авторизация

внимание

Чтобы писать в форум, нужно войти в него под своим именем и паролем. Введите их выше в блоке «авторизация».

Ленту последних сообщений (Последние темы) видят только зарегистрированные пользователи.

Получить имя и пароль можно зарегистрировавшись.

пользователи онлайн

У нас 8 гостей и 0 пользователей

Последние сообщения для Opera 9 и выше
RSS-лентв
Вниз

win32.sector.xx

Elf, 17 Авг, 2009 г. - 15:19
Офигевший вирус. 3 дня его выводил.
Симптомы:
- Касперский или Нод32 сообщает о вирусе и тут же умирает))
-Диспетчер задач не запускается (сообщение "запрещено администратором"
- regedit не работает (файлы регистра тоже не прокатывают)
- safe mode не работает (тупо уходит в перезагруз)
- тупняки, появление в корне диска файлов autorun.ini и файла с расширением .bif
-весь софт кроме антивирусного работает нормально. (у меня было так, хотя многие пишут обратное)
-Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются
Чего делает еще: Заражает все exe и src файлы, прописывает себя в system.ini и регистр. Обожает систему восстановления винды и папку C:\system volume information (по умолчанию ее не видно)
Нельзя у ЕХЕ файлов смотреть версию.

Встретились модификации его:
win32.sector.5
win32.sector.7
win32.sector.17
win32.sality.z

Пришел ко мне на ПК на флешке и убил обновленного Касперского ))
Лечится только Dr.Web CureIt и еще говорят Norton Antivirus.
Всё что нужно для лечения качаем с чистого компа и записываем на CD либо на флешку с защитой от записи, иначе CureIt заразится и умрет
Вырубаем комп от сетки, физически, выдергивая шнур.
Перво наперво надо качать какуюнить прогу для редактирования регистра.
Я юзал rrtri.exe.
При помощи нее лезем в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr меняем "1" на "0"
регистр разрешить можно так: меняем единицу на ноль в ветке

“DisableRegistryTools”=dword:00000001

У меня в этом месте была такая фига, пока меняешь "1" на "0" во второй записи регистра, в первую вирус опять прописывает "1", лезешь туда менять, в во второй тоже становится 1. и так до бесконечности ) На самом деле чтобы лечить вирус перво наперво нужно восстановить safe mode, поэтому я быстро менял вторую запись в регистре и запускал файл регистра http://notes.rudomilov.ru/wp-content/uploads/2008/07/restore_safe_boot.zip. После внесения изменений в регистр быстро вырубал комп и грузил его в safe mode.
Удалял все содерживое папок temp и system volume information.
Потом значит полная проверка CureIt
Потом перезагрузка и правка регистра (диспетчер задач еще может быть отключен)
Снова полная проверка кьюритом.
Omar, 17 Авг, 2009 г. - 15:25
Я тупо форматнул все)))
Elf, 17 Авг, 2009 г. - 15:48
Omar:
форматить нельзя было, да и народ на форумах пишет что некоторые модификации вируса восстанавливают себя после форматирования (хотя я с таким не сталкивалсо)
nix, 18 Авг, 2009 г. - 12:09
Elf:
Был у меня на работе на двух машинах win32.sector.17 и 5. Писец а не вирус.. Ты забыл еще сказать что он множет себя в доли секунды меняя при этом свое имя и расширение... Лечил я тоже Dr.Web CureIt с диска... Вообщем вирус мне понравился =) зачетный ))
Elf, 19 Авг, 2009 г. - 09:26
nix:
ага зачетный ) в тырнете есть таки посты типа: "Бля народ я этот вирус пропустил, говорят он классный!! Есть у каво этот вирус? скиньте пажалеста!"
nix, 20 Авг, 2009 г. - 11:37
Elf:
ага =)
Наверх