superser Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Второй день маюсь с этим вирусом - Win32.Sality.aa по Касперу, и Win32.sector.17 по вебу.. Кто как лечил? Судя по инфу эти модификации вируса довольно новые, и инфы катастрофически мало. Вирь отключает реестр и безопасный режим.   Что было сделано: Касперский рекоммендует пройтись SalityKiller.exe, но сколько им не проходи, вирусы снова находятся и лечатся ( за раз по 100 штук ), с CureIt! от Веба аналогично.. SpyDLLRemover.exe перестал находить больные ДЛЛки...   В безопасный режим и реестр можно попасть.. Но через некоторое время снова появляются запреты. Что делать?       Добавлено: LiveCD от DrWeb почему то не запускается. При загрузке с СД захожу в меню по дефолту, появляется на весь экран логотип дрвеба и больше ничего не происходит... Всего записей: 118 | Зарегистр. 03-07-2006 | Отправлено: 14:32 01-11-2009

Raifeg Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Как вариант - загрузиться с любого виндового LiveCD и запустить CureIT оттуда. Также можно ещё воспользоваться LiveCD от Avira. ---------- Век живи - век RTFM, а помрёшь - LMD... Всего записей: 358 | Зарегистр. 07-03-2008 | Отправлено: 20:09 01-11-2009

superser Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Также можно ещё воспользоваться LiveCD от Avira.   isolinux: Disk error 10, AX=4280, drive EF Boot failed. Press a key to retry.   С другими загрузочниками примерно такая же фигня (( Всего записей: 118 | Зарегистр. 03-07-2006 | Отправлено: 21:36 01-11-2009

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору superser 1 - сбросить CMOS в default 2 - запустится с Hiren Boot CD и ручками в соответствии с правилами( гугл тебе в помощь ) востановить должный вид у MBR... 3 - после этого уже с LiveCD проверять на вири...   план примерно такой отпишись по проделыванию... - насяльника интересна аднака!!! Всего записей: 6587 | Зарегистр. 28-08-2008 | Отправлено: 21:41 01-11-2009 | Исправлено: Alukardd, 21:42 01-11-2009

superser Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: план примерно такой отпишись по проделыванию... - насяльника интересна аднака!!!     ХеХе)) Тоже первый день интересно было... Второй - любопытно. К вечеру - бесит просто! В интернете инфы - ноль, а то что есть - крошки, и те недельной давности. Свежатина.. Впервые в такую ситуацию попал... Всего записей: 118 | Зарегистр. 03-07-2006 | Отправлено: 21:54 01-11-2009

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору superser вообщем выполни что я сказал реально должно помочь, если антивири впринципи способны его вычистить 4 - рекомендую с LiveCD вручную прочистить зараженную систему... реестр и автозагрузку... автозагрузку лучше из самой ситемы через утилиту sysinternals - autoruns! Всего записей: 6587 | Зарегистр. 28-08-2008 | Отправлено: 22:17 01-11-2009

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tankistua Цитата: З.Ы. со вторым не сталкивался. мне кажется речь идет об одном вирусе Цитата: Win32.Sality.aa по Касперу, и Win32.sector.17 по вебу просто в разных антивирях по разному обозвали и всё... Всего записей: 6587 | Зарегистр. 28-08-2008 | Отправлено: 00:11 02-11-2009

tankistua Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору м-да, получается что CureIT лечил именно Win32.sector.17  - я просто не смотрел на машину в момент скана. Мне досталась сетка с кучей вирусов - было чем другим заниматься, кроме медитации на монитор Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 00:48 02-11-2009

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tankistua Цитата: Мне досталась сетка с кучей вирусов суровое наследство на твоем месте я бы винду переставил и образом бы растащил, а то чистить сеть вроде моей с 120+ компов радости мало... и сотрудники что б их черти... на флэшках вечно таскают от себя к соседу вири... и не запретишь - по работе надо((( сделал им папки на сервере, через GPO диски сетевые навязал, вроде флэшек по меньше видеть стал( аж глаз радуется, с того что народ хоть дисков сетевых не боится ))) Всего записей: 6587 | Зарегистр. 28-08-2008 | Отправлено: 00:57 02-11-2009

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tankistua Цитата: ну да - только на компах стоит система самописная, и человек который ее писал вне досягаемости. боюсь трогать. боюсь даже спросить что там такое накручено оО Всего записей: 6587 | Зарегистр. 28-08-2008 | Отправлено: 01:11 02-11-2009

superser Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: первый каспером лечиться с пол-тычка.  блокирует работу касперского - не дает запускаться.   Запустил с лайв-сиди, записал заархиврованны cureit и каспера на винт и свежие базы ( касперского обязательно распаковать - чтобы ставить с msi-айника). Перегрузился в винду, прочекал все cureit-ом, поставил касперского, скормил новые базы и без перезагрузки просканил всю машину. Зараженные файлы без проблем лечатся.     не вирус, а так - мелочь пузатая.     З.Ы. со вторым не сталкивался. Уважаемый tankistua. Как я уже писал выше: лайв сиди не дает загрузится. Cure It удаляет вирусы, но очередная проверка (второй прогон) дает аналогичный результат. Касперский вообще не запускает, как будто приложение не тыкабельно. Window Installer естественно отключает вирус.   Добавлено: 2Alukardd Нифига не выходит ни с чего загрузиться. Везде ошибки, типа Не удается загрузить файд i386/system32\halaacpi.dll Код ошибки: 4096 / 32678   Как правильно восстановить MBR? И что действительно является "должным видом"? Всего записей: 118 | Зарегистр. 03-07-2006 | Отправлено: 18:11 02-11-2009

adjuster Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору superser Цитата: Вирь отключает реестр и безопасный режим.   С безопасным режимом - понятно. НО, что подразумевается под  "Отключает реестр" - не пускает при вводе команды regedit ??? или что?? Иили пишет, что файл не найден? Всего записей: 1369 | Зарегистр. 31-10-2006 | Отправлено: 10:28 03-11-2009

superser Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: НО, что подразумевается под  "Отключает реестр" - не пускает при вводе команды regedit ??? или что?? Иили пишет, что файл не найден? Заражает regedit и переносит его в другое место. Находим поиском, жмякаем - Редактирование реестра запрещено администратором.   ВСЕМ СПАСИБО. Решилась проблема загрузкой с Hiren's BOOT CD. Лечим cmd.exe, затем   загрузка в Windows, в cmd восстанавливаем безопасный режим, и сразу кнопку ресет (на всё максимум одна секунда, пока вирус не успел заразить CMD и вернуть параметры в реестр). Загружаемся в безопасный режим, с помощью SpyDLLRemover выкидываем вирусы, снова в cmd пишем HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools. Заходим в реестр, чистимся по инстркуциям с выше, прогоняем курилкой, затем SalityKiller, затем обоими вместе.   Кстати ничего из программ не запускалось пока я их не переименовал в что то типа kilka.exe, launch.exe, remka.exe, а запакованном архиве под пароль и запрет от редактирования. Всего записей: 118 | Зарегистр. 03-07-2006 | Отправлено: 15:03 04-11-2009

gorec3 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а я делаю так - ставлю компакт диск с AVZ (там востановление системы, ставлю все галочки и выполнить), сразу заработает и диспетчер задач и реестр - с того же диска запусаю Drweb Cureit (настраиваю чтобы все лечил без подтверждения запроса ) прогоняю весь комп  или хотябы все екзешники - потом проганяю темже куреитом все флешки юзеров   вот такие дела -----------------------------------------------   главое все пролечить)       Добавлено: плюс пролечить компы которые в сети имеют "шары".. Всего записей: 100 | Зарегистр. 30-11-2007 | Отправлено: 19:31 04-11-2009

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Win32.Sality.aa или Win32.sector.17

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование