Как забороть вирус Sality и Neshta (проблема решена)
Автор
Сообщение
rockfor
Стаж: 16 лет
Сообщений: 846
Джигмэн
вахах,ты жертва каспера)))обычный экзешник удалил)
hikkomоri
Стаж: 16 лет
Сообщений: 142
Джигмэн
делай полную проверку компьютера
Foli
Стаж: 15 лет
Сообщений: 94
Virus.Win32.Sality.t
Технические детали
Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта.
Инсталляция
При запуске зараженного файла из тела вируса извлекается следующий файл:
%System%\oledsp32.dll — имеет размер 25600 байт
Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе.
Процедура заражения
Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR.
Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт.
При заражении вирус дописывает себя в конец последней секции PE-файла.
После того как Sality.t завершает свою работу, управление снова передается оригинальной программе.
Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска. Деструктивная активность
Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов.
Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла:
%System%\TFTempCache
В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время.
Кроме того, туда помещается информация о дате и времени работы с окнами
Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL.
Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя.
Содержимое файла «%WinDir%\edialer.ini» похищается.
Все собранные данные вирус отсылает на один из электронных адресов злоумышленника
Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями:
.vdb
.key
.avc
.tjc
Рекомендации по удалению
Поскольку ручное удаление не представляется возможным, для лечения зараженных файлов рекомендуется произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Украл из http://www.viruslist.com =)
Степан Капуста
Стаж: 16 лет
Сообщений: 28
Sality очень неприятная дрянь, для неспециалиста проще будет попытаться сохранить важные данные (но не исполняемые файлы, т.к. они вероятнее всего уже заражены) на каком-либо внешнем носителе и с нуля установить операционную систему, с полным форматированием жеского диска.
После установки ничего в машину не толкать и сразу отключить автозапуск приложений со сменных носителей. Только после этого можно пытаться попробовать восстановить данные, поставить антивирус (рекомендую бесплатный drweb av-desk с http://drweb.ufanet.ru) и обязательно сменить все пароли, которыми Вы когда-либо пользовались.
rockfor
Стаж: 16 лет
Сообщений: 846
реальный червь,подобное было,снес винду вообще
Джигмэн ®
Стаж: 15 лет
Сообщений: 42
Ужас, что с компом творилось только что... минут 30 потратил, чтоб вернуть все назад... вобщем, скачал Доктор Веб с Уфанетовского сайта, дождался, пока скачает все обновления, посел этого перезагрузил комп. После этого система вообще ни на что не реагировала... зашел через безопасный режим другой ОС и стер этого факиного Доктора Веба... Эх. =(
rockfor
Стаж: 16 лет
Сообщений: 846
Джигмэн
похоже что только формат поможет
Джигмэн ®
Стаж: 15 лет
Сообщений: 42
rockfor
Да нет, сейчас уже вроде полегчало...
Foli
Стаж: 15 лет
Сообщений: 94
Касперский8.0 должен помочь, качаешь от сюда(т.е. с трекера),ставишь пробную на 30 дней, обновляешь, ставишь на полную проверку и только после того как полностью проверишь, начинаешь удалять вирусы, некоторые вирусы не должны удалится, касперский попросит перезагрузку для того чтобы удалить их. После всего этого вирусов не должно быть. Если не получится, то думаю только форматирование
Джигмэн ®
Стаж: 15 лет
Сообщений: 42
Brulik
Поняяятно... через час Касперский 7 завершит полную проверку (уже проверил 76%), может, дождаться? Или сразу пробовать с 8 версией?
hikkomоri
Стаж: 16 лет
Сообщений: 142
Джигмэн
базы новые?
в любом случае дождись.
у меня вообще шестой стоит. вирусы ловят все одинаково
Джигмэн ®
Стаж: 15 лет
Сообщений: 42
MadMaxx
Ага, базы от 26 марта
roy231
Стаж: 16 лет
Сообщений: 17
базы ни при чем. ты просто лох
Джигмэн ®
Стаж: 15 лет
Сообщений: 42
roy231
За оскорбление юзеров - бан
P.S. Наверное, еще один наивный любитель голеньких красавиц.
Джигмэн ®
Стаж: 15 лет
Сообщений: 42
MadMaxx
Brulik
Все вылечил, кроме двух файлов: C:\WINDOWS.0\system32\oledsp32.dl_
и C:\WINDOWS.0\system32\oledsp32.dl_//oledsp32.dl_
АПД Удалил их, надеюсь, после резета все будет норм.
АПД2 Все прекрасно! Сейчас запустил снова проверку компьютера, но система заметно быстрее бегает.
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 05-Дек 00:37
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
rockfor
Стаж: 16 лет |
|
Джигмэн
вахах,ты жертва каспера)))обычный экзешник удалил) |
|
hikkomоri
Стаж: 16 лет |
|
Джигмэн
делай полную проверку компьютера |
|
Foli
Стаж: 15 лет |
|
Virus.Win32.Sality.t
Технические детали Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта. Инсталляция При запуске зараженного файла из тела вируса извлекается следующий файл: %System%\oledsp32.dll — имеет размер 25600 байт Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе. Процедура заражения Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR. Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт. При заражении вирус дописывает себя в конец последней секции PE-файла. После того как Sality.t завершает свою работу, управление снова передается оригинальной программе. Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска. Деструктивная активность Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов. Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла: %System%\TFTempCache В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время. Кроме того, туда помещается информация о дате и времени работы с окнами Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL. Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя. Содержимое файла «%WinDir%\edialer.ini» похищается. Все собранные данные вирус отсылает на один из электронных адресов злоумышленника Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями: .vdb .key .avc .tjc Рекомендации по удалению Поскольку ручное удаление не представляется возможным, для лечения зараженных файлов рекомендуется произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами Украл из http://www.viruslist.com =) |
|
Степан Капуста
Стаж: 16 лет |
|
Sality очень неприятная дрянь, для неспециалиста проще будет попытаться сохранить важные данные (но не исполняемые файлы, т.к. они вероятнее всего уже заражены) на каком-либо внешнем носителе и с нуля установить операционную систему, с полным форматированием жеского диска.
После установки ничего в машину не толкать и сразу отключить автозапуск приложений со сменных носителей. Только после этого можно пытаться попробовать восстановить данные, поставить антивирус (рекомендую бесплатный drweb av-desk с http://drweb.ufanet.ru) и обязательно сменить все пароли, которыми Вы когда-либо пользовались. |
|
rockfor
Стаж: 16 лет |
|
реальный червь,подобное было,снес винду вообще
|
|
Джигмэн ®
Стаж: 15 лет |
|
Ужас, что с компом творилось только что... минут 30 потратил, чтоб вернуть все назад... вобщем, скачал Доктор Веб с Уфанетовского сайта, дождался, пока скачает все обновления, посел этого перезагрузил комп. После этого система вообще ни на что не реагировала... зашел через безопасный режим другой ОС и стер этого факиного Доктора Веба... Эх. =(
|
|
rockfor
Стаж: 16 лет |
|
Джигмэн
похоже что только формат поможет |
|
Джигмэн ®
Стаж: 15 лет |
|
rockfor
Да нет, сейчас уже вроде полегчало... |
|
Foli
Стаж: 15 лет |
|
Касперский8.0 должен помочь, качаешь от сюда(т.е. с трекера),ставишь пробную на 30 дней, обновляешь, ставишь на полную проверку и только после того как полностью проверишь, начинаешь удалять вирусы, некоторые вирусы не должны удалится, касперский попросит перезагрузку для того чтобы удалить их. После всего этого вирусов не должно быть. Если не получится, то думаю только форматирование
|
|
Джигмэн ®
Стаж: 15 лет |
|
Brulik
Поняяятно... через час Касперский 7 завершит полную проверку (уже проверил 76%), может, дождаться? Или сразу пробовать с 8 версией? |
|
hikkomоri
Стаж: 16 лет |
|
Джигмэн
базы новые? в любом случае дождись. у меня вообще шестой стоит. вирусы ловят все одинаково |
|
Джигмэн ®
Стаж: 15 лет |
|
MadMaxx
Ага, базы от 26 марта |
|
roy231
Стаж: 16 лет |
|
базы ни при чем. ты просто лох
|
|
Джигмэн ®
Стаж: 15 лет |
|
roy231
За оскорбление юзеров - бан P.S. Наверное, еще один наивный любитель голеньких красавиц. |
|
Джигмэн ®
Стаж: 15 лет |
|
MadMaxx
Brulik Все вылечил, кроме двух файлов: C:\WINDOWS.0\system32\oledsp32.dl_ и C:\WINDOWS.0\system32\oledsp32.dl_//oledsp32.dl_ АПД Удалил их, надеюсь, после резета все будет норм. АПД2 Все прекрасно! Сейчас запустил снова проверку компьютера, но система заметно быстрее бегает. |
|
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 05-Дек 00:37
Часовой пояс: UTC + 5