следующая тема »

[22 Август 2025, 02:19:52]

Новости, реклама:

[22 Август 2025, 02:19:52]

Новости, реклама:

[senia]

14.10.2008 10:27:17   HTTP filter   file   http://closoda.com/wssl655.exe   Win32/TrojanDownloader.Agent.XLW trojan   connection terminated - quarantined   NT AUTHORITY\SYSTEM   Threat was detected upon access to web by the application: C:\WINDOWS\system32\winlogon.exe.

подскажите пожалуйста что за хрень меня долбит каждый день по 10-20 раз, вроде нод32 их находит и блокирует , но после сканирования компа этой хрени в два раза больше

[av7ko]

2 MetriX
Ну если не изнутри (по karifan'y), тогда снаружи! Инат, инет, флэхи!? Одного антивиря мало!!!

2 senia
Проверь в безопасном режиме, используй другой сканер! Фаервол установлен, какой браузер юзаешь?!

[MetriX]

откуда зараза - нашёл. Дистрибутив АНТИВИРУСА был заражен! Ирония судьбы.

ОБЯЗАТЕЛЬНО проверяйте инсталляхи перед запуском
вылечисля пока не доконца, но прогресс есть.

[karifan]

После нескольких таких случаев взял за правило устанавливаться с компакта (впоследнее время зверь WPI мне нравится).

[magnat]

а сцылку на wpi можно?

[av7ko]

2 magnat
Не в теме... спроси у Гуглчитай!
Windows Post-Install Wizard (WPI for short)

[Sarasota]

увы, тоже стала жертвой этого вируса. рассказываю свою историю может пригодится.
муж принес с работы на флешке эту гадость. обнаружила ее только через несколько дней, когда пыталась зайти в дисп.задач и он вдруг не открылся. пыталась открыть реестр через regedit и он тоже был будто бы отключен админом компа. тут меня посетила мысль, что что-то тут неладно. тогда я попыталась запустить проверку нодом, но он не включался. установленный касперский снес все настройки: всех программ абсолютно. начиная с оперы заканчивая чистым аутлуком.
кой как удалось с 100 попытки зарядить на флешку с другого компа (боже, как хорошо, что у нас их 2) веб cureIt и пару прог для открытия реестра (рег органайзер и rrtri.exe). но и махинации в реестре с изменением циферки 1 на 0 не помогло.
сейчас полностью сканирую комп антивирем, который все же удалось запустить. но ни реестр ни диспетчер так и не открывается. быстрота тоже не помогает )))
при попытке входа в безопасный режим ноут отрубается. ну и когда пару раз сканировала тоже вырубался.
нашла еще вот такой вариант решения проблемы http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FSALITY%2EM&VSect=Sn
но сомневаюсь, что он поможет.
видимо остается только винду перебивать.
если кто-то нашел какое-то решение проблемы - напишите в пм. 

[Mr.Barbara]

Переименовываем расширение вложенного файла в .reg и запускаем. Соглашаемся на внесение изменений в реестр. Перегружаемся в защищенный режим и сканим все CureIt.

[av7ko]

2 Sarasota
Вы, хоть первую страницу данного топика(темы) просмотрели?!

[Sarasota]

2 Sarasota
Вы, хоть первую страницу данного топика(темы) просмотрели?!

да. перечитала несколько раз и ни один из методов не помог. что вы хотели мне сказать своим постом?

[av7ko]

2 Sarasota
Своим постом я высказал сомнение... тем более непонятно, что ни один из вариантов Вам не помогает(есть примеры удачного решения)!
А Вы, хоть применяли утилиту Trend Micro FIXTOOL?
Напишите ПОДРОБНО (можно в пм), что Вы делали (очередность событий)...

[karifan]

Как я делал (собрав опыт всей ветки, и ссылок, сдесь опубликованных (делетер, тебе отдельное спасибо за материал)).

- С загрузочного компакта запускаем WinPe или другой возможный вариант компактдисковой ОС.
- Проверяем с самыми жёсткими требованиями CureIT все диски.
- Лезем в реестр и полностью удаляем ветку HKCUSoftware<имя пользователя>914
- добавляем в реестр фикс, который выложил Mr.Barbara.
- удаляем ветку HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
- удаляем в файле c:windowssystem.ini   строчки

[MCIDRV_VER]
DEVICEMB=127446824460
[MCI_DPI32]
DRV_VER=0A34224648

- отключаем физически сеть, если есть и перезапускаем комп в БЕЗОПАСНОМ РЕЖИМЕ, и ещё раз жёстко сканируем всё CureIt.
- тут же в безопасном режиме удаляем все антивирусы, какие есть, и неперезапускаясь ставим какой нибудь, но один (я ставил dr.web).
- НЕ ПОДКЛЮЧАЕМ СЕТЬ, и перезапускаемся в обычном режиме.
- Включаем брендмауер Windows и из списка исключений удаляем всё, что можно удалить, кроме общего доступа к файлам и принтерам, если он нужен.
- перезапускаемся, убеждаемся, что антивирус работает, и не умер.

Если в сети есть ещё заражённые компы - лечить таким образом надо локально все.

Быть может некоторые из этих шагов излишие - но чем черт не шутит. Пока всё стоит и работает. (тьфу*3).

[floyd_123]

Спасибо всем за инфу!
на работе 4 компа залетело......
Следовал инструкцие karifan , но не нашол строчек
[MCIDRV_VER]
DEVICEMB=127446824460
в c:\windows\system.in
и после всех ужасов все равно не работает безопастный режим, можноли как то его востановить?
и можно ли определить откуда эта бяка к нам попала?

[timtom]

Я редактировал реестр плагином для тотала. Правда на долго не хватает - блокировка дисп.задач и реестра очень быстро восстанавливается. Зато блокировка безопасного режима не так быстро. В любом случае  - надёжнее будет с livecd.

Надо запретить доступ для всех к ветке реестра [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

Вирус регистрируется в системе как драйвер nemieo.sys

[karifan]

Я редактировал реестр плагином для тотала. Правда на долго не хватает - блокировка дисп.задач и реестра очень быстро восстанавливается. Зато блокировка безопасного режима не так быстро. В любом случае  - надёжнее будет с livecd.

Надо запретить доступ для всех к ветке реестра [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

Вирус регистрируется в системе как драйвер nemieo.sys

Спасибо, дельный совет

[aeore]

Подхватил эту же заразу. CureIt определил как Win32.Sector.12. Пробовал лечить с помоощью CureIt - не помогло. Потом запустил утилиту sality_off.exe, так она нашла и вылечила 620+ экзешников, после чего вот уже сутки как все нормально (определила как sality.aa).
Кстати на счет доступа в реестр -- я пользовался стандартным редактором даже во время активности вируса, просто написав скрипт для бат-файла. Если интересует кого-то -- пишите на 276192712, а то он дома остался.

[morro]

Вылечился CureIt'ом из под Безопасного режима,  restore_safe_boot.zip помогло туда попасть, спс. Но, вот проблемка....  заново установленый НОД32 теперь отказываеться обновляться на этом компе. В чем может быть проблема? Ни какой активности вируса не наблюдаетьтся, нод переустановливаю, меняю зеркала и всё в пустую. Помогите разобраться плз.

[Fox]

проверь файл C:\Windows\system32\drivers\etc\hosts
возможно остались после действий вируса редиректы адресов для обновления на локальный адрес или куда еще.

[terri4]

Эх и я словил....гадость редкосная((
Скачал CureIt от Др.Вэба и утилиту Капера, сначала каспером пролечился - 3 штуки, потом CureIt - еще 3, тьфу тьфу тьфу....терь буду следить за работает, вродь ничего !!!


http://www.google.com.by/search?hl=ru&q=Борьба+с+вирусом+Virus.Win32.Sality.aa&btnG=Поиск+в+Google&meta=
http://notes.rudomilov.ru/2008/07/08/borba-s-virusom-virus-win32-sality-z-win32-sector-5-win32-sector-7/

вот тут начитался, мот поможет кому))

[demiurg]

драссте все.  я тож словил. даж незнаю с нета или с локалки. но суть не в том. в реестр не пускает даже сторонних редакторов.
др Вебом лечил дня три, пока вчера он совсем не здох. а раньше погуглить- не додумался...
сёня попробую ещё закачать Кюре ит. еси не поможет- придётся сносить форточки. Благо для мну то допустимо...
хотел ток спросить мнение: как насчёт Бит Дефендера? юзал его, вроде обновлялся, а на заразу даж не пикнул... обидно.

[Белый Клык]

"Возрадуйтесь": вышел Сектор 17 =(
Проверял флешку касперским, нашёл только 12 версии этого вируса (Ну вроде самый свежий, проверял в техникуме), дома сейчас проверил ещё раз (но уже доктором вебом), нашёл несколько версий 17 

[B_A]

Live CD -> Cure IT -> Перезагрузка -> Live CD -> Cure IT -> Перезагрузка -> Запускаем -> Ставим Аваст с ДИСКА -> Обносляемся последними базами -> Запускаем лечение до загрузки, и вуаля все работает, вылечен не один комп

[axis]

"Возрадуйтесь": вышел Сектор 17 =(
Проверял флешку касперским, нашёл только 12 версии этого вируса (Ну вроде самый свежий, проверял в техникуме), дома сейчас проверил ещё раз (но уже доктором вебом), нашёл несколько версий 17 

Веб лечит или удаляет?

[axis]

если удаляет, то пока они еще не нашли метод вырезания его из экзешника, такая пестня долго длилась с Сектор 5, причем веб его лечить начал аж после выхода в свет Сектор 12

[axis]

и после всех ужасов все равно не работает безопастный режим, можноли как то его востановить?
и можно ли определить откуда эта бяка к нам попала?

я как то уже выкладывал файлик восстановления реестра, поищи....

[Белый Клык]

Веб лечит или удаляет?

Самому интересно, я как увидел, что там секор есть, да ещё и свежий, так отформатировал флешку от греха подальше.

[игигеф]

всем ПРИВЕТ!

в вашем полку прибыло )) сервак положил сектор 17 )
лечу DRWEBом, путём изъятия диска и подцепа к другой машине... все экзешники покоцаны...

зверь ужасный! но лекарство хорошо помагает.  Народ, а как в ХРюше отключить возможность автозапуска??? 100% через флешки народ притащил этот сифилис

[Fox]

отключи службу вроде "Shell hardware detection"  по русски вроде "определение остнастки оборудования" - там в описании про автозапуски написано. (сча посмотреть точно как называется негде)
Блин это первое что делаю когда ставлю новую винду.
Да и ставьте нормальные антивирусы если не можете так нормально бороться с вирусами.

И что же это за сервак и админ что его так положили вирусы

[DeadPihto]

И что же это за сервак и админ что его так положили вирусы

флэшки ежедневно втыкаю в чужие компы и тащу домой
ни разу не подцепил ентого сектора
имхо студенты и учащиеся забивают на антивир

[Mr.Barbara]

Ужос, нах