   он отключил диспечер задач  сразу.  я нод установил и после установки он установился а запускатся вирус ему не дал.  только после перезагрузки нод заработал и стал их удалять.   вобщем этих сайлити он нашел в компе 202 штуки они даже на диск д залезли
  • 23 декабря 2009 | 19:47 (ссылка #1453850)
    0 - + Сообщить модератору
    я
    Т.е. НОДом он ловится тоже?А НОД какой версии?
  • 23 декабря 2009 | 19:51 (ссылка #1453853)
    0 - + Сообщить модератору
    А НОД какой версии?
    последний.
    Т.е. НОДом он ловится тоже?
    да.  но только после перезагрузки
  • 23 декабря 2009 | 19:53 (ссылка #1453854)
    0 - + Сообщить модератору
    я
    Последний в смысле 4.хх или 3.хх версии?
    ну учту,спасибо)
  • 23 декабря 2009 | 21:33 (ссылка #1453941)
    0 - + Сообщить модератору
    4
  • 23 декабря 2009 | 21:44 (ссылка #1453956)
    0 - + Сообщить модератору
    я
    Ага,тоже уже потестила(см.пост выше)
  • 23 декабря 2009 | 20:50 (ссылка #1453894)
    0 - + Сообщить модератору
    я
    Так-с,редактирование недоступно,посему:сейчас поймала на флешке штук 5 инфицированых файлов.Eset Smart Security 4.0.314.0 справился с задачей.
    Если мне кто-то пояснит как их выколупать из карантина и не перезаразить всё вокруг-отдам на растерзание без сожаления)

    А вот тут сборник вышеупомянутых програмулек для отлова зверей.
  • 23 декабря 2009 | 21:44 (ссылка #1453955)
    0 - + Сообщить модератору
    карантиновая папка нода прячется в папке Application Data  эта пака скрытая. тебе надо в свойствах папки поставить галочку в пункте показывать скрытые системные файлы
  • гей №1
    24 декабря 2009 | 02:01 (ссылка #1454111)
    0 - + Сообщить модератору
    отдыхает от сайта
    Забавно. Сайлити заставил одного приятеля переставлять систему.
  • 24 декабря 2009 | 16:05 (ссылка #1454289)
    0 - + Сообщить модератору
    я
    Ну он реестр косячит неслабо,да и эксешники выжирает пачками.Так что немудрено что пришлось переставить
  • подумал и написал
    24 декабря 2009 | 02:51 (ссылка #1454124)
    0 - + Сообщить модератору
    PyramidHeadSmile
    У моих 2 друзей такой же попался через p2p. Пришлось их винты к своему компу подключить чтобы удалить.
  • 24 декабря 2009 | 16:07 (ссылка #1454290)
    0 - + Сообщить модератору
    я
    Через который р2р?Местный или нет?
  • подумал и написал
    24 декабря 2009 | 21:15 (ссылка #1454423)
    0 - + Сообщить модератору
    PyramidHeadSmile
    СибСети
  • 24 декабря 2009 | 13:38 (ссылка #1454213)
    0 - + Сообщить модератору
    Хде вы вирусы находите?
  • 24 декабря 2009 | 16:07 (ссылка #1454292)
    0 - + Сообщить модератору
    я
    Мэй би в инете? ;)
  • Подписаться