Avast WEBforum
Non-English Zone => Русский => Topic started by: AlexanderPod on September 10, 2011, 03:54:36 PM
-
Обнаружил очень надоедливый вирус Win32 Sality.NAM который залазит во все .exe файлы ,и делает самопроизвольно. Кто нибудь знает как от него избавиться?
-
Если он детектируется Авастом, то загрузочное сканирование должно помочь.
Логично, не? ;D
-
Если он детектируется Авастом, то загрузочное сканирование должно помочь.
Логично, не? ;D
Нашел его не аваст а нод. Этот вирус вырубил мне аваст и не разрешал ему включиться. Удалил аваст - установил нод, нод нашел этот вирус. Загугли про этот вирус , может поймешь о чем я.
-
Против файловых вирусов наиболее эффективным будет лечение с помощью LiveCD, например от DrWeb:
ftp.drweb.com/pub/drweb/livecd/
Скачайте образ на чистом компьютере, запишите на CD. На зараженном компьютере выставьте в BIOS загрузку с CD-ROM загрузитесь с ранее подготовленного диска и пролечите систему. Все найденные объекты необходимо Лечить
-
Обнаружил очень надоедливый вирус Win32 Sality.NAM который залазит во все .exe файлы ,и делает самопроизвольно. Кто нибудь знает как от него избавиться?
Вот утилита от Kaspersky (http://support.kaspersky.ru/downloads/utils/salitykiller.zip), AVG (http://download.avgfree.com/filedir/util/avg_rem_sup.dir/rmsality/rmslt.exe).
-
вот обзор по салити обзор от Рампант (http://www.youtube.com/user/OldRampant#p/u/0/Ig5tQmj-1Ng)
Sality (http://support.kaspersky.ru/faq/?qid=208636131)
-
Обнаружил очень надоедливый вирус Win32 Sality.NAM который залазит во все .exe файлы ,и делает самопроизвольно. Кто нибудь знает как от него избавиться?
Этот экземпляр файлового вируса не лечится корректно! Т.есть кусок вредоносного кода антивирус(например каспер) и удалит из общего текста кода, но тогда есть огромная вероятность неправильной работы вылеченного файла. Единственный способ избавиться от вируса-форматирование системы. Именно не ПЕРЕУСТАНОВКА а переустановка с форматированием! Запущенный процесс этого вируса постоянно производит поиск файлов *.exe, *.com на всех разделах жесткого диска и вносит в их код свой код-загрузчик( а в некоторых экз. вируса и свое тело). Аваст детектирует этот вирус еще с версии 4.*и ловит эффективно только на излете. Если антивирус(любой!) в момент запуска заведомо зараженного файла был в нерабочем состоянии(выключен) то теперь ему будет трудно бороться с процессом вируса равным по приоритету. Если аваст не запускается то его сервисы уже пострадали. Надо пробовать, как посоветовали выше, сканировать другим АВПвсе диски с лайфсиди и если после этого система запустится-не входя в другие разделы жесткого диска заново установить аваст и запланировать сканирование во время загрузки. Это поможет избавиться от зараженных файлов хранящихся на других разделах. А лучше формат. Файловый вирус-не шутки.
ps Нет никакой вероятности в том, что вирусмейкер правильно и корректно напишет процедуру внедрения в чужой код, отсюда следует что и не будет гарантии корректного удаления вредоносного кода. Т.есть нет никакой гарантии работоспособности вылеченных файлов в дальнейшем.К тому-же в разных версиях этого вируса могут быть и разные процедуры внедрения. Вопрос этот огромный и если в двух словах-форматируйте все диски чтобы в дальнейшем не вернуться заново к ловле Win32 Sality.* ИМХО.
-
barsukRed
форматирование всей портиций -это краховое дело, можно вначале полечить(удалить) файлы программами:
UnHackMe,stinger,DRWEB cureit, avz только если не поможет форматировать разделы!
-
barsukRed, то что Вы предлагаете - это чистой воды паникёрство.
Если Вы хотите соблюсти "протокол" то следует поступить следующим образом:
- сделать образ зараженного диска (Acronis или любая аналогичная программа);
- провести процедуру лечения Kaspersky, Dr.Web (или с помощью утилит или подключив HDD к др. ПК).
и всё.
При лечении, ни один антивирус не даст 100% гарантии восстановления исходного состояния файла, но его работоспособность возможна, что нам и нужно для восстановления критически важных данных (или ОС).
P.S.: И не надо бояться вирусов как проказы. Это такие же программы, как и все остальные, только с деструктивными функциями. ;)
Переустановка ОС в случае заражения можно сравнить с полной разборкой авто, если у последнего царапина на корпусе.
И последнее: avast! плохой "лекарь", но как защитник довольно неплох.
-
Господа! Вы шутите? Какой образ диска, диска на котором ФАЙЛОВЫЙ вирус!!!!! Это не троян! Это программа, записывающая СВОЙ код в исполняемый код исполняемого файла. Такие файлы должны удаляться антивирусом, слово лечить в некоторых антивирусных программах не что иное как рекламный ход. Убедиться в этом можно написав код самому, скомпить в ехе,и заразить Sality.* Далее вылечить курейтом или касперским, запустить заново. Программа полностью корректно работать НЕ будет. Попробуйте.
-
форматирование всей портиций -это краховое дело, можно вначале полечить(удалить) файлы программами:
UnHackMe,stinger,DRWEB cureit, avz только если не поможет форматировать разделы!
Собственно, barsukRed и написал что ничего из перечисленного не помогает, только форматирование.
Переустановка ОС в случае заражения можно сравнить с полной разборкой авто, если у последнего царапина на корпусе
barsukRed говорит, что у твоего авто украли колеса, а милиция вернула эти колеса квадратными. Наверное, лучше поставить на авто новые круглые колеса, чем продолжать кататься на квадратных ;)
-
sergofun правильно меня понял (привет,sergofun!) и этот вопрос достаточно долго обсуждали несколько лет назад еще на старом форуме.
Еще хочу сказать: можно спросить у ЛЮБОГО програмера чем заканчивается влезание в чужой код да еще и "в слепую". В своих статьях Крис Касперски очень много об этом пишет если кому интересен вопрос.
-
Господа! Вы шутите? ... Это программа, записывающая СВОЙ код в исполняемый код исполняемого файла. ... Убедиться в этом можно написав код самому, скомпить в ехе,и заразить Sality.* Далее вылечить курейтом или касперским, запустить заново. Программа полностью корректно работать НЕ будет. Попробуйте.
Пробовал, работает, причем корректно.
Процесс “лечения” описан давно: удаление тела вируса из файла, выравнивание длины файла.
http://safezone.cc/forum/showthread.php?t=54
-
Образ диска делается для того, чтобы опробовать несколько методов "лечения" и выбрать наиболее подходящий.
А "квадратные колеса" можно и напильником доработать. ;D
barsukRed - Вы теоретик или практик? Только без обид.
-
Процесс �лечения� описан давно: удаление тела вируса из файла, выравнивание длины файла.
http://safezone.cc/forum/showthread.php?t=54
А там по ссылке:
antispy писал:
На сегодняшний день нет абсолютных методик лечения файловых вирусов
Бггг =) Как это здорово подтверждает твои слова ;)
А "квадратные колеса" можно и напильником доработать. ;D
И кататься на квадратных колесах, доработанных напильником х)
barsukRed - Вы теоретик или практик? Только без обид.
Практик он, практик. Практиковал еще тогда, когда некоторые пешком под стол ходили и когда вируснет.инфо (а ныне safezone.cc) еще только задумывался в проекте. Только без обид ;)
-
Практик он, практик. Практиковал еще тогда, когда некоторые пешком под стол ходили и когда вируснет.инфо (а ныне safezone.cc) еще только задумывался в проекте. Только без обид ;)
Хорошо, давайте начнем с азов.
Существует несколько типов файловых вирусов:
- overwriting – переписывание исходного кода файла и уничтожение его содержимого;
- parasitic – внедрение кода вируса в файл;
- companion – создание файла двойника, при котором управление получает вирус.
В первом случае “лечение” производится заменой зараженного файла его (чистой) резервной копией.
Во втором и третьем случаях под “лечением” понимается удаления кода вируса из файла.
Отсюда и “танцуем”. ;)
-
Вы вообще в другую сторону поворачиваете. Не люблю я эти пустые разговоры. но не удержусь от пары вопросов:
В первом случае “лечение” производится заменой зараженного файла его (чистой) резервной копией.
Какая программа будет делать эту резервную копию? Если лечит антивирус значит и антивирус должен делать резервные копии, так? Брр, сколько же будет весить... Ужоссс...
Во втором и третьем случаях под “лечением” понимается удаления кода вируса из файла.
Вы думаете это так просто? Хорошо если в коде заражаемого файла вирус пропишет только jmp а тело в оверлее или в отладочный люк корректно втиснет или еще где -методов внедрения "до фига и больше" и никак не три. А если задействована таблица импорта? А если все крутится вокруг точки входа? . А если в вирлабе сигнатуру не достаточно точно выделили? Я же Вам говорю попробуйте сами испытать по схеме: -заразить->вылечить->запустить. Только какой-нибудь "серьезный" бинарник(я не говорю уже о драйвере! :) ) Я считаю что корректно восстановить кусок кода даже имея в базе антивируса этот образец НЕВОЗМОЖНО. Банальное обновление файла до другой версии либо добавление в вирус еще один какой нибудь механизм... и все. Никакой корректности в лечении.
Без обид: И ради бога, я не доказываю никому ничего! Как хотите так и думайте, мне без разницы. Нет проблем :) Это тема на десятки а то и сотни страниц... Не раздувайте форум ;)
-
barsukRed, у Ð¼ÐµÐ½Ñ Ð¸ в мыÑлÑÑ… нет "поворачивать в другую Ñторону".
Резервную копию должен делать Ñам пользователь, а не антивируÑ.
Проверку целоÑтноÑти и воÑÑтановление файлов ОС Ð’Ñ‹ можете произвеÑти Ñами (http://support.microsoft.com/kb/310747/ru).
Я и не говорю, что вÑÑ‘ так проÑто Ñ "лечением" зараженных файлов.
ЕÑли бы Ñто было невозможно, то ни одна ÐºÐ¾Ð¼Ð¿Ð°Ð½Ð¸Ñ Ð½Ðµ заÑвлÑла бы об Ñтом.
P.S.: Я говорю в первую очередь не о "маÑÑовом лечении" в Ñтиле КашпировÑкого (http://www.kashpirovskiy.com/), а об индивидуальном лечении конкретного ПК от конкретного заражениÑ.
Смотрите к примеру п.6 (http://vms.drweb.com/categories/) и т.д.