Борьба с win32.sector.12

Сейчас на форуме: rmn, bartolomeo (+6 невидимых)

Посл.ответ	Сообщение
Mavlyudov Ранг: 156.2 (ветеран), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 05 января 2009 17:50 · Поправил: Mavlyudov · Личное сообщение · #1 На компе вирус win32.sector.12 Вот примерное описание http://aborche.livejournal.com/1300.html . Что-то не могу его удалить. До поправки реестра безопасный режим выетает в синий экран, после попраки начинает грузится, но не грузится. RKU обнаружил 3 файла на вкладке Stealth Code. под именами "Unknown page with executable code". Сдампил эти три файла. На диске они у меня получились с расширением .sys. Пробовал смотреть в ИДЕ, есть какой-то непонятный код, а дальше db. В реестре согласно приведенному выше описанию сидит раздел с какими-то зашифрованными данными. Что делать не знаю....

BaGiE Ранг: 61.7 (постоянный) Активность: 0.05↘0 Статус: Участник я	Создано: 05 января 2009 19:22 · Личное сообщение · #2 а в безопасном режиме синий экран возможно потому что раздел - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal удален или поврежден. скопируй всю ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot с рабочей чистой системы, кильни у себя и замени, если это так.
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 05 января 2009 19:27 · Личное сообщение · #3 Ну вот тут что-то есть по этому поводу - www.bestfilez.net/forums/showtopic=46867 Сегодня кстати ноут принесли лечить от Sality. Понадобился только NeoTwiсker (чтобы открыть доступ к реестру), RKU (чтобы снять хуки), ProcessExplorer (чтобы загасить левые процессы), Autoruns (чтобы покоцать всё левое в автозапуске + убрать всё в разделе Image HiDjecks - чтобы можно было запустить касперского) и AVZ (чтобы убрать дополнительные запреты в системе). После всего этого проверка компа касперским со свежими базами Лично для меня Sality не представляет какой-то проблемы, лечу его практически на автомате только дословно не смогу рассказать
Mavlyudov Ранг: 156.2 (ветеран), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 05 января 2009 20:58 · Поправил: Mavlyudov · Личное сообщение · #4 tihiy_grom напиши про хуки хоть. Я тоже в RKU залез. На той вкладке, что я написал есть процессы, но их можно только сдампить, а как снять хуки и какие я не в курсе. BaGiE пишет: скопируй всю ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot с рабочей чистой системы, А где я возьму рабочую, да еще и чистую систему?!...
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 05 января 2009 21:27 · Личное сообщение · #5 Mavlyudov Снимай все, хуже не станет ;) или пиши мне в аську (номер в личку отправил)
Mavlyudov Ранг: 156.2 (ветеран), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 06 января 2009 09:36 · Личное сообщение · #6 tihiy_grom проблема не решилась. вирусы в системе у меня сидят. Дампы что ли прикрепить. 9ff7_06.01.2009_CRACKLAB.rU.tgz - Dumped.rar
Ara Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник	Создано: 06 января 2009 11:26 · Личное сообщение · #7 tihiy_grom пишет: Сегодня кстати ноут принесли лечить от Sality. Понадобился только NeoTwiсker (чтобы открыть доступ к реестру), RKU (чтобы снять хуки), ProcessExplorer (чтобы загасить левые процессы), Autoruns (чтобы покоцать всё левое в автозапуске + убрать всё в разделе Image HiDjecks - чтобы можно было запустить касперского) и AVZ (чтобы убрать дополнительные запреты в системе). После всего этого проверка компа касперским со свежими базами Ну вы и маньяки Не проще загрузить с флешки LiceCD и почистьть комп каспером со свежими базами или свежим CureIT без всяких танцев с бубном?
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 06 января 2009 12:25 · Поправил: tihiy_grom · Личное сообщение · #8 Ara Иногда попадаются компы, которые не только с флэшки не грузятся, но даже и CD-ромов в них нет не все их могут себе позволить
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 06 января 2009 13:36 · Личное сообщение · #9 tihiy_grom пишет: Иногда попадаются компы, которые не только с флэшки не грузятся, но даже и CD-ромов в них нет не все их могут себе позволить Флопарь с досом и вперед ;)
Ara Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник	Создано: 06 января 2009 13:55 · Личное сообщение · #10 tihiy_grom пишет: Иногда попадаются компы, которые не только с флэшки не грузятся, но даже и CD-ромов в них нет не все их могут себе позволить такой комп проще выкинуть и на свалке такой же взять, без вирей
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 06 января 2009 14:34 · Личное сообщение · #11 pavka пишет: Флопарь с досом и вперед ;) По-моему проще все в винде сделать (особых проблем это не составляет), чем разбирать комп, что-то цеплять к нему ;) Ara пишет: такой комп проще выкинуть и на свалке такой же взять, без вирей это ты объясни директорам организаций, которые удавятся за каждую копейку ;)
Mavlyudov Ранг: 156.2 (ветеран), 2thx Активность: 0.09↘0 Статус: Участник	Создано: 31 января 2009 02:56 · Личное сообщение · #12 Вирус мутировал в Win32.Sector.17 В безопасном режиме даже после restore safe boot и удаления строчек из system.ini, все равно заблокирован реестр и его НИКАК не разблокировать, он разблокруется через обычный режим, но толку -то от этого(((
Ara Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник	Создано: 31 января 2009 09:52 · Личное сообщение · #13 Ara пишет: Не проще загрузить с флешки LiceCD и почистьть комп каспером со свежими базами или свежим CureIT без всяких танцев с бубном?
AlexZ Ранг: 203.3 (наставник) Активность: 0.22↘0 Статус: Участник UPX Killer -d	Создано: 31 января 2009 12:22 · Личное сообщение · #14 dr.web LiveCD (официальный бесплатный, на основе Линукса), возможно, помог бы. и редактор "удаленного" реестра ----- Я медленно снимаю с неё UPX... FF_User

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0

Для печати