Тема: Win32.Sektor.12 - у мине уже есть... :(

[Leksi]

Ща моск вскипит... принесли машинку... Диспетчер задач заблочен, реестр заблокирован, любые изменения "запрещены админом компьютера" и т.д., и т.п.....  Веберовский Кюреит отдетектил, как вышеупомянутый вирус.... 458 файлов заражено... из них половина - виндовозные и из Программ филе.... Я уже ее и боком, и раком пытаюсь лечить - нифига... Весь винт переформатить не могу - на диске Д около 50 Гиг инфы... А генерится он оттуда... Ибо С уже сносил и форматил... А если слить с Д инфу - с ней и вирусок потяну... Уже и под досом парился, и с ЛивСД бутился - все до фениморакупера.... пасатрел в инете - да не я один такой!!!! млин если до завтра не сделаю - будут меня и боком и раком....  :'( никто не лечил подобный гиморр? стопудова приезжает на компы с флэшкой.... разные антивири (по инфе с форумов) или не детектят его, или не могут задавить....  эс-це-у-коооооо.... всеравно парву!!!!!

[kvsh]

есть такая программка называется process explorer  поставь ее и посмотри откуда ноги ростут

[M.A.N]

Можно сделать аварийный диск с помощью Касперского и поробовать полечить без загрузки основной системы. Лично я всегда стараюсь делать именно так.

[Valera]

Google в помошь.

http://forum.ixbt.com/topic.cgi?id=7:33417:46

один из оч. умных советов: Если у юзера нет админских прав, то в папку Windows вирус не попадает, соответственно, лечится гораздо проще.

[Leksi]

kvsh:

сомневаюсь... но попробую...

M.A.N:

пробовал... я же писал - бутился с ЛивСД - не катит... лечится таким макаром куча зараженных файлов, а при загрузке им опять кирдык..

Valera:

иду читать... сенкс... админские права обрезать юзеку не могу - суббординация... иначе мне чета обрежут..

[Valera]

админские права обрезать юзеку не могу - суббординация... иначе мне чета обрежут..

оч. плохо. юзеров надо дрючить во все отверстия, особенно если это слабовменяемый ген. директор. На работе комп нужен для работы, а не для разведения вирусов и другой чепухи.

[οlden]

Leksi
Это другое имя W32.Sality
я с ним бодался и поборол
дай в личку номер городского телефона, пообщаемся

[οlden]

а вообще что-то не то ты делаешь
формат С и установка чистой винды помогает 100%
но сначала ОТКЛЮЧИ КОМП ОТ СЕТИ

главное не подключать сетку и ничего не делать на других дисках (D, E, ...)
после установки системы запускаешь CureIt и лечишь все на других дисках
И НЕ СУЙ НИКАКИЕ ФЛЕШКИ В USB, ПОКА НЕ УСТАНОВИШЬ AVIRA Antivir

если есть важная инфа на диске С, то перед сносом перебрось ее на другой диск перед форматированием, загрузившись с LiveCD

[οlden]

эта гнида путешествует по флешкам
но на чистой системе AVIRA не даст ему пролезть
во-вторых: вирус тянет кучу всего из сети, вытаскивает из конфига ТоталКомандера пароли и пути к FTP, заходит на FTP-сервера и вставляет во все стартовые HTML и PHP-файлы паразитный ИФРЭЙМ. Все сетевые расшарки, открытые на запись, сканирует и заражает на них EXE-файлы (поэтому добрый совет - хранить всякие инсталляции не в EXE а запакованными в ZIP)

[Leksi]

Valera:

Та надо... их ваще нужно просто так дрючить регулярно.. шоб думали, че делают...

οlden:

Уже вчера нашел, что ето Салити... переустановка винды и формат - пофик... уже и раздел удалял, и полный формат - не помогло... он явно генерится с диска Д... КюреИт от Вебера тоже не смог..., LiveCD - туда-же...  кароче, вчера доработался, шо уже охрана начала выгонять... Забрал комп домой (ибо на седня нужно облизательно сделать)... патриот, ёпрст.. испражнялся с ним еще и дома...

Я ЕГО ПОРВАЛ!!!!!

все решилось утилитой от Каспера (хотя Каспер_ЛивСД не помог)... Запускается прямо из-под зараженной Винды, за 5 минут чекает весь комп, лечит файлы, убивает вирус и восстанавливает битые ветки реестра. После этого доступен диспетчер задач, реестр, безопасный режим и прочие прелести без перезагрузки!  после этого ставим быренько антивирь (до этого вирус блочил установку), добиваем еще двумя утилитками и ВСЕ!!!! Я спасен!!!! 

Если кто подцепит таку заразу (Win32.Sektor.12, он-же W32.Sality) - топайте ПО ЭТОЙ ССЫЛКЕ и сделайте все, как там написано. И будет вам счастье!!!

Спасибо всем, кто принял участие в "охоте на зверя"! 
Всем удачи! Да обойдут Вас вирусы и пребудет с Вами гарантия!!!!

[οlden]

Leksi
Поздравляю шо поборол.
Но, звыняй, насчет "после полного форматирования С: подхватывается с диска C:" ИМХО это гонево. Откуда берется загрузчик вируса после такого?  Надеюсь FORMAT C: делался не "быстрый"?

[Valera]

οlden а какая фиг разница - быстрый или нет.

[οlden]

Valera
разницу-то я знаю и в теории "быстрый" не хуже
но был недавно прикол у сотрудника
сам не верил пока не увидел
при переустановке ХР поверх старой (с удалением старой) был выбран quickformat
при этом установщик почему-то оставил некоторые старые папки и файлы, х.з. почему

С полным форматом оно как-то поспокойнее, надежнее

[Valera]

οlden

при переустановке ХР поверх старой (с удалением старой) был выбран quickformat
при этом установщик почему-то оставил некоторые старые папки и файлы, х.з. почему

мы говорим про установщик или про format c: ?
в любом случае - обнуление таблиц файловой системы физически не может оставить чего-то старого

С полным форматом оно как-то поспокойнее, надежнее

ждать по пол-часа пока весь раздел заполнится нулями - редкая форма мазохизма

[οlden]

Valera
а ты думаешь ща кто-то ищет загрузочный реаниматорный диск с FORMAT.COM ?
Ага! Ща!  Просто вставляют CD дистрибутивный, выбирают "установить новую винду со сносом старой" и затем пункт "быстрый формат". И шо там наумничал MS или автор очередной "мегасборки" - тайна сие великая есть

[kvsh]

Valera
а ты думаешь ща кто-то ищет загрузочный реаниматорный диск с FORMAT.COM ?
Ага! Ща!  Просто вставляют CD дистрибутивный, выбирают "установить новую винду со сносом старой" и затем пункт "быстрый формат". И шо там наумничал MS или автор очередной "мегасборки" - тайна сие великая есть

что за бред причем тут автор сборки? доходишь до вібора диска установки вібераешь удалить раздел С, создать раздел, бістрой форматирование в НТФС и поехали дальше

[Leksi]

Так, дядьки! Не ругайтесь!

οlden:

Но, звыняй, насчет "после полного форматирования С: подхватывается с диска C:" ИМХО это гонево. Откуда берется загрузчик вируса после такого?  Надеюсь FORMAT C: делался не "быстрый"?

А кто говорил, что он генерится с С? Само собой - полное форматирование. А я писал, шо генерится он с Д!! Ну может де-то очепятка влезла....

Вот Кирилл все и написал! Я тоже обычно юзаю "партишен менеджер" от MS. Удалил раздел, создал, квик формат и поехали..

Valera:

пол-часа, говоришь? я на днях ставил винт клиенту на комп с установкой винды. Винт - тарик. Пожелание клиента - 100 Гиг - под систему, остальное - одним разделом под данные... И скока бы я ждал?

Поэтому: быстрое форматирование - самое оно. Я еще могу такое исполнить: второй раздел (типа Д) в инсталяторе винды создать, а потом из-под винды быстро форматнуть. работает...

[οlden]

Leksi
просто попробуй описать каким именно образом он генерится с D:
если сам ручками запустил какую-то зараженную программу с D: - эт да
или автоматом Винда загрузила?  Пример хоть одного процесса в свежеустановленной голой Винде, который что-то там запускает не с диска на котором винда установлена?

Valera
Что же касается долгого форматирования... а нефиг хард 500 гиг одним логическим диском С делать и держать на нем и систему и данные.  Выделил под систему С: вменяемого размера, а остальное под другие тома (хотя бы один) отдай.
Хотя конечно в Линухе у тебя другая структура, но и там, AFAIK, можно разделы (тот же /home) размещать на отдельных физустройствах, не так ли?

[Leksi]

οlden:

Да понимаешь, "больной" уже уехал... Как происходило: ставим винду. все ОК. уходит в последний ребут, грузиццо, появляется рабочий стол (лог. диск С после полного форматирования!), прогружается винда (понятно что еще ни о каком антивире речи нет - не успел) и.... на 3-5 сек. появляются "часики"... все - реестр и диспетчер задач недоступен! Кстати, забыл написать. попробовал подключить больной диск слэйвом к здоровому компу для полечить... Тому трындец пришел сразу тоже.. симптомы аналогичны... лицензионный каспер скромно промолчал... как это объяснить.... не знаю... с какого перепугу шло сразу поражение винды? С Д ничего не запускал - не успевал типа ненавязчивый сервис... Главное - поборол... Но почему винда свеженькая заражалась - так и не понял...

И не держим мы харды одним диском! Ну разве для хранения файлов... А на бутовом харде всегда кусочек под винду откусываю... чтоб если что - тока этот логический и потрошу потом

[οlden]

Leksi
я вот не могу утверждать уверенно, но вероятно у тебя на диске D: и прочих был autorun с вирусами.  Это бы объяснило заражение свежеустановленной винды и master-винды на другом компе.
Кстати этот вирус малость хромой (может не все модификации).  Если на флешке создать READONLY файл autorun.inf нулевой длинны, то флешка не заразится.  Вот такой вот недодел при всей крутизне.

[Mimohod]

Leksi
я вот не могу утверждать уверенно, но вероятно у тебя на диске D: и прочих был autorun с вирусами.  Это бы объяснило заражение свежеустановленной винды и master-винды на другом компе.

Точно!!! А я все читаю и удивляюсь, как это свежеустановленная винда заражается!!!
Фух, аж полегшало... Грешным делом подумал, что капец скоро прийдет, ведь чего может натвоить вирус, который даже форматом не прибивается

[οlden]

Mimohod
иначе пришлось бы поверить в существование stealth-вируса  в загрузочной области
но я о таких не слыхал со времен DOS

[Leksi]

οlden:

Не спорю - сам так уже подумал о авторане... Может этот вирусняк (сектор12) иметь авторан? ИМХО - да, ибо как бы он тогда все заражал? Ибо кроме него ниче на компе не нашлось... Ну да ладно... все решилось.... тперь вот дома надо "провериться"... вчерась включаю комп (он отдан на растерзание ребенку - она там гейм-царство устроила ) - чета он как-то долго винтом шелестит при загрузке... прям неприлично долго для двухъядерника.... Смотрю в процессы - Run.exe грузит проц на 65%!!!! Радует, что дает себя прибить, не перезапускается по новой и комп сразу оживает.... сегодня бум разбираццо.....

[Mimohod]

οlden Прошли те времена, когда размер вируса мерялся в байтах (по моему рекорд миниатюризации был 76 байт) Скоро вирус в пару мегабайт будет нормой Так и будет написано в описании "имеет небольшой размер - 12 мегабайт"

[οlden]

Leksi
Ну это не у вируса авторан, а вирус использует авторан винды. Я все думал: "какого черта он бросает autorun.inf на логические диски несъемного харда?". Ан вон оно зачем.  В таком случае начинать с ним бороться можно, загрузившись с реанимационного диска (только не Windows LiveCD), например Hiren's BootCD и из-под обычного VolkovCommander-а поудалять на всех логических дисках скрытые файлы autorun.inf и программы на котороые этот авторан ссылается. Тут же можно при желании форматнуть диск С или выйти и загрузиться уже под Windows LiveCD и запустить любую подходящую лечилку (из-под Hirens BootCD лечилка от Касперского вероятно не запустится, хотя она и консольная).

Mimohod
ну в принципе данная гадость тоже небольшая.  В нее втиснут минимальный механизм заражения/размножения/выживания, но в процессе "освоения компа" он массово подтягивает из Инета кучу других вирусняков и троянов и вот тут уже начинается настоящее веселье.

Кстати, рекомендую поменять все важные пароли, хранившиеся на зараженной машине.