РЕШЕНО: Win32.Sality чем вылечить EXE
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
РЕШЕНО: Win32.Sality чем вылечить EXE - 2010-02-20 20:51:57.760000
|
|
|
ZISTOR
Сообщений: 29
Оценки: 0
Присоединился: 2008-08-19 13:29:37.810000
|
Кому удалось излечить EXE-файлы от Win32.Sality подскажите пож., чем это сделать. Конфиг - windowsXP, антивир - avast. Пробовал SalityKiller.exe взятого с http://support.kaspersky.ru/faq/?qid=208636131 - непомогло. Возможно причина в том, что этот Киллер против Win32.Sality.aa. Мой Аvast нашел просто Win32.Sality - без аа.
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-20 20:58:47.836666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Читай http://www.google.ru/search?client=opera&rls=ru&q=Win32.Sality+%D0%BB%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5&sourceid=opera&ie=utf-8&oe=utf-8 . Тут буквально в первых пяти ссылках рассаказано как лечить. Читай, если умеешь.
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-20 21:28:10.263333
|
|
|
ZISTOR
Сообщений: 29
Оценки: 0
Присоединился: 2008-08-19 13:29:37.810000
|
Я прогуглил эту тему ещё до того как её здесь создал! Ответа который меня-бы удовлетворил, в ссылках гугла не нашёл! Задал на этом сайте вопрос не для того чтоб увидеть ссылки гугла, а чтоб услышать совет от людей, которые побывали конкретно в этой ситуации и нашли выход. Если отвечать на всё поисковыми запросами - тогда зачем существовать форуму!
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-20 21:48:00.573333
|
|
|
LouderIt
Сообщений: 192
Оценки: 0
Присоединился: 2009-11-02 22:19:22.173333
|
quote:
тогда зачем существовать форуму!
Для нормальных вопросов, ответы на которые трудно найти в Google.ru
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-20 21:50:20.970000
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
А Dr.Web LiveCD пробовал ?
quote:
ORIGINAL: LouderIt
Для нормальных вопросов
Правильное уточнение. ТС говорит о своей проблеме и дает ссылку, по которой кто-то должен пройти и прочитать все, что там написано. А оно нам надо.Опиши проблему и что предпринмал для ее решения.
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-20 21:53:40.550000
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
Delete
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-20 22:36:02.376666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Да что тут обсуждать. Если это не aa, а более новая то бороться с ней ещё сложней чем с aa.
Как было раньше: если заражение сильно (а это обычно так), то только полное форматирование, всего диска и всех флешек.
Иначе зараза вернется.
Тут по заверению ТС нечто новое и неизведанное. Да, но раз даже пресловутый авваст нашел её значит заразе минимум месяц.
Вывод: берем нечто мощнее чем аваст и гробим систему.
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-20 22:45:30.446666
|
|
|
ZISTOR
Сообщений: 29
Оценки: 0
Присоединился: 2008-08-19 13:29:37.810000
|
:DDelete не пойдёт - шестимесячный труд может накрыться.
В первой ссылке гугла, шаманы из лаболатории касперского советуют применить SalityKiller, но видно эта магия слабовата для этого монстра.
Тогда я применил грозное "заклянание" которое советуют во второй ссылке гугла - DrWeb CureIt. Но и здесь облом - невидит Dr этого виря как его не увидел и Killer. Жалко зря потраченного времени - ждёж пока скачнётся, потом пока просканируется. Там ещё советуют "Kaspersky Internet Security"-КИС, но тема там идёт уже о защиты от проникновения виря - думаю что КИС не стоит пробовать - он не лечит - или я ошибаюсь?
Live CD есть, да, там видел кучу антивирусников - сейчас попробую.
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-20 22:55:30.020000
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
quote:
ORIGINAL: ZISTOR
Live CD есть, да, там видел кучу антивирусников - сейчас попробую.
Я имел ввиду Dr.Web LiveCD
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-20 23:22:30.426666
|
|
|
ZISTOR
Сообщений: 29
Оценки: 0
Присоединился: 2008-08-19 13:29:37.810000
|
XALK, благодарю за ссылку, качаю.
Нашёл потрясающую инфу:
Компьютерный вирус Virus.Win32.Sality. Является приложением Windows (PE EXE-файл). Инфицирует файлы с расширением EXE и SCR. Упакован UPX.
[ ] 23.11.2007, 01:14
Virus.Win32.Sality.e
Другие версии: .d, .t
Другие названия
Virus.Win32.Sality.e («Лаборатория Касперского») также известен как: Win32.Sality.e («Лаборатория Касперского»), W32/Sality.f (McAfee), W32.HLLP.Sality (Symantec), Win32.HLLP.Sector.17368 (Doctor Web), W32/Sality-F (Sophos), Win32/Sality.F (RAV), PE_ROSEC.A (Trend Micro), W32/Sality.E (FRISK), Win32:Rosec (ALWIL), Win32/Sality.E (Grisoft), Win32.HLLP.Sality.E (SOFTWIN), W32/Sality.G (Panda), Win32/Sality.F (Eset) Описание опубликовано 08 июн 2006
Поведение Virus, компьютерный вирус
Технические детали
Проявление в системе
Деструктивная активность
Рекомендации по удалению
Появление сообщений с текстом «<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>»
Если тип операционной системы — Windows 2000/XP , то частые появления сообщений системы защиты файлов Windows о нераспознанных версиях системных файлов Windows.
Увеличение размеров EXE и SCR файлов.
Возможно пропадание закладки «Версия» в окне со свойством файла (появляется при выборе соответствующего пункта в контекстном меню), в случае, если до этого эта закладка существовала.
Изменение расширений у файлов с расширениями EXE и SCR на случайное расширение.
Появление скрытых файлов с расширениями вида ~01 (если они не созданы пользователем) в каталоге, в котором присутствует файл с тем же именем и расширением EXE.
При запуске файла, поражённого вирусом, при отсутствии выполняющейся другой копии вируса, в списке процессов появляется два процесса: имя_файла.EXE и имя_файла.~01.Деструктивная активность
При запуске инфицированного файла вирус копирует запущенный файл в скрытый файл с идентичным именем, в котором последние 3 символа расширения заменены на строку вида «~01» (последние 2 символа — счётчик; если файл с таким именем существует, и попытка удалить его не удалась, счётчик увеличивается и попытка повторяется).
Если не получилось скопировать файл в текущий каталог (например, если файл находится на CDROM), вирус пытается скопировать файл во временный каталог, определяемый настройками системы (%TEMP%); в случае неудачи и этой попытки выводится сообщение «Fatal Error. Disk is write-protected.».
В случае удачного копирования, созданный файл лечится и запускается на выполнение с теми же параметрами командной строки, что и оригинальный файл.
После этого проверяется, существует ли в системе окно с заголовком «DEAD». Если такое окно существует, то ему передаётся строка с именем временного уже вылеченного файла. Имя файла передаётся с целью его последующего удаления. Если такого окна не существует, то оно создаётся, и запускается поток, инфицирующий файлы. Через каждые 5 секунд вирус пытается удалить созданный им во время лечения временный файл и файлы, созданные другими копиями вируса. Таким образом, в системе присутствует не более одного процесса, инфицирующего файлы данным вирусом. Этот процесс также удаляет временные файлы, созданные другими копиями вируса во время лечения.
Перед завершением работы вируса, если текущее число месяца — 10, 11, или 12-е, то выводится сообщение с заголовком:
Win32.HLLP.Kuku v1.09
И текстом:
<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>
Copyright © by Sector
В ходе выполнения потока, инфицирующего файлы, производится поиск доступных для записи дисков с именами: C:, D:, …, X:. Для всех найденных дисков запускается процедура инфицирования файлов. Данная процедура рекурсивно просматривает дерево каталогов заданного диска в поисках файлов с расширениями EXE и SCR. В каждом каталоге пытается инфицировать не более 5 файлов. На каждом диске вирус пытается инфицировать не более 15 файлов. Во время поиска файлов периодически происходят небольшие задержки.
Файлы не инфицируются в следующих случаях:
размер файла меньше 17369 байт;
размер файла больше 5210399 байт;
содержат в своём имени строки «EXPLORER», «RUNDLL»;
содержатся в папке, имеющей в своём имени подстроку «SYSTEM»;
файл не является PE EXE файлом Windows;
файл уже заражён этим вирусом (определяется по наличию сигнатуры 00000011h на смещении 320h от начала файла). При этом сравнение строк производится с учётом регистра символов, т.е. файл с именем explorer.exe инфицируется.
После просмотра всех дисков, если все временные файлы удалены, окно закрывается.
При заражении файлов время создания, время последнего доступа и время последней записи в файл не меняются. Во время заражения тело вируса изменяется так, что заражённому файлу соответствует тот же значок, что и исходному. На время заражения файл переименовывается в файл с тем же именем, что и исходный, и расширением, случайно сгенерированным из 3-х больших английских букв. В случае ошибки во время инфицирования (например, невозможности произвести запись в файл) файл обратно не переименовывается. В следствие этого файлы, выполняющиеся во время попытки их заражения, остаются не заражёнными, но переименованными. Это может привести к невозможности запуска оболочки операционной системы (файл explorer.exe) после перезагрузки и другим нежелательным последствиям.
При инфицировании тело вируса записывается в начало файла, данные из начала файла, которые были на этом месте шифруются и записываются в конец файла. После этого в конец файла записывается случайное число байт от 1000 до 2999. Таким образом, размер файла увеличивается на случайное число байт в диапазоне от 18368 до 20367.Рекомендации по удалению
Так как ручное удаление не представляется возможным, то для лечения зараженных файлов рекомендуется произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|
|
|
|
|
RE: Win32.Sality чем вылечить EXE - 2010-02-21 08:30:34.330000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Я тебе так скажу, ни каспер ни доктор веб, НЕ ЛЕЧАТ, а УДАЛЯЮТ зараженные файлы. Я понимаю что ты не сталкивался с этим чудом, но оно очень страшное как ты понял из описания. Чем чаще ты запускаешь комп, тем больше файлов заражается + в новой версии могли добавить и другой функционал. Лучше побыстрее копируй инфу и форматируй винт. Бывают случаи когда антивирусы делают файлы просто недоступными (вирус хотя бы так не делает).
Я ж не предлагаю терять всё, но зараженные уже не вернуть.
|
|
|
|
|
РЕШЕНО: Win32.Sality чем вылечить EXE - 2010-02-21 11:07:05.563333
|
|
|
ZISTOR
Сообщений: 29
Оценки: 0
Присоединился: 2008-08-19 13:29:37.810000
|
Вобщем в отчаянии я полез на сайт касперского - неожидал что там будут помогать безденежным людям, но я ошибался - сайт очень доброжелательный. Ltonid, вы пишите что эта зараза не лечится, но похоже в КИС исправили это. Сейчас загрузил "Kaspersky Internet Security" и напустил на одну папку с зараженными файлами - вылечил. Мож чтото я проглядел - если что будет нетак - напишу.
А с "Dr.Web LiveCD" неполучилось - сходу незапустиш его - разбираться с инструкцией по эксплуатации нет времени.
Думаю проблема решена, благодарю всех за участие.
|
|
|
|
|
RE: РЕШЕНО: Win32.Sality чем вылечить EXE - 2010-02-21 11:42:45.443333
|
|
|
LouderIt
Сообщений: 192
Оценки: 0
Присоединился: 2009-11-02 22:19:22.173333
|
А все из-за того, что стоят не антивирусы, а непонятно что - люди! выкиньте свои авасты и авиры, они нифига не умеют, да и нод тоже
|
|
|
|
|
RE: РЕШЕНО: Win32.Sality чем вылечить EXE - 2010-02-21 13:43:02.140000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Примем к сведению, может действитеотно придумали лечение. Осталось не упустить копии.
|
|
|
|
|
|
