Как забороть вирус Sality и Neshta (проблема решена)

Автор Сообщение
rockfor

Стаж: 16 лет
Сообщений: 846

Создавать темы rockfor написал(а)
27-Мар-2009 18:18
Джигмэн
вахах,ты жертва каспера)))обычный экзешник удалил)
Профиль  ЛС 
hikkomоri

Стаж: 16 лет
Сообщений: 142

Создавать темы hikkomоri написал(а)
27-Мар-2009 18:19 (спустя 20 секунд)
Джигмэн
делай полную проверку компьютера
Профиль  ЛС 
Foli

Стаж: 15 лет
Сообщений: 94

Создавать темы Foli написал(а)
27-Мар-2009 18:28 (спустя 9 минут)
Virus.Win32.Sality.t
Технические детали
Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта.
Инсталляция
При запуске зараженного файла из тела вируса извлекается следующий файл:
%System%\oledsp32.dll — имеет размер 25600 байт
Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе.
Процедура заражения
Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR.
Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт.
При заражении вирус дописывает себя в конец последней секции PE-файла.
После того как Sality.t завершает свою работу, управление снова передается оригинальной программе.
Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска. Деструктивная активность
Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов.
Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла:
%System%\TFTempCache
В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время.
Кроме того, туда помещается информация о дате и времени работы с окнами
Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL.
Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя.
Содержимое файла «%WinDir%\edialer.ini» похищается.
Все собранные данные вирус отсылает на один из электронных адресов злоумышленника
Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями:
.vdb
.key
.avc
.tjc
Рекомендации по удалению
Поскольку ручное удаление не представляется возможным, для лечения зараженных файлов рекомендуется произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Украл из http://www.viruslist.com =)
Профиль  ЛС 
Степан Капуста

Стаж: 16 лет
Сообщений: 28

Создавать темы Степан Капуста написал(а)
27-Мар-2009 18:29 (спустя 1 минута)
Sality очень неприятная дрянь, для неспециалиста проще будет попытаться сохранить важные данные (но не исполняемые файлы, т.к. они вероятнее всего уже заражены) на каком-либо внешнем носителе и с нуля установить операционную систему, с полным форматированием жеского диска.

После установки ничего в машину не толкать и сразу отключить автозапуск приложений со сменных носителей. Только после этого можно пытаться попробовать восстановить данные, поставить антивирус (рекомендую бесплатный drweb av-desk с http://drweb.ufanet.ru) и обязательно сменить все пароли, которыми Вы когда-либо пользовались.
Профиль  ЛС 
rockfor

Стаж: 16 лет
Сообщений: 846

Создавать темы rockfor написал(а)
27-Мар-2009 18:30 (спустя 51 секунда)
реальный червь,подобное было,снес винду вообще
Профиль  ЛС 
Джигмэн ®

Стаж: 15 лет
Сообщений: 42

Создавать темы Джигмэн ® написал(а)
27-Мар-2009 20:39 (спустя 2 часа 8 минут)
Ужас, что с компом творилось только что... минут 30 потратил, чтоб вернуть все назад... вобщем, скачал Доктор Веб с Уфанетовского сайта, дождался, пока скачает все обновления, посел этого перезагрузил комп. После этого система вообще ни на что не реагировала... зашел через безопасный режим другой ОС и стер этого факиного Доктора Веба... Эх. =(
Профиль  ЛС 
rockfor

Стаж: 16 лет
Сообщений: 846

Создавать темы rockfor написал(а)
27-Мар-2009 20:40 (спустя 1 минута)
Джигмэн
похоже что только формат поможет
Профиль  ЛС 
Джигмэн ®

Стаж: 15 лет
Сообщений: 42

Создавать темы Джигмэн ® написал(а)
27-Мар-2009 20:58 (спустя 17 минут)
rockfor
Да нет, сейчас уже вроде полегчало...
Профиль  ЛС 
Foli

Стаж: 15 лет
Сообщений: 94

Создавать темы Foli написал(а)
27-Мар-2009 21:12 (спустя 14 минут)
Касперский8.0 должен помочь, качаешь от сюда(т.е. с трекера),ставишь пробную на 30 дней, обновляешь, ставишь на полную проверку и только после того как полностью проверишь, начинаешь удалять вирусы, некоторые вирусы не должны удалится, касперский попросит перезагрузку для того чтобы удалить их. После всего этого вирусов не должно быть. Если не получится, то думаю только форматирование
Профиль  ЛС 
Джигмэн ®

Стаж: 15 лет
Сообщений: 42

Создавать темы Джигмэн ® написал(а)
27-Мар-2009 22:30 (спустя 1 час 18 минут)
Brulik
Поняяятно... через час Касперский 7 завершит полную проверку (уже проверил 76%), может, дождаться? Или сразу пробовать с 8 версией?
Профиль  ЛС 
hikkomоri

Стаж: 16 лет
Сообщений: 142

Создавать темы hikkomоri написал(а)
27-Мар-2009 22:53 (спустя 23 минуты)
Джигмэн
базы новые?
в любом случае дождись.
у меня вообще шестой стоит. вирусы ловят все одинаково
Профиль  ЛС 
Джигмэн ®

Стаж: 15 лет
Сообщений: 42

Создавать темы Джигмэн ® написал(а)
27-Мар-2009 23:55 (спустя 1 час 2 минуты)
MadMaxx
Ага, базы от 26 марта
Профиль  ЛС 
roy231

Стаж: 16 лет
Сообщений: 17

Создавать темы roy231 написал(а)
28-Мар-2009 02:14 (спустя 2 часа 18 минут)
базы ни при чем. ты просто лох
Профиль  ЛС 
Джигмэн ®

Стаж: 15 лет
Сообщений: 42

Создавать темы Джигмэн ® написал(а)
28-Мар-2009 10:37 (спустя 8 часов)
roy231
За оскорбление юзеров - бан aa
P.S. Наверное, еще один наивный любитель голеньких красавиц.
Профиль  ЛС 
Джигмэн ®

Стаж: 15 лет
Сообщений: 42

Создавать темы Джигмэн ® написал(а)
28-Мар-2009 13:06 (спустя 2 часа 29 минут)
MadMaxx
Brulik
Все вылечил, кроме двух файлов: C:\WINDOWS.0\system32\oledsp32.dl_
и C:\WINDOWS.0\system32\oledsp32.dl_//oledsp32.dl_
АПД Удалил их, надеюсь, после резета все будет норм.
АПД2 Все прекрасно! bp Сейчас запустил снова проверку компьютера, но система заметно быстрее бегает.
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 05-Дек 00:49
Часовой пояс: UTC + 5