CHAIKA

Главная | Регистрация | Вход
Четверг, 28.03.2024, 13:44
Приветствую Вас Гость | RSS
Меню сайта
Категории каталога
Мои статьи [51]
Справка по системе [59]
Запись [11]
Flash-накопители [21]
Закачка [35]
Игры [29]
Защита [76]
Локальная сеть [35]
WEB-master [44]
Восстановление [40]
Portable Soft [18]
Оптимизация [34]
Анонимайзер [4]
Ноутбуки [44]
Нетбуки [8]
Система - установка [21]
Деньги в интернете [19]
WINDOWS 7 [35]
Новые статьи [13]
Цифровое видео [26]
Мини-чат
200





Главная » Статьи » Защита

WIN32 SEKTOR 17 ОН ЖЕ VIRUS.WIN32.SALITY.AA ИЛИ КАК Я ПОБЕДИЛ ЭТУ СВОЛОЧЬ...
WIN32 SEKTOR 17 ОН ЖЕ VIRUS.WIN32.SALITY.AA ИЛИ КАК Я ПОБЕДИЛ ЭТУ СВОЛОЧЬ...


Недавно на выходных, у меня был заказ, на лечение одного компьютера.
Владелец жаловался, на "тугую" работу системы, заблокированный реестр, диспетчер задач, "убитый" антивирус, невозможность зайти на сайты антивирусных компаний, невозможность запустить антивирус (сразу вылетает) невозможность запуска каких либо других антивирусных утилит (вылетают тоже) невозможность загрузиться в безопасный режим.
На лицо работа вируса, но какого?? :) Для начала действовал для определения вируса простым дедовским способом. Записал на болванку утилиту Dr.Web Cureit! и пару минут подождал, что б он просканил немного, что то нарыл. И что вы думаете? да, нарыл SEKTOR 17. Ну думаю, веселая ночь обеспечена :) хотя еще поглядим :) ...

Ну это семейство вирусов я знаю, гадость еще та! :) Поэтому приготовил для борьбы, следуйщие инструменты. 1) Live CD (ссылка на Hiren's BootCD 9.8 в нем есть Live CD при загрузке Hiren'sa, его можно выбрать для запуска, на мой взгляд самый быстрый) 2) Dr.Web Cureit! (Игоря Данилова) 3)AvpTool (от Касперски) 4)Cпец. утилиту от Кcперски "Sality_Off" на той же станице второй архив с ветками реестра для восстановления безопасного режима Sality_RegKeys.zip. 5) Утилиту AVZ 4.32 Олега Зайцева. 6) Утилиту ATF Cleaner. Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную вами папку, например на рабочем столе, после этого записываем ее на Hiren's. Записываем все скачанные со списка программы на болванку в корень Hiren'sa в отдельную папку под любым названием.

Для справки: В образ .ISO Hiren's BootCD 9.8 вставить и записать нашу папку с утилитами для лечения, можно с помощью программы UltraISO

Устанавливать и писать утилиты, на не зараженной машине!!!

Обязательно отключить сеть!!! выдергиваем шнур из сетевой карты!!!

Записали все это на Hiren's? тогда вперед...

Ниже я приведу список действий, действуйте строго по списку.

1) Загружаемся в обычный режим, и отключаем восстановление системы.

2) Загружаемся с нашего Live CD (курим :) )

3) Заходим в любую папку, кликаем сервис> свойства папки > вкладка "вид" ставим галку на "Отображать содержимое системных папок", убираем галку на "Скрывать защищенные системные файлы", ставим галку на "Показывать скрытые файлы и папки".

4) Заходим в каждый раздел локального жесткого диска и ищем папку в корне, с названием System Volume Information заходим в нее и удаляем все ее содержимое. Там же, на разделах, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое. Сначала первое потом второе.

5) Запускаем (с диска) утилиту Dr.Web Cureit! жмем настройки >изменить настройки>типы файлов> ставим сканировать все файлы, файлы в архивах. Вкладка действия> Инфицированные> Лечить, Неизлечимые>удалить. На той же вкладке чуть ниже снимаем галочку запроса подтверждения. Жмем кнопку ОК и ставим галку на полную проверку машины, жмем пуск.

6) Пьем чай, курим :) спим :) Время сканирования системы зависит от мощности процессора и обьема сканируемой информации.

7) После сканирования системы Dr.Web Cureit! смотрим на проделанную им работу, сколько гадости нашел и пролечил :)
Закрываем программу.

8) Распаковываем на рабочий стол утилиту Sality_Off.exe запускаем двойным кликом, ждем, не трогаем и даем программе доработать :) После того как программа доработает до слов "Для продолжения нажмите любую клавишу..." Закрываем программу.


9) Копируем папку с AvpTool с диска, на рабочий стол. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол программу, изменяем настройки. Максимальный эвристический анализ "детальный" жмем ОК, Сканировать все файлы, жмем ОК в разделе "действие" ставим галку "запросить по окончании проверки" жмем ОК. Для сканирования ставим галки, на всех разделах локального жесткого диска, и жмем кнопку "поиск вирусов".

10) После сканирования Касперским, все найденное, фигачим, т. е. удаляем :) ничего не оставляем :)

11) Загружаемся в обычный режим. Болванку Hiren'sa не вытаскиваем, она нам нужна еще для работы, вернее не она, а утилиты записанные нами в ее корень :)

12) Заходим на болванку Hiren's ищем в нашей папке утилиту Sality_Off, кликаем по ней правой клавишей на мышке, и отправляем ярлык на рабочий стол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, кликаем по нему правой клавишей меняем немного его имя, пишем Sality_Off.exe-m кидаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей по папке Автозагрузка, нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.

13) Перезагружаем компьютер, загружаемся в обычном режиме. При загрузке, начинает сразу работать программа Sality_Off и начинает "фиксить" "чистить" систему (возможно еще что то осталось)
дожидаемся окончания работы программы, до слов "Для продолжения нажмите любую клавишу..." После этого закрываем программу.

14) Далее открываем (с болванки) утилиту AVZ 4.3 , после открытия жмем Файл>восстановление системы и ставим галки на пунктах 8, 10, 11, 13, 17 и жмем выполнить скрипт.

15) Далее открываем наш диск, ищем в нашей папке скачаный архивчик Sality_RegKeys.zip на сайте Касперского, ищем в названиях содержимого архива, вашу версию операционной системы, в моем случае это был файл реестра SafeBootWinXP.reg кликаем на него два раза вносим данные в реестр, и кликаем в том же архиве на файл с названием Disable autorun.reg вносим данные в реестр.

16) Перезагружаем Windows, (ярлык Sality_Off в автозапуске пока не трогаем!!) После запуска Windows, начинает работать программа Sality_Off, пускай еще раз пройдется, на верочку...

17) После окончания работы утилиты, убираем ее ярлык с папки Автозагрузки.

18) Запускаем утилиту ATF-Cleaner ставим галочки на всех вкладках и жмем "Empty Selected" (очистить) ничего не жалеем!!.

Все 98% работы сделано, все разблокировано, все вылечено, но еще не все...

Дело в том что после всего лечения:

1) Очень многие ".EXE" файлы повреждены, даже после лечения, не факт что система будет корректно работать. Со временем могут появится глюки в работе.

2) От вируса в системе остался висеть RootKit (у меня по крайней мере) и ничего с этим я поделать не смог, он собака в Ring 0 запускается и висит. Что б проверить нет ли у Вас такого "добра" запустите утилиту AVZ вкладка > сервис>модули пространства ядра. И висел у меня там такой процессик, с названием ________.SYS или просто .SYS без названия и цифровых подписей Microsoft. Попытался снять с него дамп, система вылетает с синим экраном. AVZ его не берет ( у меня по крайней мере не получилось ) Касперский тоже, Dr.Web c таким же успехом. Я ничего не нашел лучше как пункт -4)

4) Просто обновляем (или полностью переустанавливаем по возможности) Windows, с загрузочного диска. Подойдет в принципе любой загрузочный установочный дистрибутив Windows (соответственно та версия которая поставлена у Вас, если XP SP- 2 то обновляем с диска с XP SP- 2 . Выставляем в Bios>First boot Devise CD-Rom жмем F10, Yes. И начинается загрузка Windows. Далее выбираете тот диск куда нужно восстановить винду, (выбираете тот диск куда был установлен Windows ранее) жмем "ENTER" далее видим страничку выбора форматирования с выбором файловой системы. Выбираем установку без форматирования!!!!! (оставить файловую систему без форматирования (изменений) ) жмете "ENTER" на этой строчке, и все установка пошла, далее установку проводите как всегда. Минус в том, что слетят установленные программы. Но это лучше чем информация не так ли? :)

Если есть возможность переустановить Windows то переустановите. Мне пришлось восстанавливать (а не просто переустановить ОС) потому как было ооочень много информации на системном диске C:\ и сбрасывать ее было некуда.

После обновления Windows загружаемся из под Live CD и удаляем старую папку с Windows ( только не перепутайте Кутузовы! старую папку Windows с новой!!! У меня новая папка Windows была под названием Windows.0 ну а старая соответственно как обычно)

После этого всего мы имеем чистую систему :) без заразы :) Если пропустить эти все действия и просто переустановить систему, это ничего не даст :) он снова появится :) Поэтому соблюдайте то что я изложил выше и все будет ОК
Если у Вас есть более действенный способ, милости прошу изложить его в моем блоге, или киньте ссылку :)


© Нестеров Игорь Владимирович 2009 год


Источник: http://antivirusfagot.blogspot.com/2009/04/sektor-17.html
Категория: Защита | Добавил: Chaika (04.02.2010)
Просмотров: 872 | Рейтинг: 0.0/0 |
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа
Поиск
Друзья сайта
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Деревенька
  • Районная сеть Чайка.Net










  • Помогло? Скажи спасибо!

    Статистика

    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    Copyright MyCorp © 2024 |