Прижала беда меня очень большая,попался зверёк очень жуткий:Запрет доступа к диспетчеру задач(доступ закрыт администраторам пишет),реестр доступ закрыт по той же причине,восстановление системы он сбрасыает все точки,процесы с памяти выгружаться отказываются...антивирусы при последнем обновлении "незрячи" на этого зверька.Перебрал все варианты и решил обратиться к Вам.Помогите пожалуйста с лечением или описанием всех его действий для искоренения проблемы.Пароль на архив :1111 и сам файл:

93d1_12.01.2009_CRACKLAB.rU.tgz - ntpqq.rar

| Сообщение посчитали полезным:

regbit3hex, Есть такие 2 "волшебные" проги - SDFix и ComboFix. Доступ к диспетчеру задач и реестру откроют точно. Может и излечат... Пробуй

| Сообщение посчитали полезным:

Есть тема по вирусам: Прислали трояна успешно

А блок администратором это через реестр делается, читай в инете про твики.

-----
AutoIt

| Сообщение посчитали полезным:

SVIN95спасибо за быстрый ответ.Буду пробовать.

| Сообщение посчитали полезным:

А ещё есть вот такая "волшебная" прога siri.urz.free.fr/Fix/SmitfraudFix_En.php
Очень часто выручает

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Тебе сюда virusinfo.info/ . Помогут 100%.

| Сообщение посчитали полезным:

regbit3hex
Как-то очень похоже на Sality, антивири незрячи или просто вырубаются?

Качать просто влом, но если оно, то помогу 100%, у меня большой опыт по борьбе именно с вышеупомянутой тварью.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

AVZ помоему что то востанавливает в прежний вид.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

regbit3hex
Вот, может пригодиться, когда избавишься от говновируса.

3eaf_12.01.2009_CRACKLAB.rU.tgz - recover.bat

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

[HEX]
+1 и изловить поможет. В идеале ещё нужен опыт работы с Syser и наличие его в системе. AVZ+Syser=смерть вирусам

| Сообщение посчитали полезным:

По последствиям похож не только на Sality, был заражен комп подобным вирусом, он закрывал доступ к реестру и прочему, но вот пора уже запомнить, что можно сидеть под "Пользователем" и запускать
программы через "Администратора".
P.S. AVZ, CureIt попробуй

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Как-то очень похоже на Sality, антивири незрячи или просто вырубаются?
Sality и есть
www.virustotal.com/ru/analisis/1f2aa93292e02298b475ddb5870e4b6b

Удалять имхо лучше с LiveCD, так как наверняка уже много файлов заражено

coderess пишет:
P.S. AVZ, CureIt попробуй
в активном состоянии он не даст им работать

вот daxa.com.ua/vir/num51/ подробное описание есть

| Сообщение посчитали полезным:

Буду пробовать все перечисленые варианты.Незакрывайте пожалуйста топик.

| Сообщение посчитали полезным:

GMax пишет:
Sality и есть
в активном состоянии он не даст им работать

Запустишь это, потом CureIt и всё будет работать. Только предварительно всё нархен из автозапуска удали, возьми, например, через RegCleaner. И отключи скринсейвер! Делаешь полную проверочку, пару раз для эффекта, второй раз уже не надо запускать ото - от. Потом восстановишь записи в реестре, точнее, удалишь их через recover.bat

9b36_12.01.2009_CRACKLAB.rU.tgz - Anti-Attach.exe

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

- Антивирусная утилита AVZ. devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip
- Утилита HiJackThis. www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

Порядок действий такой:
1. Запустите AVZ*. Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
*Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности, антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.
2. Подключитесь к сети Интернет, запустите AVZ*. Вновь откройте меню "Файл"=>"Стандартные скрипты" и отметьте теперь пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
3. Запустите HijackThis*. В появившемся окне с пользовательским соглашением нажмите на кнопку I Accept. Если программа не запускается или прекращает работу после запуска, скачайте переименованный файл программы HijackThis здесь и в дальнейшем используйте его. Нажмите на кнопку "Do a system scan and save a logfile". Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log

Дальше сюда: virusinfo.info/ в раздел "Помогите". Если опыта работы с данным вирусом нету или сомневаешься лучше без самодеятельности. Себе дороже.

| Сообщение посчитали полезным:

ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-4.44.1.0811190.iso
скачай, запиши на болванку, загрузись, обнови, вылечи.

| Сообщение посчитали полезным:

Угу, каспер его определил как Virus.Win32.Sality.aa, но чо интересно, чо на сайте самого каспера не нашлось его описания даже, вот и лечи его после етого как хош
mushr00m, сори не углядел чота сразу.

| Сообщение посчитали полезным:

Valemox пишет:
Угу, каспер его определил как Virus.Win32.Sality.aa, но чо интересно, чо на сайте самого каспера не нашлось его описания даже

а это:
support.kaspersky.ru/faq/?qid=208636131 ?

| Сообщение посчитали полезным:

Слушаем меня внимтельно и чутко. Все полиморфные модификации прекрасно находит и лечит СureIt от DrWeb. Никаких LiveCd можно не скачивать. Суть сводится к тому, что вирус первым делом заражает программы, находящиеся в автозапуске. Далее он может заражать наиболее часто запускаемые приложения, инфу о них читает с реестра. Не заражает файлы, находящиеся в папках, фрагментом имени которых является system. Не заражает при рекурсивном поиске, но может заразить из инфы о часто запускаемых. Создаёт свою ветку реестра с именем ИмяПользователя914, где хранит свои настройки. Внедряется в эксплорер в памяти. Ищет через CreateToolHelp32Snapshot процессы антивирей и с помощью своего драйвера их убивает. Про драйвер ещё можно почитать --> Здесь <--. Anti-Attach, выложенный выше, перехватывает обращения к CreateToolHelp32Snapshot, и завершает поток, выполнивший вызов этой функции. Потом можно запускать CureIt и лечиться.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Virus Win32.Sality aka SOSiTE_AVERI_SOSiTEEE.haha.pdf

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

coderess
И чё?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

И чё?


4c11_12.01.2009_CRACKLAB.rU.tgz - Win32_Sality.rar

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Тогда уж и вот:

07d3_12.01.2009_CRACKLAB.rU.tgz - Sality.mht

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Если sality aa давно в системе, а раз автор обратился за помощью, это так, то большая часть екзешников побита и восстановлению не подлежит! После лечения он получит ОС с большей частью неработающих программ. Недавно бился с несколькими инфицироваными sality aa компами и после лечения только один работает полноценно (вирь только успел дипетчер задач вырубить, безопасный режим, regedit -это первое что он делает после сработки). Лечил AVZ, sality off -эту утилиту предлагают на форуме каспера, собственно КАВ-ом. Но пришёл к выводу, что если sality aa хорошо прогулялся по системе, её лучше переустановить, предварительно просканировав комп с LIVE CD на вирусы антивирем со свежими базами, чтобы не тратить впустую время. Обязательно просканить все флешки, он в основном через них распростаняется. С помощью AVZ4 не забыть отключить автозапуск со съёмных носителей и харда.

| Сообщение посчитали полезным:

sheleziaka пишет:
если sality aa хорошо прогулялся по системе, её лучше переустановить
На это так и напрашивается цитата от IT Professional: "Never reinstall XP again", не надо ничего переустанавливать, если вылечить экзешники, то всё будет работать, а настройки безопасного режима можно восстановить через файлы на том же форуме Каспера.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

По поводу драйвера вируса: кто нить знает как его юзать для сноса процессов из своей проги?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler
--> Ещё раз <--
Тут это уже было, там я выложил пример посылки запроса драйверу. А загрузить его можно через SCM, как и любой другой драйвер.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

"настройки безопасного режима можно восстановить через файлы на том же форуме Каспера."
Большинство проблем можно устранить при помощи AVZ4, а насчёт восстановления файлов если кто хочет помучиться -дело личное. Я писал про экономию времени.

| Сообщение посчитали полезным:

Да диск делаем загрузочный с антивирем и все проблемы и насрать что за зверь и насколько он крут.

-----
Никто не знает столько, сколько не знаю я

| Сообщение посчитали полезным:

sheleziaka пишет:
Я писал про экономию времени.

потрясающе. Вместо того, чтобы воспользоваться нормальным антивирем, лечащим файлы быстрее будет переустановить винду со всем софтом и настройками. Ты, очевидно, на голую винду ставишь avz и на этом успокаиваешься?

| Сообщение посчитали полезным: