Перейти к содержанию

Вирус на флешке


Рекомендуемые сообщения

В общем на флэхе вирус... Нод видит Sality, но есессно не лечит, но не в том беда. В некоторых папках завелась такая дрянь USBCрг6Й... Весит очень много. Флэшка на 8 Гб, а суммарный объём папок инфецированных состовляет более 70 Гб... Разумеется никаих операций не может быть произведенно... При любом обращении к файлам вылетают ошибки о защите от записи, не утилитами разными, ни вручную, никак не могу вылечить. А там мой диплом, в ед. экзэапляре. Как спастись? Помогите...

Ссылка на комментарий
Поделиться на другие сайты

В общем на флэхе вирус... Нод видит Sality, но есессно не лечит, но не в том беда. В некоторых папках завелась такая дрянь USBCрг6Й... Весит очень много. Флэшка на 8 Гб, а суммарный объём папок инфецированных состовляет более 70 Гб... Разумеется никаих операций не может быть произведенно... При любом обращении к файлам вылетают ошибки о защите от записи, не утилитами разными, ни вручную, никак не могу вылечить. А там мой диплом, в ед. экзэапляре. Как спастись? Помогите...

Рекомендую выполнить правила и тогда вам смогут помочь!

Изменено пользователем User
Ссылка на комментарий
Поделиться на другие сайты

Вы что пытаетесь вначале лечить? Необходимо вначале вылечить компьютер. а потом флешку. Салит - это файловый вирус, заражающий все исполнительные файлы.

Ссылка на комментарий
Поделиться на другие сайты

Sality.aa - легко лечится. Заражает исполняемые файлы, как было выше сказано. Распространяется через сменные носители. Есть специальная утилита, специфичная для данного вируса. На офсайте она выложена. Я лечу обычно так: Гружусь с аварийного загрузочного диска и сканирую весь жёсткий диск, потом загружаюсь в систему и запускаю утилиту, о которой говорилось выше. После окончания процесса перезагрузка. потом запускаю reg файл, откатывающий изменения в системе, произведенные вирусом. Потом ставлю антивирус и сканю систему уже им, но как правило, на этом этапе уже чисто. Это проверенный способ, но есть и другие, которые я не проверял.

sality_offf.rar

Ссылка на комментарий
Поделиться на другие сайты

но есть и другие, которые я не проверял.

Пока непроверите другие способы, будьте добры тут советы недавайте!

За потерю работа способности ОСи - вы будете отвечать? (остальное мне в ЛС)

Сорри за оффтопик :D

Ссылка на комментарий
Поделиться на другие сайты

В общем на флэхе вирус... Нод видит Sality, но есессно не лечит, но не в том беда. В некоторых папках завелась такая дрянь USBCрг6Й... Весит очень много. Флэшка на 8 Гб, а суммарный объём папок инфецированных состовляет более 70 Гб... Разумеется никаих операций не может быть произведенно... При любом обращении к файлам вылетают ошибки о защите от записи, не утилитами разными, ни вручную, никак не могу вылечить. А там мой диплом, в ед. экзэапляре. Как спастись? Помогите...

 

Ну это семейство вирусов я знаю, гадость еще та! :) Поэтому приготовил для борьбы, следуйщие инструменты. 1) Live CD 2) Dr.Web Cureit! (Игоря Данилова) 3)AvpTool (от Касперски) 4)спец. утилиту от Ксперски "Sality_Off" на той же станице второй архив с ветками реестра для восстановления безопасного режима Sality_RegKeys.zip. 5) утилиту AVZ 4.3 Олега Зайцева. 6) утилиту ATF Cleaner. Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную Вами папку, например на рабочем столе, после этого записываем ее на Live CD. Записываем все скачанные со списка программы на болванку с Live CD. Устанавливать и писать утилиты, на не зараженной машине!!!!

 

Обязательно отключить сеть! выдергиваем шнур из сетевой карты!

 

Записали все это на Live CD? тогда вперед...

 

Ниже я приведу список действий, действуйте строго по списку.

 

1) Загружаемся в обычный режим, и отключаем восстановление системы.

 

2) Загружаемся с нашего Live CD (курим :) )

 

3) Заходим в любую папку, кликаем сервис> свойства папки > вкладка вид, ставим галку на "Отображать содержимое системных папок", убираем галку на "Скрывать защищенные системные файлы", ставим галку на "Показывать скрытые файлы и папки".

 

4) Заходим в каждый локальный диск (жесткий) и ищем папку в корне, с названием System Volume Information, заходим в нее и удаляем все ее содержимое. Там же, на дисках, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое.

 

5) Запускаем (с диска) утилиту Dr.Web Cureit! жмем настройки >изменить настройки>типы файлов> ставим сканировать все файлы, файлы в архивах. Вкладка действия> Инфицированные> Лечить, Неизлечимые>удалить. На той же вкладке снимаем галочку запроса подтверждения. Жмем кнопку ОК и ставим галку на полную проверку машины, жмем пуск.

 

6) Пьем чай, курим :) спим :)

 

7) После сканирования системы Dr.Web Cureit! смотрим на проделанную им работу, сколько гадости нашел и пролечил :)

Закрываем программу.

 

8) Распаковываем на рабочий стол утилиту Sality_Off.exe запускаем двойным кликом, ждем, не трогаем и даем программе доработать :) После того как программа доработает закрываем ее.

 

9) Копируем папку с AvpTool с диска, на рабочий стол. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол программу, изменяем настройки. Максимальный эвристический анализ "детальный" жмем ОК, Сканировать все файлы, жмем ОК в разделе "действие" ставим галку "запросить по окончании проверки" жмем ОК. Для сканирования ставим галки, на всех локальных (жестких) дисках, и жмем кнопку "поиск вирусов".

 

10) После сканирования Касперским, все найденное, фигачим, т. е. удаляем :) ничего не оставляем :)

 

11) Загружаемся в обычный режим. Болванку с Live CD не вытаскиваем, она нам нужна еще для работы, вернее не она, а утилиты записанные в ее корень :)

 

12) Заходим на болванку с Live CD ищем утилиту Sality_Off, кликаем по ней правой клавишей на мышке, и отправляем ярлык на рабочий чтол (делать именно так как пишу! не иначе!) появившийся ярлык, кликаем по нему правой клавишей меняем немного его имя, пишем Sality_Off.exe-m кидаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей и нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.

 

13) Перезагружаем компьютер, загружаемся в обычном режиме. При загрузке, начинает сразу работать программа Sality_Off и начинает фиксить, чистить, систему (возможно еще что то осталось)

дожидаемся окончания работы программы, до слов "Для продолжения нажмите любую клавишу..." После этого закрываем программу.

 

14) Далее открываем (с болванки) утилиту AVZ 4.3 , после открытия жмем Файл>восстоновление системы и ставим галки на пунктах 8, 10, 11, 13, 17 и жмем выполнить скрипт.

 

15) Далее открываем наш диск, ищем скачаный архивчик Sality_RegKeys.zip на сайте Касперского, ищем в названиях содержимого архива, Вашу версию операционной системы, в моем случае это был файл SafeBootWinXP.reg, кликаем на него два раза вносим данные в реестр, и кликаем в том же архиве на файл с названием Disable autorun.reg вносим данные в реестр.

 

16) Перезагружаем Windows, (ярлык Sality_Off в автозапуске пока не трогаем!) После запуска Windows, начинает работать программа Sality_Off, пускай еще раз пройдется, на верочку...

 

17) После окончания работы утилиты, убираем ее ярлык с Автозагрузки.

 

18) Запускаем утилиту ATF Cleaner, ставим везде галочки и жмем очистить, ничего не жалеем!.

 

Все 98% работы сделано, все разблокировано, все вылечено, но еще не все...

 

Дело в том что после всего лечения

1) Очень многие системные файлы повреждены, даже после лечения, не факт что система будет корректно работать.

 

2) От вируса в системе остался висеть RootKit (у меня по крайней мере) и ничего с этим я поделать не смог, он собака в Ring 0 запускается и висит. 3) Что б проверить нет ли у Вас такого "добра" запустите утилиту AVZ вкладка > сервис>модули пространства ядра. И висел у меня там такой процессик, с названием ________.SYS или просто .SYS без названия и цифровых подписей Microsoft. Попытался снять с него дамп, система вылетает с синим экраном. AVZ его не берет ( у меня по крайней мере не получилось ) Касперский тоже, Dr.Web c таким же успехом. Я ничего не нашол лучше как пункт-4

 

4) Просто обновляем Windows, с загрузочного диска. Подойдет в принципе любой загрузочный установочный дистрибутив Windows (соответственно та версия которая поставлена у Вас, если XP SP- 2 то обновляем с диска с XP SP- 2 . Выставляем в Bios First boot Devise CD-Rom жмем F10, Yes. И начинается загрузка Windows. Далее выбираете тот диск куда нужно восстоновить винду, (выбираете тот диск куда был установлен виндовс ранее) жмем ENTER, далее видим страничку выбора форматирования с выбором файловой системы. Выбираем установку без форматирования!! (оставить файловую систему без форматирования (изминений) жмете ENTER на этой строчке, и все установка пошла, далее установку проводите как всегда. Минус в том, что слетят установленые программы. Но это лучше чем иформация не так ли? :)

 

После обновления Windows загружаемся из под Live CD и удаляем старую папку с Windows ( только не перепутайте кутузовы! старую папку Windows с новой! У меня новая папка Windows была под названием Windows.0 ну а старая соответственно как обычно)

 

После этого всего мы имеем чистую систему :) без заразы :) Если пропустить эти все действия и просто переустановить систему, это ничего не даст :) он снова появится :) поэтому соблюдайте то что я изложил выше и все будет ОК

 

Sality.aa - легко лечится. Заражает исполняемые файлы, как было выше сказано. Распространяется через сменные носители. Есть специальная утилита, специфичная для данного вируса. На офсайте она выложена. Я лечу обычно так: Гружусь с аварийного загрузочного диска и сканирую весь жёсткий диск, потом загружаюсь в систему и запускаю утилиту, о которой говорилось выше. После окончания процесса перезагрузка. потом запускаю reg файл, откатывающий изменения в системе, произведенные вирусом. Потом ставлю антивирус и сканю систему уже им, но как правило, на этом этапе уже чисто. Это проверенный способ, но есть и другие, которые я не проверял.

 

Ага легко лечится... Пошутил? а Sektor 17 тоже легко лечится?

  • Не согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • macklooney1315
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
    • alen4iz
      Автор alen4iz
      Здравствуйте! Еще вчера все было хорошо. Сегодня столкнулась с проблемой.
      Подключаю флешку. Открываю проводник. ПК видит флешку (БЕЗ КР (G:)), пытается ее загрузить, но не получается. Подскажите, пожалуйста, возможно ли решить проблему.
       

    • Dava
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • Abzz
      Автор Abzz
      Здраствуйте, абсолютно аналогичная проблема, но не получается перейти по выделенной вами ссылке архива 
      "Скачайте архив по ссылке, распакуйте. Запустите каждый из файлов и подтвердите внесение информации в реестр."
      переносит нету файла для скачивания, помогите пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
       
    • Nabludatel
      Автор Nabludatel
      Здравствуйте, нашел через Dr.Web Cureit вирус который невозможно вылечить. 
      Все логи прилагаю.
      Addition.txt FRST.txt cureit.zip
×
×
  • Создать...