Win32.Sality -ДАВОЛЬНО СТРАШНЫЙ ВИРУС..Я сам лично сталкивался с подобной проблемой..Что же он делает? Прежде всего друзья вы должны знать что он заражает EXE файлы (причем все подряд) , вызывает сбои в оборудовании , например пишет что ошибка в жестком диске.. ПОд ним не работают антивирусы НОД, касперский . Вот краткое описание и разновидность этой твари...
Win32.Sector.5
(Virus.Win32.Sality.aa, PE_SALITY.M, Mal_Sality, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Trojan.Generic.368274, Win32.Sality.2.NX, Virus.Win32.Sality.kaka, Parser error, Spam-MailBot, Virus:Win32/Sality.AM, New Malware.ew, W32/Sality, Generic5.ICD, Trojan.Agent.AINJ, Win32.Sality.NX, Win32.Sality.2.OE, W32/Sality.gen, W32/Sality.Y, Gen:Win32.Sality.Dam)
Добавлен в вирусную базу Dr.Web: 2008-04-17 19:41:10
Тип вируса: Файловый вирус
Уязвимые ОС: Windows
Размер: 57 344 байт
Упакован: —
Техническая информация
При своём запуске переводит Internet Explorer в режим online:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\
GlobalUserOffline=0
Отключает User Access Control в Windows Vista:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\policies\system
EnableLUA=0
Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec"
Для хранение своих настроек создаёт ключ в реестре:
HKEY_CURRENT_USER\Software\<имя пользователя>914
Добавляет в system.ini случайное значение
[MCIDRV_VER]
DEVICEMB=116402342188
Внедряет свой код в память всех активных процессов.
Удаляет ветки реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
после этого загрузка в Безопасный режим невозможна.
Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку и файлы наиболее часто запускаемые в системе.
Не заражает системные файлы и файлы в папках содержащих в имени "SYSTEM" или "AHEAD".
В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:
"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
"ANTIVIR"
"ANTS."
"APVXDWIN."
"ARMOR2NET."
"ASHAVAST."
"ASHDISP."
"ASHENHCD."
"ASHMAISV."
"ASHPOPWZ."
"ASHSERV."
"ASHSIMPL."
"ASHSKPCK."
"ASHWEBSV."
"ASWUPDSV."
"ATCON."
"ATUPDATER."
"ATWATCH."
"AUPDATE."
"AUTODOWN."
"AUTOTRACE."
"AUTOUPDATE."
"AVCIMAN."
"AVCONSOL."
"AVENGINE."
"AVGAMSVR."
"AVGCC."
"AVGCC32."
"AVGCTRL."
"AVGEMC."
"AVGFWSRV."
"AVGNT."
"AVGNTDD"
"AVGNTMGR"
"AVGSERV."
"AVGUARD."
"AVGUPSVC."
"AVINITNT."
"AVKSERV."
"AVKSERVICE."
"AVKWCTL."
"AVP."
"AVP32."
"AVPCC."
"AVPM."
"AVAST"
"AVSCHED32."
"AVSYNMGR."
"AVWUPD32."
"AVWUPSRV."
"AVXMONITOR9X."
"AVXMONITORNT."
"AVXQUAR."
"BACKWEB-4476822."
"BDMCON."
"BDNEWS."
"BDOESRV."
"BDSS."
"BDSUBMIT."
"BDSWITCH."
"BLACKD."
"BLACKICE."
"CAFIX."
"CCAPP."
"CCEVTMGR."
"CCPROXY."
"CCSETMGR."
"CFIAUDIT."
"CLAMTRAY."
"CLAMWIN."
"CLAW95."
"CLAW95CF."
"CLEANER."
"CLEANER3."
"CLISVC."
"CMGRDIAN."
"CUREIT"
"DEFWATCH."
"DOORS."
"DRVIRUS."
"DRWADINS."
"DRWEB32W."
"DRWEBSCD."
"DRWEBUPW."
"ESCANH95."
"ESCANHNT."
"EWIDOCTRL."
"EZANTIVIRUSREGISTRATIONCHECK."
"F-AGNT95."
"FAMEH32."
"FAST."
"FCH32."
"FILEMON"
"FIRESVC."
"FIRETRAY."
"FIREWALL."
"FPAVUPDM."
"F-PROT95."
"FRESHCLAM."
"FRW."
"FSAV32."
"FSAVGUI."
"FSBWSYS."
"F-SCHED."
"FSDFWD."
"FSGK32."
"FSGK32ST."
"FSGUIEXE."
"FSM32."
"FSMA32."
"FSMB32."
"FSPEX."
"FSSM32."
"F-STOPW."
"GCASDTSERV."
"GCASSERV."
"GIANTANTISPYWAREMAIN."
"GIANTANTISPYWAREUPDATER."
"GUARDGUI."
"GUARDNT."
"HREGMON."
"HRRES."
"HSOCKPE."
"HUPDATE."
"IAMAPP."
"IAMSERV."
"ICLOAD95."
"ICLOADNT."
"ICMON."
"ICSSUPPNT."
"ICSUPP95."
"ICSUPPNT."
"IFACE."
"INETUPD."
"INOCIT."
"INORPC."
"INORT."
"INOTASK."
"INOUPTNG."
"IOMON98."
"ISAFE."
"ISATRAY."
"ISRV95."
"ISSVC."
"KAV."
"KAVMM."
"KAVPF."
"KAVPFW."
"KAVSTART."
"KAVSVC."
"KAVSVCUI."
"KMAILMON."
"KPFWSVC."
"KWATCH."
"LOCKDOWN2000."
"LOGWATNT."
"LUALL."
"LUCOMSERVER."
"LUUPDATE."
"MCAGENT."
"MCMNHDLR."
"MCREGWIZ."
"MCUPDATE."
"MCVSSHLD."
"MINILOG."
"MYAGTSVC."
"MYAGTTRY."
"NAVAPSVC."
"NAVAPW32."
"NAVLU32."
"NAVW32."
"NOD32."
"NEOWATCHLOG."
"NEOWATCHTRAY."
"NISSERV"
"NISUM."
"NMAIN."
"NOD32"
"NORMIST."
"NOTSTART."
"NPAVTRAY."
"NPFMNTOR."
"NPFMSG."
"NPROTECT."
"NSCHED32."
"NSMDTR."
"NSSSERV."
"NSSTRAY."
"NTRTSCAN."
"NTXCONFIG."
"NUPGRADE."
"NVC95."
"NVCOD."
"NVCTE."
"NVCUT."
"NWSERVICE."
"OFCPFWSVC."
"OUTPOST."
"PAV."
"PAVFIRES."
"PAVFNSVR."
"PAVKRE."
"PAVPROT."
"PAVPROXY."
"PAVPRSRV."
"PAVSRV51."
"PAVSS."
"PCCGUIDE."
"PCCIOMON."
"PCCNTMON."
"PCCPFW."
"PCCTLCOM."
"PCTAV."
"PERSFW."
"PERTSK."
"PERVAC."
"PNMSRV."
"POP3TRAP."
"POPROXY."
"PREVSRV."
"PSIMSVC."
"QHM32."
"QHONLINE."
"QHONSVC."
"QHPF."
"QHWSCSVC."
"RAVMON."
"RAVTIMER."
"REALMON."
"REALMON95."
"RFWMAIN."
"RTVSCAN."
"RTVSCN95."
"RULAUNCH."
"SAVADMINSERVICE."
"SAVMAIN."
"SAVPROGRESS."
"SAVSCAN."
"SCAN32."
"SCANNINGPROCESS."
"CUREIT."
"SDHELP."
"SHSTAT."
"SITECLI."
"SPBBCSVC."
"SPHINX."
"SPIDERML."
"SPIDERNT."
"SPIDERUI."
"SPYBOTSD."
"SPYXX."
"SS3EDIT."
"STOPSIGNAV."
"SWAGENT."
"SWDOCTOR."
"SWNETSUP."
"SYMLCSVC."
"SYMPROXYSVC."
"SYMSPORT."
"SYMWSC."
"SYNMGR."
"TAUMON."
"TBMON."
"AVAST"
"TCA."
"TCM."
"TDS-3."
"TEATIMER."
"TFAK."
"THAV."
"THSM."
"TMAS."
"TMLISTEN."
"TMNTSRV."
"TMPFW."
"TMPROXY."
"TNBUTIL."
"TRJSCAN."
"UP2DATE."
"VBA32ECM."
"VBA32IFS."
"VBA32LDR."
"VBA32PP3."
"VBSNTW."
"VCHK."
"VCRMON."
"VETTRAY."
"VIRUSKEEPER."
"VPTRAY."
"VRFWSVC."
"VRMONNT."
"VRMONSVC."
"VRRW32."
"VSECOMR."
"VSHWIN32."
"VSMON."
"VSSERV."
"VSSTAT."
"WATCHDOG."
"WEBPROXY."
"WEBSCANX."
"WEBTRAP."
"WGFE95."
"WINAW32."
"WINROUTE."
"WINSS."
"WINSSNOTIFY."
"WRADMIN."
"WRCTRL."
"XCOMMSVR."
"ZATUTOR."
"ZAUINST."
"ZLCLIENT."
"ZONEALARM."
Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit".
Cкачивает и запускает другие вредоносные программы из сети.
В зависимости от модификации может при помощи своего драйвера блокировать доступ к сайтам содержащим в названии:
"kaspersky"
"eset.com"
"f-secure."
"mcafee."
"symantec."
"etrust.com"
"trendmicro."
"sophos."
"virustotal."
"agnmitum."
"pandasoftware."
"bitdefender."
"spywareguide."
"windowsecurity."
"virusscan."
"ewido."
"spywareinfo."
"onlinescan."
"drweb."
"cureit."
Информация по восстановлению системы
Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
Восстановить Безопасный режим с использованием файлов экспорта соответствующих ветвей реестра, взятых с заведомо неинфицированного компьютера.
******ХОЧУ ОТМЕТИТЬ, ЧТО ЕДИНСТВЕННЫЙ НА МОЙ ВЗГЛЯД АНТИВИРУС УНИЧТОЖЕВШИЙ ЭТУ ЗАРАЗУ ЯВЛЯЕТСЯ NORTON INTERNET 2010 , ТАК КАК КАСПЕРСКИЙ ВЕРЕЩАЛ, ТО ЭТОТ ХЛОПЕЦ ПРИБИЛ ЭТУ ШНЯГУ МОМЕНТОМ.*** МОЯ РЕКОМЕНДАЦИЯ ЭТО NORTON!
Это реклама Норта? Как это вирус в комп залазит?
NORTON настоящая параша не знаю как тебе мон мне нравится авира ловит и удаляет все вирусы сразу же!
я не призываю ставить нортона! я например пользуюсь и жалоб к этому чудо антивиру не имею !
нортон вещь у самого стоит 
Че то щас прочитал и страшно стало Ну вот у меня стоит McAfee! И я им доволен! Ни единого вируса не пропускает(хотя точно не уверен), постоянно обновляется да и удобный в использовании!
Спасибо тебе!У меня вообще старый комп заразился и не один антивирус не работал,и даже не устанавливался,к другу принес жёсткий диск,думал почистит,а нет,и его заразился,хотел все свои файлы сохранить не смог.А и ещё не форматировался диск.Виндус 7 меня спас,как начал ставить сделал его единым(был разбит на ц и д)форматнул и винду поставил.Потом опять так сделал.Больше не сталкивался с такой дрянью.
Мда...Мони нажахал конкретно...и где это ты всякую дрянь ловишь...
Хантер согласен с тобой-7 винда надёжнее в этом плане,а так,уменя одно к
вирусам действие пускаю под снос всё к чёртовой бабушке.
Сом, но бывает не знаешь откуда эту дрянь выловил,и когда она снова появится,нельзя постоянно всё сносить,время убиваешь,и потом как то не очень мне хочется заново комп настраивать.А потом батс и опять поймал.Надо как то убивать её.Но не все антивирусы берут.Да нортон хорошая вещь.Интернэт секьюрити хороший.
Почему это в статьяих ? какое отношение имеет к сталкеру ?
Это в форум нужно вешать!
Так у тебя как у АДмина и надо спросить, понятно что он без проверки выложил, но ты же можешь перенести в форум?
Млин.я Турь боюсь вообще выходить в инет.Такую дрянь ловить крайне неприятно.
у меня проблема: принёс на MP-3 плеере вирус, аваст его не может, отформатировать MP-3 никак, вирус не даёт, что делать?
блин fedor ...Тут быстро увидят....А то такю дрянь кто нить подцепит , и будет потом искать решение...
Хотя я и админ, но переместить статью в форум я не могу.
Материал убрал с главной страницы!
Монолит, не переживай, ты всех предупредил - теперь будут предохранятся!
Администрация Сайта.Прошу провести проверку сайта на наличие вирусов.Сегодня я открывал страницу с обозревателя Гугл Хром и он выдал сообщение что сайт заражен вредоносным ПО.Может это глюк обозревателя,но я говорю на всякий случай.Как говорится "Лучше перебздеть чем недобздеть".
Крестоносец,а об этом уже знают,у меня тоже это то появляется то исчезает.
Моё мнение такое-кто то из наших такую шнягу прогоняет,а в общем если бы это было опасно.....то ты бы тут не писал бы уже.Просто кто то на понт берёт...вот только кто?
Ну млин..а модераторы тут на что?Администрация должна этим заниматься.Ну а вдруг внатуре пустят Winloc по сайту и пипец.
Значит мне лучше по сайтам особо не шастать....Тем более у меня Касперский стоит....
Млин!КАПЕЦ!!!ПОЛНЫЙ!!!!НУ СДЕЛАЙТЕ ЧТОНИТЬ С ЭТИМ ВИРУСОМ!Меня уже просто зае**ло по 10 раз нажимать продолжить в предупреждении!!!!Ну сколько можно?На каждую страницу по 3-4 раза кнопки нажимать!!Что за фигня?
MONOLIT1986, не знаю чё у тебя за любовь к Нортону?Лично меня вполне устраевает Каспер 2010+USBVirusScan2.3 И кстати во,если кому интересно:
я его нодом прибил
У меня drWeb, пока жалоб не было...но я буду настороже, спасибо!
Наш канал в телеграмме - Подписывайся!!! - t.me/stalkeruz_com
Наш чат в телеграмме - Велкам!!! - t.me/joinchat/AhAXYUa0wa1dXbp760kauA