Author Topic: Win32 Sality.NAM  (Read 15335 times)

0 Members and 1 Guest are viewing this topic.

AlexanderPod

  • Guest
Win32 Sality.NAM
« on: September 10, 2011, 03:54:36 PM »
Обнаружил очень надоедливый вирус Win32 Sality.NAM который залазит во все .exe файлы ,и делает самопроизвольно. Кто нибудь знает как от него избавиться?

GeneZis

  • Guest
Re: Win32 Sality.NAM
« Reply #1 on: September 10, 2011, 04:53:43 PM »
Если он детектируется Авастом, то загрузочное сканирование должно помочь.
Логично, не?  ;D

AlexanderPod

  • Guest
Re: Win32 Sality.NAM
« Reply #2 on: September 10, 2011, 07:43:41 PM »
Если он детектируется Авастом, то загрузочное сканирование должно помочь.
Логично, не?  ;D
Нашел его не аваст а нод. Этот вирус вырубил мне аваст и не разрешал ему включиться. Удалил аваст - установил нод, нод нашел этот вирус. Загугли про этот вирус , может поймешь о чем я.

Severnyj

  • Guest
Re: Win32 Sality.NAM
« Reply #3 on: September 10, 2011, 10:20:25 PM »
Против файловых вирусов наиболее эффективным будет лечение с помощью LiveCD, например от DrWeb:

ftp.drweb.com/pub/drweb/livecd/

Скачайте образ на чистом компьютере, запишите на CD. На зараженном компьютере выставьте в BIOS загрузку с CD-ROM загрузитесь с ранее подготовленного диска и пролечите систему. Все найденные объекты необходимо Лечить
« Last Edit: September 10, 2011, 10:23:18 PM by Severnyj »

OSA22

  • Guest
Re: Win32 Sality.NAM
« Reply #4 on: September 18, 2011, 11:54:10 AM »
Обнаружил очень надоедливый вирус Win32 Sality.NAM который залазит во все .exe файлы ,и делает самопроизвольно. Кто нибудь знает как от него избавиться?

Вот утилита от Kaspersky, AVG.
« Last Edit: September 18, 2011, 11:57:25 AM by OSA22 »

bagrat

  • Guest
Re: Win32 Sality.NAM
« Reply #5 on: September 18, 2011, 12:49:53 PM »
вот обзор по салити  обзор от Рампант

Sality
« Last Edit: September 18, 2011, 01:03:00 PM by bagrat »

Offline barsukRed

  • Jr. Member
  • **
  • Posts: 34
Re: Win32 Sality.NAM
« Reply #6 on: September 18, 2011, 01:28:05 PM »
Обнаружил очень надоедливый вирус Win32 Sality.NAM который залазит во все .exe файлы ,и делает самопроизвольно. Кто нибудь знает как от него избавиться?
Этот экземпляр файлового вируса не лечится корректно! Т.есть кусок вредоносного кода антивирус(например каспер) и удалит из общего текста кода, но тогда есть огромная вероятность неправильной работы вылеченного файла. Единственный способ избавиться от вируса-форматирование системы. Именно не ПЕРЕУСТАНОВКА а переустановка с форматированием! Запущенный процесс этого вируса постоянно производит поиск файлов *.exe, *.com  на всех разделах жесткого диска и вносит в их код свой код-загрузчик( а в некоторых экз. вируса и свое тело). Аваст детектирует этот вирус еще с версии 4.*и ловит эффективно только на излете. Если антивирус(любой!) в момент запуска заведомо зараженного файла был в нерабочем состоянии(выключен) то теперь ему будет трудно бороться с процессом вируса равным по приоритету. Если аваст не запускается то его сервисы уже пострадали. Надо пробовать, как посоветовали выше, сканировать другим АВПвсе диски с лайфсиди и если после этого система запустится-не входя в другие разделы жесткого диска заново установить аваст и запланировать сканирование во время загрузки. Это поможет избавиться от зараженных файлов хранящихся на других разделах. А лучше формат. Файловый вирус-не шутки.

ps Нет никакой вероятности в том, что вирусмейкер правильно и корректно напишет процедуру внедрения в чужой код, отсюда следует что и не будет гарантии корректного удаления вредоносного кода. Т.есть нет никакой гарантии работоспособности вылеченных файлов в дальнейшем.К тому-же в разных версиях этого вируса могут быть и разные процедуры внедрения. Вопрос этот огромный и если в двух словах-форматируйте все диски чтобы в дальнейшем не вернуться заново к ловле Win32 Sality.*   ИМХО.
« Last Edit: September 18, 2011, 05:08:01 PM by barsukRed »

bagrat

  • Guest
Re: Win32 Sality.NAM
« Reply #7 on: September 18, 2011, 05:52:00 PM »
barsukRed
форматирование всей портиций -это краховое дело, можно вначале полечить(удалить) файлы программами:
UnHackMe,stinger,DRWEB cureit, avz только если не поможет форматировать разделы!

OSA22

  • Guest
Re: Win32 Sality.NAM
« Reply #8 on: September 18, 2011, 07:12:37 PM »
barsukRed, то что Вы предлагаете - это чистой воды паникёрство.
Если Вы хотите соблюсти "протокол" то следует поступить следующим образом:
- сделать образ зараженного диска (Acronis или любая аналогичная программа);
- провести процедуру лечения Kaspersky, Dr.Web (или с помощью утилит или подключив HDD к др. ПК).
и всё.

При лечении, ни один антивирус не даст 100% гарантии восстановления исходного состояния файла, но его работоспособность возможна, что нам и нужно для восстановления критически важных данных (или ОС).

P.S.: И не надо бояться вирусов как проказы. Это такие же  программы, как и все остальные, только с деструктивными функциями.  ;)
Переустановка ОС в случае заражения можно сравнить с полной разборкой авто, если у последнего царапина на корпусе.
И последнее: avast! плохой "лекарь", но как защитник довольно неплох.

Offline barsukRed

  • Jr. Member
  • **
  • Posts: 34
Re: Win32 Sality.NAM
« Reply #9 on: September 19, 2011, 07:41:54 AM »
Господа! Вы шутите? Какой образ диска, диска на котором ФАЙЛОВЫЙ вирус!!!!! Это не троян! Это программа, записывающая СВОЙ код в исполняемый код исполняемого файла. Такие файлы должны удаляться антивирусом, слово лечить в некоторых антивирусных программах не что иное как рекламный ход. Убедиться в этом можно написав код самому, скомпить в ехе,и заразить Sality.* Далее вылечить курейтом или касперским, запустить заново. Программа полностью корректно работать НЕ будет. Попробуйте. 

Offline sergofun

  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 1607
  • Hello, world>_
Re: Win32 Sality.NAM
« Reply #10 on: September 19, 2011, 10:30:38 AM »
форматирование всей портиций -это краховое дело, можно вначале полечить(удалить) файлы программами:
UnHackMe,stinger,DRWEB cureit, avz только если не поможет форматировать разделы!
Собственно, barsukRed и написал что ничего из перечисленного не помогает, только форматирование.

Переустановка ОС в случае заражения можно сравнить с полной разборкой авто, если у последнего царапина на корпусе
barsukRed говорит, что у твоего авто украли колеса, а милиция вернула эти колеса квадратными. Наверное, лучше поставить на авто новые круглые колеса, чем продолжать кататься на квадратных ;)

Offline barsukRed

  • Jr. Member
  • **
  • Posts: 34
Re: Win32 Sality.NAM
« Reply #11 on: September 19, 2011, 11:27:38 AM »
sergofun правильно меня понял (привет,sergofun!) и этот вопрос достаточно долго обсуждали несколько лет назад еще на старом форуме.
Еще хочу сказать: можно спросить у ЛЮБОГО програмера чем заканчивается влезание в чужой код да еще и "в слепую". В своих статьях Крис Касперски очень много об этом пишет если кому интересен вопрос.

OSA22

  • Guest
Re: Win32 Sality.NAM
« Reply #12 on: September 19, 2011, 07:30:02 PM »
Господа! Вы шутите? ... Это программа, записывающая СВОЙ код в исполняемый код исполняемого файла. ... Убедиться в этом можно написав код самому, скомпить в ехе,и заразить Sality.* Далее вылечить курейтом или касперским, запустить заново. Программа полностью корректно работать НЕ будет. Попробуйте. 

Пробовал, работает, причем корректно.

Процесс “лечения” описан давно: удаление тела вируса из файла, выравнивание длины файла.

http://safezone.cc/forum/showthread.php?t=54
 

OSA22

  • Guest
Re: Win32 Sality.NAM
« Reply #13 on: September 19, 2011, 07:32:34 PM »
Образ диска делается для того, чтобы опробовать несколько методов "лечения" и выбрать наиболее подходящий.

А "квадратные колеса" можно и напильником доработать.  ;D

barsukRed - Вы теоретик или практик? Только без обид.
« Last Edit: September 19, 2011, 07:36:01 PM by OSA22 »

Offline sergofun

  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 1607
  • Hello, world>_
Re: Win32 Sality.NAM
« Reply #14 on: September 20, 2011, 11:03:49 AM »
Процесс �лечения� описан давно: удаление тела вируса из файла, выравнивание длины файла.

http://safezone.cc/forum/showthread.php?t=54
А там по ссылке:
Quote
antispy писал:
На сегодняшний день нет абсолютных методик лечения файловых вирусов
Бггг =) Как это здорово подтверждает твои слова ;)

А "квадратные колеса" можно и напильником доработать.  ;D
И кататься на квадратных колесах, доработанных напильником х)

barsukRed - Вы теоретик или практик? Только без обид.
Практик он, практик. Практиковал еще тогда, когда некоторые пешком под стол ходили и когда вируснет.инфо (а ныне safezone.cc) еще только задумывался в проекте. Только без обид ;)
« Last Edit: September 20, 2011, 11:10:17 AM by sergofun »