|
karifan
|
 |
« : 01 Октябрь 2008, 23:19:38 » |
|
Столкнулся с таким вот зверем. Др.Веб обнаруживает как Win32.Sector.12, нод32 как Win32/Sality.NAR. Характерные признаки - блокирует диспетчер задач, редактирование реестра, загрузку в безопасном режиме, когда активен, сразу завершает работу известных антивирей (дрвеб, нод, каспер, авз и пр.). В общем достаточно интересный и заслуживающий внимания экземпляр. Заражает ехе-шники, ничего другого вроде не трогает (пока что), распространяется через все возможные для записи ресурсы посредством авторана (ч-з флешки в основном), в висте не приживается, подозреваю, устанавливает либо драйвер, либо службу, но ничо не нашёл.
Кто сталкивался? У кого получалось лечить без извлечения харда из больной машины? Ещё не пробовал, но поговаривают, что даже при полном излечении с liveCD всё равно откуда-то восстанавливается и продолжает беспредельничать.
|
|
|
|
|
Записан
|
+375 (29) 7816614
И веришь что свободен ты, и жизнь лишь началась...
|
|
|
|
av7ko
|
|
« Ответ #1 : 02 Октябрь 2008, 00:55:40 » |
|
Да раз столкнулся на машине у юзверя, которую удалось вылечить Dr. Web'om (совместно с парой утилит и наработанными домашними заготовками), exe полностью восстанавливает!
p. s.: было примерно месяц назад, возможно была более раняя модификация!
|
|
|
|
|
Записан
|
Меньше слов, а больше дела!)
|
|
|
|
MetriX
|
|
« Ответ #2 : 02 Октябрь 2008, 09:21:03 » |
|
попробуй с лайфсиди бутнуться и погонять антивирями, в первую очередь последней AVZ
|
|
|
|
|
Записан
|
|
|
|
|
av7ko
|
|
« Ответ #3 : 02 Октябрь 2008, 11:29:05 » |
|
Вот нашёл по логам... 4.09 лечил комп, который был заражён Win32.Sector.11 (занесён в 55 базу вэба 1 сентября), заражены были все exe, в том числе и многие системные, запущенные резидентно в памяти...
Запускался с ERD, прогонял AVZ, DrWeb, gmer, что возможно чистил через встроенные утилиты autorun, regedit с помощью заготовок из reg-файлов...
Потом ещё раз в Безопасном прогонял и вносил изменения в реестр с помощью inf-файлов, навсякий пожарный... Всё прошло на ура, комп здоров, клиент доволен!
|
|
|
|
|
Записан
|
Меньше слов, а больше дела!)
|
|
|
|
karifan
|
|
« Ответ #4 : 02 Октябрь 2008, 23:15:08 » |
|
С лайфсиди всё полечил кюреитом от др.веба. Заражены были практически все екзешники.
З.Ы. кто знает, что за драйвер такой SPTD.SYS? Судя по дате создания появился он на заражённых компах в папке SYSTEM32\DRIVERS где то как раз в тот период, когда поселился зверь. Присутствует на всех заражённых. Кроме того присутствует и у меня - но у меня дата создания совпадает с датой установки винды. Антивири в нём ничо не находют подозрительного. Возможно ли что этот драйвер "патчится" под нужды зверька, и он становится руткитом для прикрытия, и прекращения антивирусной активности?
|
|
|
|
|
Записан
|
+375 (29) 7816614
И веришь что свободен ты, и жизнь лишь началась...
|
|
|
|
av7ko
|
|
« Ответ #5 : 02 Октябрь 2008, 23:30:33 » |
|
Это скази мини-порт драйвер, устанавливает или Алкоголь и Даемон-тулс!
|
|
|
|
|
Записан
|
Меньше слов, а больше дела!)
|
|
|
|
karifan
|
|
« Ответ #6 : 03 Октябрь 2008, 08:12:48 » |
|
паняна. Спасибо =)
|
|
|
|
|
Записан
|
+375 (29) 7816614
И веришь что свободен ты, и жизнь лишь началась...
|
|
|
|
karifan
|
|
« Ответ #7 : 03 Октябрь 2008, 23:41:51 » |
|
Собстна отчитываюсь: 5 компов - все пять были заражены, все пять были пролечены с LiveCD и на все установлены новые антивири. Через день 4 из пяти снова заражены...  Для эксперимента выбрал один - ещё раз сканил, лечил куреитом, а так же нод портейбл. Все екзешники пролечил, нодом проверил что б не было погрешностей. Перезапустился попробовал поставить антивирь (чистый с компакта) - поставился, но не запустился.  Имею догадку, что на пролеченом компе оставляет дырку, через которую потом снова забирается по сети от других заражённых компов. Завтра продолжу эксперименты. П.С. вычитал интересное: привед Pili. Переименованный AVZ тоже не запускается, вирус логи все удалил. немного углублюсь в проблему:
Kasper 7 - Salita или Sality и модификации (Sality.a Sality.e Sality.z Sality.g Sality-a Sality-e Sality-z Sality-g и т.д.)
Dr.Web 4.44 - Win32.Sector.5 Win32.Sector.238 ...
распространяется фоздушно капельным путем (порт 110 - почта) портит тока *.ехе и как нибудь живите без них
C:\System Root\System32\ => infornat.exe.tmp (20.2KB) infornat.exe (20.0KB) при удолении он их восстанавливает
---------------------------------------------------------------------------------------------------------------------------------------------------------
а теперь, то что я от форума добиваюсь:
я тыщу раз сканил систему, и каждуй раз антивирус лечил только зараженные лбьекты, все вылечивалось, а через минуту опять все угробилось. мне ненадо целую армию антивирусов, которые уничтожают следствие, мне нада удалить причину! а мне все тока и советуют разное новое антивирусное ПО. ДА ДА ДА, оно работает 100пудов, тока после удаления вирусов с компа их опять там полным полно!
|
|
|
|
|
Записан
|
+375 (29) 7816614
И веришь что свободен ты, и жизнь лишь началась...
|
|
|
|
av7ko
|
|
« Ответ #8 : 04 Октябрь 2008, 01:51:33 » |
|
Сеть имеет выход в инет, каким образом, какое ПО для этого используется , какие права у пользователей, прокси, фаер установлен?!
|
|
|
|
|
Записан
|
Меньше слов, а больше дела!)
|
|
|
|
karifan
|
|
« Ответ #9 : 04 Октябрь 2008, 09:23:10 » |
|
у всех пользователей админские права, все имеют выход в инет через шлюз, прокси нет, из фаеров только дырявый брендмауер виндофс, в котором в исключениях в огромном количестве числится некто ipsec (не думаю что служба ip безопасности нуждается в исключении, да и тем более в 10-15 исключениях), и который отключается волшебным образом при любом удобном случае.
|
|
|
|
|
Записан
|
+375 (29) 7816614
И веришь что свободен ты, и жизнь лишь началась...
|
|
|
|
MetriX
|
зачем всем права админа?  ?  если уж проге какой надо права админа, юзали бы |
|
|
|
|
Записан
|
|
|
|
|
av7ko
|
Да сеть, как и компы в ПОЛНОМ запущении, про антивир даж и неспрашиваю... и конечно все юзают ослика в инете?!
Вот фаер как раз вирус и использует через ipsec... Сделай детальные логи со всех компов AVZ, Hijackthis, TrojanFind, а там посмотрим! Проверь антируткитами в Обычном режиме, что покажут! Будем анализировать...
|
|
|
|
|
Записан
|
Меньше слов, а больше дела!)
|
|
|
|
Fox
|
Форматнуть все и поставить с нуля все компы, никаких паролей админа всем, поставить централизованный (корпоративный) антивирь (как вариант symantec) настроить нормальные фаерволы (можно от того же symanteka или outpost) один раз и забыть про вирусы. только сервак антивирусный постоянно обновлять.
А что бы найти источник (причину) это надо смотреть внимательно так не знаю как помочь.
Как вариант если вирус в названии имеет слово Sector так может он и вовсе не в файлах хранится, а BR живет? А файлы только для размножения.
|
|
|
|
|
Записан
|
Модератор - это человек, который молится о бесконечном терпении...а мечтает о бесконечных патронах!
|
|
|
|
magnat
|
как вариан отослать проблему в лабораторию касперского
или еще куда если лицензия мож подскажут что
|
|
|
|
|
Записан
|
|
|
|
|
karifan
|
Да сеть, как и компы в ПОЛНОМ запущении, про антивир даж и неспрашиваю... и конечно все юзают ослика в инете?!
Вот фаер как раз вирус и использует через ipsec... Сделай детальные логи со всех компов AVZ, Hijackthis, TrojanFind, а там посмотрим! Проверь антируткитами в Обычном режиме, что покажут! Будем анализировать...
Компами пользуются женщины, разумеется бардак. Админские учетки стояли сразу, как купили компы, более того они настояли на аутлуке и интернет експлорере. Постоянного админа там нет, я за пару денег наведываюсь в гости раз-два в неделю. Антивир стоял, NOD32, постоянно обновлялся. Был убит этой же заразой, принесённой судя по всему на флешке. |
|
|
|
|
Записан
|
+375 (29) 7816614
И веришь что свободен ты, и жизнь лишь началась...
|
|
|
|
av7ko
|
2 karifan
Вирус как раз отслеживает антивиры и косит их, хорош зверь!
Отследи неподписанные службы и драйвера (гдето и будет вирус), на будущее потом потенциально опасные отключить! Почисти все пути автозагрузки и вырубить левые модули расширений ослика! Ну я так понимаю логи ты только в понедельник сделаешь?!
|
|
|
|
« Последнее редактирование: 07 Октябрь 2008, 10:40:06 от av7ko »
|
Записан
|
Меньше слов, а больше дела!)
|
|
|
|
karifan
|
Пролечил каждый комп локально с лайвСД, поотключал все ненужные службы, врубил брендмауер, убрав оттуда все исключения кроме доступа к вайлам/принтерам, поправил ветки реестра, включил безопасный режим, и в нём проскинил повторно всё. Поставил др.веб с обновлялкой.
Вроде третий день, (тьфу тьфу тьфу) всё в порядке.
|
|
|
|
|
Записан
|
+375 (29) 7816614
И веришь что свободен ты, и жизнь лишь началась...
|
|
|
|
|
|
MetriX
|
млять... словил эту дрянь...
|
|
|
|
|
Записан
|
|
|
|
|
DeleteR
|
Чёта мне ссыкотно становится! |
|
|
|
|
Записан
|
|
|
|
|
|
|
karifan
|
Я редактировал реестр плагином для тотала. Правда на долго не хватает - блокировка дисп.задач и реестра очень быстро восстанавливается. Зато блокировка безопасного режима не так быстро. В любом случае - надёжнее будет с livecd.
|
|
|
|
|
Записан
|
+375 (29) 7816614
И веришь что свободен ты, и жизнь лишь началась...
|
|
|
|
Serge2005
|
Ещё логи антивируса посмотреть на заражённых компьютерах стоило бы на предмет отключения защиты.
Для надёжности - загнать под пароль, что бы не могли самостоятельно отключать. У нас один чел, для того, что бы "тормозов меньше было" - вырубал антивирус и работал себе. Во время такого отключения он поймал Пенетратора...
Ну и конечно стандартный совет: тупым юзерам не ставить никаких нодов - только каспер.
|
|
|
|
|
Записан
|
|
|
|
|
axis
|
нахер каспер!!!!!!!!!
Только веб, и ничего больш
я меня дома 6 лет как вебом пользуюсь и никаких траблов
|
|
|
|
|
Записан
|
|
|
|
|
axis
|
А по поводу лечения Win32.Sector.8,9,10,11,12 и других модификаций нодовского "sality" могу подробно помочь! Симптомы: 1. Отключен ДЗ 2. Отключен Regedit 3. Не грузится ни один антивирь 4. Доступ на всевозможные сайты антивирей, в том числе и вируслист ЗАЧЫНЕНЫ! 5. Ну и самое обидное - негрузится БЭЗОПАСКА! Лечение:(помогло раз 15) 1. На будущее, если вы пользуетесь USB носителями инфы т.е. флешками, то в корневом каталоге сделайте папку с названием "autorun.inf", а также пустые файлы без расширения "recycled" и "recycler", это защитит флешку от попадания на неё "автораноподобных" и "кешаэкзешных" зараз)))) 2. Открываете "ТОТАЛ", и правите через него реестр, а именно: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system там найдёте 2 параметра "disable regedit = 1", и "disable taskmanager = 1" теперь берем (!!!ПРИЧЁМ ОЧЕНЬ БЫСТРО!!!) меняем "disable regedit = 1 на 0" и (!!!ОЧЕНЬ БЫСТРО!!!) вносим данные в реестр из приложенного архива "restore_safe_boot.zip" ато можете неуспеть и (!!!ОЧЕНЬ БЫСТРО!!!) перезагружаем винду ТОЛЬКО НЕ RESET'ом. Далее жмёте F8 прекрасно заходите в безопасный режим. 3. Чистите папки "System Volume Information", "RECYCLER", "temp", "C:\Documents and Settings\user\Local Settings\Temporary Internet Files\" 4. Запускаете DrWeb версии 4.44 со свежими базками и лечите все экзешники компа (кста, помимо *.exe вирус хватает и *.dll, *.scr, *.dat, *.sys) 5. После того как веб напишет, что всё зашибись, перегружаете комп Вот, как говорится, и всё... Если че не получается пишите |
|
|
|
Записан
|
|
|
|
|
Serge2005
|
нах#р каспер!!!!!!!!!
Только веб, и ничего больш
я меня дома 6 лет как вебом пользуюсь и никаких траблов
я авастом пользуюсь - и никаких траблов. А повторюсь - тупым юзверям - только каспер! |
|
|
|
|
Записан
|
|
|
|
|
av7ko
|
2 axis & 4 ALL1. Создание в корне диска папки autorun.inf использует старый досовский приём, не позволяющий создавать файл с ТАКИМ же именем, но создание нулёвых файлов recycled и recycler НЕ ОБЕЗОПАСИТ Вашу флэшку от записи туда вирусов, даже если ставить ещё и атрибут "только для чтения". Всё дело в настройках Винды, к компу которого Вы подключаете флэшку!!! Важным условием является отключение автозапуска для съёмных, неизвестных и др. дисков в системе, отключение службы Определение оборудования оболочки (Shell Hardware Detection) и ещё пару твиков реестра, что не позволяет системе обрабатывать autorun.inf и записанные в её параметрах команды и вирусы лежат на флэхе мёртвым грузом! В любой случает - ОПТИМАЛЬНОЕ решение работа в винде с live-cd, как и с флэшек с защитой от записи (переключателем)!!!2. Редактировать реестр можно любым СТОРОННИМ редактором, как и использовать любой СТОРОННИЙ Диспетчер задач, так же хорошим решением является выгрузка explorer.exe и использование СТОРОННЕЙ оболочки, как вариант ReactOS Explorer - с его помощью можно перемещаться не только по файловой системе, но и по реестру и по дереву объектов NT. (конечно же Тотал с плагинами тож отличное решение) Восстанить ветку SafeBoot можно из других разделов HKEY_LOCAL_MACHINE\SYSTEM\ControlSet xxx3. C:\Documents and Settings\ имя текущего пользователя\Local Settings\Temporary Internet Files\ и по поводу "Temp", необходимо чистить в зависимости от значения Пepeмeнных cpeды пoльзoвaтeля TEMP и TMP, имеющих путь к конкретной папке! 4. Sector (Sality) заражает только exe и scr! От себя добавлю ещё хорошим решением переименование баз Dr. Web'a, подправить drweb32.ini - параметр VirusBase = " *.xxx" и переименование самих лечащих модулей, со случайным именем (можно также изменить имя файла конфигурации и через ключ /INI: подгружать его с любым именен и месторасположением)!  Плюс ко всему установите на комп Консоль восстановления, не помешает! |
|
|
|
« Последнее редактирование: 12 Октябрь 2008, 00:31:35 от av7ko »
|
Записан
|
Меньше слов, а больше дела!)
|
|
|
|
Mr.Barbara
|
восстановления
|
|
|
|
|
Записан
|
Настоящему мужчине все либо по плечу, либо пофигу.
|
|
|
|
MetriX
|
Win32.Sector.5 поймал. причём ОЧЕНЬ странно. был в системе он, решил не возиться, ибо ничего там такого не было на компе, кроме доков. тупо снёс винду, форматнул винт, поставил заново, поставил проги нужные (не так их и много: мс офис стд, фоксит ридер, кодеки, аимр, гом, фрикоммандер, опера, комодо антивирь... вроде всё) и оно снова откуда-то вылезло! комодо его не отлавливает, но ругается на хаотически появляющиеся файлы win*.exe, что они спам собрались рассылать. хоть на линух народ сажай (((
|
|
|
|
|
Записан
|
|
|
|
|
karifan
|
возможно где то инсталяжки пакоцаны? Или с компакта всё ставил? Вполне возможно антивирь не перехватывает какой то из путей заражения.
|
|
|
|
|
Записан
|
+375 (29) 7816614
И веришь что свободен ты, и жизнь лишь началась...
|
|
|
|
: 2 3 Далее» Все Вниз