В общем так. уже месяц, как на компе бушует вирус win32/sality.NAM Сначала не работал не безопасный режим, не диспечер задач. но с этим я справился, некоторые сайты недоступны из-за вируса, что затрудняет серфинг. Стоял нод32 с последними апдейтами. ничего не смог сделать, после перезагрузки, нод исчез) и антивири более не ставятся. Мб кто подскажет как устранить данный вирус?
Алиасы Email-Worm.Win32.Warezov.et (Sunbelt) I-Worm.Warezov.et (CAT-QuickHeal) I-Worm/Stration.BOC (AVG) W32.HLLP.Sality (Symantec) W32/Sality-AD (Sophos) W32/Sality.AF (F-Prot) W32/Sality.dll (McAfee) W32/Sality.Y (Panda) W32/Saltiy.S (AntiVir) W32/Stration.EFZ (Norman) W32/Stration.ET@mm (Fortinet) W32/Warezov.et (TheHacker) Win-Trojan/Sality.40960 (AhnLab-V3) Win32:KillAV-CP (Avast) Win32.Sality.m (Rising) Win32.Sector.28682 (DrWeb) Win32.Warezov.ET@mm (BitDefender) Win32/Sality.NAM (NOD32v2) Win32/Sality.S (eTrust-Vet) Worm:Win32/Sality.T.dll (Microsoft) Worm.Stration.XR-1 (ClamAV) Worm.Warezov.et (Ewido) Дополнительные алиасы драйвера Generic3.KXG (AVG) TR/Drop.Warezov.A.1 (AntiVir) Trojan.Ipsof (DrWeb) Trojan/Sality.s (TheHacker) VirTool:Win32/Rootkit.C (Microsoft) W32/Rootkit.D!tr (Fortinet) W32/Sality.W (Norman) W32/Sality.X.drp (Panda) Win-Trojan/Sality.5477 (AhnLab-V3) Win32.Warezov.96 (BitDefender) Worm.Sality.s (CAT-QuickHeal) Описание Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте. Встречен в темах http://virusinfo.info/showthread.php?t=17573 http://virusinfo.info/showthread.php?t=18343 http://virusinfo.info/showthread.php?t=18854 http://virusinfo.info/showthread.php?t=19369 http://virusinfo.info/showthread.php?t=19545 Файлы на диске Заражает выполняемые файлы. Кроме этого создает свои: c:\windows\system32\wmdrtc32.dll 40960 байт C:\WINDOWS\system32\drivers\_случайное_имя_.sys 5477 байт Способ запуска 1. Через зараженный файл. 2. Драйвер: NdisFileServices32 Описание: NdisFileServices32 C:\WINDOWS\system32\drivers\_случайное_имя_.sys Внешние проявления (со слов пользователей) Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован. Сопсна вируслист: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=140652
вот вот))) а как излечить не слова нету. ибо после удаления wmdrtc32.dll и ***.sys они восстанавливаются
тебя спасёт format c:\ и format d:\ это самые ЛУЧШИЕ способы избавлятся от них а чтоб не попатся на антивирусы - не имей врагов , если захотят - тебе и не поможет вирусостол
дада. файл был инфицирован так, что вирус тотал даже не пискнул. а вот после началось) формат не катит. ибо слишком много нужной инфы.
Сам хватанул что то подобное. Называлось Sality.CE или похоже. Симптомы: 1. вирус дописывает свой код (заражает) в каждый ЕХЕшник, в результате чего многие перестают запускаться. 2.в папке C:\Documents and Settings\_Текущий пользователь_\Local Settings\Temp появляются масса файлов вида WDFTY.007 3. Создаётся новая учётная запись ASP.NET 4. Начинается активная передача данных через Интернет. 5. Есть и другие.... Лечение: В моём случае всё просто, у меня два физических винта, первый (системный) 80ГБ, и второй дополнительный 500 ГБ. Все жизненно важные данные я перенёс на второй, первый форматнул, поставил новую винду, и Каспера (KAV7). На триальной лицензии выкачал базы, и вуаля вирус успешно вылечен всего за одну ночь. Количество заражённых файлов ~5000.Самый дешёвый вариант, это попросить у друга жёсткий диск, с установленным KAV и лечить. Внимание, КАV7 со стандартными вирусными базами не лечит файлы, а удаляет. Необходимо выкачать свежие базы - доступно однократно в триал версии (~40МБ)
Sality.yy (Sector.12) вылечил знакомому таким способом: Загрузился с Live CD с виндой Прошел винт свежим Cureit После прошел винт AVZ Потом прошел двумя утилитами anti-sality ( в архив кинул readme, там ничего сложного) http://slil.ru/26272566 Да, в утилите AVZ в меню файл есть пункт восстановление системы - выставить чекбоксы на диспетчер задач, safe mode (в архиве выше есть ключи реестра для этого)