Перейти к содержанию
Правила раздела

Вирус на флешке

murz

От murz
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

murz Новичок

murz

Опубликовано
Опубликовано

В общем на флэхе вирус... Нод видит Sality, но есессно не лечит, но не в том беда. В некоторых папках завелась такая дрянь USBCрг6Й... Весит очень много. Флэшка на 8 Гб, а суммарный объём папок инфецированных состовляет более 70 Гб... Разумеется никаих операций не может быть произведенно... При любом обращении к файлам вылетают ошибки о защите от записи, не утилитами разными, ни вручную, никак не могу вылечить. А там мой диплом, в ед. экзэапляре. Как спастись? Помогите...

Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
Опубликовано (изменено)
В общем на флэхе вирус... Нод видит Sality, но есессно не лечит, но не в том беда. В некоторых папках завелась такая дрянь USBCрг6Й... Весит очень много. Флэшка на 8 Гб, а суммарный объём папок инфецированных состовляет более 70 Гб... Разумеется никаих операций не может быть произведенно... При любом обращении к файлам вылетают ошибки о защите от записи, не утилитами разными, ни вручную, никак не могу вылечить. А там мой диплом, в ед. экзэапляре. Как спастись? Помогите...

Рекомендую выполнить правила и тогда вам смогут помочь!

Изменено пользователем User
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Вы что пытаетесь вначале лечить? Необходимо вначале вылечить компьютер. а потом флешку. Салит - это файловый вирус, заражающий все исполнительные файлы.

Ссылка на комментарий
Поделиться на другие сайты
Digiman Новичок

Digiman

Опубликовано
Опубликовано

Sality.aa - легко лечится. Заражает исполняемые файлы, как было выше сказано. Распространяется через сменные носители. Есть специальная утилита, специфичная для данного вируса. На офсайте она выложена. Я лечу обычно так: Гружусь с аварийного загрузочного диска и сканирую весь жёсткий диск, потом загружаюсь в систему и запускаю утилиту, о которой говорилось выше. После окончания процесса перезагрузка. потом запускаю reg файл, откатывающий изменения в системе, произведенные вирусом. Потом ставлю антивирус и сканю систему уже им, но как правило, на этом этапе уже чисто. Это проверенный способ, но есть и другие, которые я не проверял.

sality_offf.rar

Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
Опубликовано
но есть и другие, которые я не проверял.

Пока непроверите другие способы, будьте добры тут советы недавайте!

За потерю работа способности ОСи - вы будете отвечать? (остальное мне в ЛС)

Сорри за оффтопик :D

Ссылка на комментарий
Поделиться на другие сайты
FagotAdmin Постоялец

FagotAdmin

Опубликовано
Опубликовано
В общем на флэхе вирус... Нод видит Sality, но есессно не лечит, но не в том беда. В некоторых папках завелась такая дрянь USBCрг6Й... Весит очень много. Флэшка на 8 Гб, а суммарный объём папок инфецированных состовляет более 70 Гб... Разумеется никаих операций не может быть произведенно... При любом обращении к файлам вылетают ошибки о защите от записи, не утилитами разными, ни вручную, никак не могу вылечить. А там мой диплом, в ед. экзэапляре. Как спастись? Помогите...

 

Ну это семейство вирусов я знаю, гадость еще та! :) Поэтому приготовил для борьбы, следуйщие инструменты. 1) Live CD 2) Dr.Web Cureit! (Игоря Данилова) 3)AvpTool (от Касперски) 4)спец. утилиту от Ксперски "Sality_Off" на той же станице второй архив с ветками реестра для восстановления безопасного режима Sality_RegKeys.zip. 5) утилиту AVZ 4.3 Олега Зайцева. 6) утилиту ATF Cleaner. Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную Вами папку, например на рабочем столе, после этого записываем ее на Live CD. Записываем все скачанные со списка программы на болванку с Live CD. Устанавливать и писать утилиты, на не зараженной машине!!!!

 

Обязательно отключить сеть! выдергиваем шнур из сетевой карты!

 

Записали все это на Live CD? тогда вперед...

 

Ниже я приведу список действий, действуйте строго по списку.

 

1) Загружаемся в обычный режим, и отключаем восстановление системы.

 

2) Загружаемся с нашего Live CD (курим :) )

 

3) Заходим в любую папку, кликаем сервис> свойства папки > вкладка вид, ставим галку на "Отображать содержимое системных папок", убираем галку на "Скрывать защищенные системные файлы", ставим галку на "Показывать скрытые файлы и папки".

 

4) Заходим в каждый локальный диск (жесткий) и ищем папку в корне, с названием System Volume Information, заходим в нее и удаляем все ее содержимое. Там же, на дисках, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое.

 

5) Запускаем (с диска) утилиту Dr.Web Cureit! жмем настройки >изменить настройки>типы файлов> ставим сканировать все файлы, файлы в архивах. Вкладка действия> Инфицированные> Лечить, Неизлечимые>удалить. На той же вкладке снимаем галочку запроса подтверждения. Жмем кнопку ОК и ставим галку на полную проверку машины, жмем пуск.

 

6) Пьем чай, курим :) спим :)

 

7) После сканирования системы Dr.Web Cureit! смотрим на проделанную им работу, сколько гадости нашел и пролечил :)

Закрываем программу.

 

8) Распаковываем на рабочий стол утилиту Sality_Off.exe запускаем двойным кликом, ждем, не трогаем и даем программе доработать :) После того как программа доработает закрываем ее.

 

9) Копируем папку с AvpTool с диска, на рабочий стол. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол программу, изменяем настройки. Максимальный эвристический анализ "детальный" жмем ОК, Сканировать все файлы, жмем ОК в разделе "действие" ставим галку "запросить по окончании проверки" жмем ОК. Для сканирования ставим галки, на всех локальных (жестких) дисках, и жмем кнопку "поиск вирусов".

 

10) После сканирования Касперским, все найденное, фигачим, т. е. удаляем :) ничего не оставляем :)

 

11) Загружаемся в обычный режим. Болванку с Live CD не вытаскиваем, она нам нужна еще для работы, вернее не она, а утилиты записанные в ее корень :)

 

12) Заходим на болванку с Live CD ищем утилиту Sality_Off, кликаем по ней правой клавишей на мышке, и отправляем ярлык на рабочий чтол (делать именно так как пишу! не иначе!) появившийся ярлык, кликаем по нему правой клавишей меняем немного его имя, пишем Sality_Off.exe-m кидаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей и нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.

 

13) Перезагружаем компьютер, загружаемся в обычном режиме. При загрузке, начинает сразу работать программа Sality_Off и начинает фиксить, чистить, систему (возможно еще что то осталось)

дожидаемся окончания работы программы, до слов "Для продолжения нажмите любую клавишу..." После этого закрываем программу.

 

14) Далее открываем (с болванки) утилиту AVZ 4.3 , после открытия жмем Файл>восстоновление системы и ставим галки на пунктах 8, 10, 11, 13, 17 и жмем выполнить скрипт.

 

15) Далее открываем наш диск, ищем скачаный архивчик Sality_RegKeys.zip на сайте Касперского, ищем в названиях содержимого архива, Вашу версию операционной системы, в моем случае это был файл SafeBootWinXP.reg, кликаем на него два раза вносим данные в реестр, и кликаем в том же архиве на файл с названием Disable autorun.reg вносим данные в реестр.

 

16) Перезагружаем Windows, (ярлык Sality_Off в автозапуске пока не трогаем!) После запуска Windows, начинает работать программа Sality_Off, пускай еще раз пройдется, на верочку...

 

17) После окончания работы утилиты, убираем ее ярлык с Автозагрузки.

 

18) Запускаем утилиту ATF Cleaner, ставим везде галочки и жмем очистить, ничего не жалеем!.

 

Все 98% работы сделано, все разблокировано, все вылечено, но еще не все...

 

Дело в том что после всего лечения

1) Очень многие системные файлы повреждены, даже после лечения, не факт что система будет корректно работать.

 

2) От вируса в системе остался висеть RootKit (у меня по крайней мере) и ничего с этим я поделать не смог, он собака в Ring 0 запускается и висит. 3) Что б проверить нет ли у Вас такого "добра" запустите утилиту AVZ вкладка > сервис>модули пространства ядра. И висел у меня там такой процессик, с названием ________.SYS или просто .SYS без названия и цифровых подписей Microsoft. Попытался снять с него дамп, система вылетает с синим экраном. AVZ его не берет ( у меня по крайней мере не получилось ) Касперский тоже, Dr.Web c таким же успехом. Я ничего не нашол лучше как пункт-4

 

4) Просто обновляем Windows, с загрузочного диска. Подойдет в принципе любой загрузочный установочный дистрибутив Windows (соответственно та версия которая поставлена у Вас, если XP SP- 2 то обновляем с диска с XP SP- 2 . Выставляем в Bios First boot Devise CD-Rom жмем F10, Yes. И начинается загрузка Windows. Далее выбираете тот диск куда нужно восстоновить винду, (выбираете тот диск куда был установлен виндовс ранее) жмем ENTER, далее видим страничку выбора форматирования с выбором файловой системы. Выбираем установку без форматирования!! (оставить файловую систему без форматирования (изминений) жмете ENTER на этой строчке, и все установка пошла, далее установку проводите как всегда. Минус в том, что слетят установленые программы. Но это лучше чем иформация не так ли? :)

 

После обновления Windows загружаемся из под Live CD и удаляем старую папку с Windows ( только не перепутайте кутузовы! старую папку Windows с новой! У меня новая папка Windows была под названием Windows.0 ну а старая соответственно как обычно)

 

После этого всего мы имеем чистую систему :) без заразы :) Если пропустить эти все действия и просто переустановить систему, это ничего не даст :) он снова появится :) поэтому соблюдайте то что я изложил выше и все будет ОК

 

Sality.aa - легко лечится. Заражает исполняемые файлы, как было выше сказано. Распространяется через сменные носители. Есть специальная утилита, специфичная для данного вируса. На офсайте она выложена. Я лечу обычно так: Гружусь с аварийного загрузочного диска и сканирую весь жёсткий диск, потом загружаюсь в систему и запускаю утилиту, о которой говорилось выше. После окончания процесса перезагрузка. потом запускаю reg файл, откатывающий изменения в системе, произведенные вирусом. Потом ставлю антивирус и сканю систему уже им, но как правило, на этом этапе уже чисто. Это проверенный способ, но есть и другие, которые я не проверял.

 

Ага легко лечится... Пошутил? а Sektor 17 тоже легко лечится?

  • Не согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • fertune
      Вирус dialer.exe
      От fertune
      Когда открываешь диспетчер задач то сначала ЦП грузит на 100% а потом на 10% я посмотрел через dr.web cureit и увидел то что это майнер dialer.exe, смотрел в интернете как пофиксить но никакие способы не помогли(может быть я что то делал неправильно)
      можете помочь с проблемой? Еще я пробовал его фиксить удаляя его но он опять появлялся и грузил ЦП на все 100%.
       
    • Temikst
      Поймал какой-то вирус
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • VanyeJ
      Вирус в PowerShell
      От VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
×
×
  • Создать...