Логин: * Пароль: * Регистрация Забыли пароль?
  \|/
Гость
Гость
+5984 
 -2347

ВНИМАНИЕ ! СКРЫТАЯ УГРОЗА!

Win32.Sality -ДАВОЛЬНО СТРАШНЫЙ ВИРУС..Я сам лично сталкивался с подобной проблемой..Что же он делает? Прежде всего друзья вы должны знать что он заражает EXE файлы (причем все подряд) , вызывает сбои в оборудовании , например пишет что ошибка в жестком диске.. ПОд ним не работают антивирусы НОД, касперский . Вот краткое описание и разновидность этой твари...

Win32.Sector.5
(Virus.Win32.Sality.aa, PE_SALITY.M, Mal_Sality, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Trojan.Generic.368274, Win32.Sality.2.NX, Virus.Win32.Sality.kaka, Parser error, Spam-MailBot, Virus:Win32/Sality.AM, New Malware.ew, W32/Sality, Generic5.ICD, Trojan.Agent.AINJ, Win32.Sality.NX, Win32.Sality.2.OE, W32/Sality.gen, W32/Sality.Y, Gen:Win32.Sality.Dam)
Добавлен в вирусную базу Dr.Web: 2008-04-17 19:41:10

Тип вируса: Файловый вирус

Уязвимые ОС: Windows

Размер: 57 344 байт

Упакован: —

Техническая информация

При своём запуске переводит Internet Explorer в режим online:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\
GlobalUserOffline=0

Отключает User Access Control в Windows Vista:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\policies\system
EnableLUA=0

Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec"

Для хранение своих настроек создаёт ключ в реестре:
HKEY_CURRENT_USER\Software\<имя пользователя>914

Добавляет в system.ini случайное значение
[MCIDRV_VER]
DEVICEMB=116402342188

Внедряет свой код в память всех активных процессов.

Удаляет ветки реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
после этого загрузка в Безопасный режим невозможна.

Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку и файлы наиболее часто запускаемые в системе.

Не заражает системные файлы и файлы в папках содержащих в имени "SYSTEM" или "AHEAD".

В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:

"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
"ANTIVIR"
"ANTS."
"APVXDWIN."
"ARMOR2NET."
"ASHAVAST."
"ASHDISP."
"ASHENHCD."
"ASHMAISV."
"ASHPOPWZ."
"ASHSERV."
"ASHSIMPL."
"ASHSKPCK."
"ASHWEBSV."
"ASWUPDSV."
"ATCON."
"ATUPDATER."
"ATWATCH."
"AUPDATE."
"AUTODOWN."
"AUTOTRACE."
"AUTOUPDATE."
"AVCIMAN."
"AVCONSOL."
"AVENGINE."
"AVGAMSVR."
"AVGCC."
"AVGCC32."
"AVGCTRL."
"AVGEMC."
"AVGFWSRV."
"AVGNT."
"AVGNTDD"
"AVGNTMGR"
"AVGSERV."
"AVGUARD."
"AVGUPSVC."
"AVINITNT."
"AVKSERV."
"AVKSERVICE."
"AVKWCTL."
"AVP."
"AVP32."
"AVPCC."
"AVPM."
"AVAST"
"AVSCHED32."
"AVSYNMGR."
"AVWUPD32."
"AVWUPSRV."
"AVXMONITOR9X."
"AVXMONITORNT."
"AVXQUAR."
"BACKWEB-4476822."
"BDMCON."
"BDNEWS."
"BDOESRV."
"BDSS."
"BDSUBMIT."
"BDSWITCH."
"BLACKD."
"BLACKICE."
"CAFIX."
"CCAPP."
"CCEVTMGR."
"CCPROXY."
"CCSETMGR."
"CFIAUDIT."
"CLAMTRAY."
"CLAMWIN."
"CLAW95."
"CLAW95CF."
"CLEANER."
"CLEANER3."
"CLISVC."
"CMGRDIAN."
"CUREIT"
"DEFWATCH."
"DOORS."
"DRVIRUS."
"DRWADINS."
"DRWEB32W."
"DRWEBSCD."
"DRWEBUPW."
"ESCANH95."
"ESCANHNT."
"EWIDOCTRL."
"EZANTIVIRUSREGISTRATIONCHECK."
"F-AGNT95."
"FAMEH32."
"FAST."
"FCH32."
"FILEMON"
"FIRESVC."
"FIRETRAY."
"FIREWALL."
"FPAVUPDM."
"F-PROT95."
"FRESHCLAM."
"FRW."
"FSAV32."
"FSAVGUI."
"FSBWSYS."
"F-SCHED."
"FSDFWD."
"FSGK32."
"FSGK32ST."
"FSGUIEXE."
"FSM32."
"FSMA32."
"FSMB32."
"FSPEX."
"FSSM32."
"F-STOPW."
"GCASDTSERV."
"GCASSERV."
"GIANTANTISPYWAREMAIN."
"GIANTANTISPYWAREUPDATER."
"GUARDGUI."
"GUARDNT."
"HREGMON."
"HRRES."
"HSOCKPE."
"HUPDATE."
"IAMAPP."
"IAMSERV."
"ICLOAD95."
"ICLOADNT."
"ICMON."
"ICSSUPPNT."
"ICSUPP95."
"ICSUPPNT."
"IFACE."
"INETUPD."
"INOCIT."
"INORPC."
"INORT."
"INOTASK."
"INOUPTNG."
"IOMON98."
"ISAFE."
"ISATRAY."
"ISRV95."
"ISSVC."
"KAV."
"KAVMM."
"KAVPF."
"KAVPFW."
"KAVSTART."
"KAVSVC."
"KAVSVCUI."
"KMAILMON."
"KPFWSVC."
"KWATCH."
"LOCKDOWN2000."
"LOGWATNT."
"LUALL."
"LUCOMSERVER."
"LUUPDATE."
"MCAGENT."
"MCMNHDLR."
"MCREGWIZ."
"MCUPDATE."
"MCVSSHLD."
"MINILOG."
"MYAGTSVC."
"MYAGTTRY."
"NAVAPSVC."
"NAVAPW32."
"NAVLU32."
"NAVW32."
"NOD32."
"NEOWATCHLOG."
"NEOWATCHTRAY."
"NISSERV"
"NISUM."
"NMAIN."
"NOD32"
"NORMIST."
"NOTSTART."
"NPAVTRAY."
"NPFMNTOR."
"NPFMSG."
"NPROTECT."
"NSCHED32."
"NSMDTR."
"NSSSERV."
"NSSTRAY."
"NTRTSCAN."
"NTXCONFIG."
"NUPGRADE."
"NVC95."
"NVCOD."
"NVCTE."
"NVCUT."
"NWSERVICE."
"OFCPFWSVC."
"OUTPOST."
"PAV."
"PAVFIRES."
"PAVFNSVR."
"PAVKRE."
"PAVPROT."
"PAVPROXY."
"PAVPRSRV."
"PAVSRV51."
"PAVSS."
"PCCGUIDE."
"PCCIOMON."
"PCCNTMON."
"PCCPFW."
"PCCTLCOM."
"PCTAV."
"PERSFW."
"PERTSK."
"PERVAC."
"PNMSRV."
"POP3TRAP."
"POPROXY."
"PREVSRV."
"PSIMSVC."
"QHM32."
"QHONLINE."
"QHONSVC."
"QHPF."
"QHWSCSVC."
"RAVMON."
"RAVTIMER."
"REALMON."
"REALMON95."
"RFWMAIN."
"RTVSCAN."
"RTVSCN95."
"RULAUNCH."
"SAVADMINSERVICE."
"SAVMAIN."
"SAVPROGRESS."
"SAVSCAN."
"SCAN32."
"SCANNINGPROCESS."
"CUREIT."
"SDHELP."
"SHSTAT."
"SITECLI."
"SPBBCSVC."
"SPHINX."
"SPIDERML."
"SPIDERNT."
"SPIDERUI."
"SPYBOTSD."
"SPYXX."
"SS3EDIT."
"STOPSIGNAV."
"SWAGENT."
"SWDOCTOR."
"SWNETSUP."
"SYMLCSVC."
"SYMPROXYSVC."
"SYMSPORT."
"SYMWSC."
"SYNMGR."
"TAUMON."
"TBMON."
"AVAST"
"TCA."
"TCM."
"TDS-3."
"TEATIMER."
"TFAK."
"THAV."
"THSM."
"TMAS."
"TMLISTEN."
"TMNTSRV."
"TMPFW."
"TMPROXY."
"TNBUTIL."
"TRJSCAN."
"UP2DATE."
"VBA32ECM."
"VBA32IFS."
"VBA32LDR."
"VBA32PP3."
"VBSNTW."
"VCHK."
"VCRMON."
"VETTRAY."
"VIRUSKEEPER."
"VPTRAY."
"VRFWSVC."
"VRMONNT."
"VRMONSVC."
"VRRW32."
"VSECOMR."
"VSHWIN32."
"VSMON."
"VSSERV."
"VSSTAT."
"WATCHDOG."
"WEBPROXY."
"WEBSCANX."
"WEBTRAP."
"WGFE95."
"WINAW32."
"WINROUTE."
"WINSS."
"WINSSNOTIFY."
"WRADMIN."
"WRCTRL."
"XCOMMSVR."
"ZATUTOR."
"ZAUINST."
"ZLCLIENT."
"ZONEALARM."

Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit".

Cкачивает и запускает другие вредоносные программы из сети.

В зависимости от модификации может при помощи своего драйвера блокировать доступ к сайтам содержащим в названии:

"kaspersky"
"eset.com"
"f-secure."
"mcafee."
"symantec."
"etrust.com"
"trendmicro."
"sophos."
"virustotal."
"agnmitum."
"pandasoftware."
"bitdefender."
"spywareguide."
"windowsecurity."
"virusscan."
"ewido."
"spywareinfo."
"onlinescan."
"drweb."
"cureit."

Информация по восстановлению системы

Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
Восстановить Безопасный режим с использованием файлов экспорта соответствующих ветвей реестра, взятых с заведомо неинфицированного компьютера.

******ХОЧУ ОТМЕТИТЬ, ЧТО ЕДИНСТВЕННЫЙ НА МОЙ ВЗГЛЯД АНТИВИРУС УНИЧТОЖЕВШИЙ ЭТУ ЗАРАЗУ ЯВЛЯЕТСЯ NORTON INTERNET 2010 , ТАК КАК КАСПЕРСКИЙ ВЕРЕЩАЛ, ТО ЭТОТ ХЛОПЕЦ ПРИБИЛ ЭТУ ШНЯГУ МОМЕНТОМ.*** МОЯ РЕКОМЕНДАЦИЯ ЭТО NORTON!

⇓⇓ Поделитесь событием с друзьями! ⇓⇓
banner_donat.png
Stalker.Uz
Зарегин: 06/03/2009
На сайте


Наш канал в телеграмме - Подписывайся!!! - t.me/stalkeruz_com

Наш чат в телеграмме - Велкам!!! - t.me/joinchat/AhAXYUa0wa1dXbp760kauA
EXMO affiliate program
BesПечныY  \|/
Гость
Гость
+5984 
 -2347

Это реклама Норта? Как это вирус в комп залазит?

_Азот  \|/
Гость
Гость
+5984 
 -2347

NORTON настоящая параша не знаю как тебе мон мне нравится авира ловит и удаляет все вирусы сразу же!

MONOLIT1986  \|/
Гость
Гость
+5984 
 -2347

Crazy я не призываю ставить нортона! я например пользуюсь и жалоб к этому чудо антивиру не имею !

DushaZ  \|/
Гость
Гость
+5984 
 -2347

нортон вещь у самого стоит Happy

Курортник  \|/
Гость
Гость
+5984 
 -2347

Че то щас прочитал и страшно стало Happy Ну вот у меня стоит McAfee! И я им доволен! Ни единого вируса не пропускает(хотя точно не уверен), постоянно обновляется да и удобный в использовании!

Хантер  \|/
Гость
Гость
+5984 
 -2347

Спасибо тебе!У меня вообще старый комп заразился и не один антивирус не работал,и даже не устанавливался,к другу принес жёсткий диск,думал почистит,а нет,и его заразился,хотел все свои файлы сохранить не смог.А и ещё не форматировался диск.Виндус 7 меня спас,как начал ставить сделал его единым(был разбит на ц и д)форматнул и винду поставил.Потом опять так сделал.Больше не сталкивался с такой дрянью.

+75 
 -4
Группировка: Наёмник
Ранг: Легенда
Зарегистрирован: 06/30/2010
Оффлайн

Мда...Мони нажахал конкретно...и где это ты всякую дрянь ловишь... Crazy

Как-то мне сегодня душно и хмуро, сердце ноет и не знает покоя. Ночью снилось мне кровавое утро и сгоревшее широкое поле.

Som  \|/
Гость
Гость
+5984 
 -2347

Хантер согласен с тобой-7 винда надёжнее в этом плане,а так,уменя одно к
вирусам действие пускаю под снос всё к чёртовой бабушке.

Хантер  \|/
Гость
Гость
+5984 
 -2347

Сом, но бывает не знаешь откуда эту дрянь выловил,и когда она снова появится,нельзя постоянно всё сносить,время убиваешь,и потом как то не очень мне хочется заново комп настраивать.А потом батс и опять поймал.Надо как то убивать её.Но не все антивирусы берут.Да нортон хорошая вещь.Интернэт секьюрити хороший.

Fedor аватар
+266 
 -122
Группировка: О-сознание
Ранг: Легенда
Зарегистрирован: 06/03/2009
Оффлайн

Почему это в статьяих ? какое отношение имеет к сталкеру ?
Это в форум нужно вешать!

Буду на этом сайте до последнего комментария!

BesПечныY  \|/
Гость
Гость
+5984 
 -2347

Так у тебя как у АДмина и надо спросить, понятно что он без проверки выложил, но ты же можешь перенести в форум?

+61 
 -3
Группировка: Орден
Ранг: Легенда
Зарегистрирован: 01/22/2010
Оффлайн

Млин.я Турь боюсь вообще выходить в инет.Такую дрянь ловить крайне неприятно.

При свете проклятого дня...

Рокер  \|/
Гость
Гость
+5984 
 -2347

у меня проблема: принёс на MP-3 плеере вирус, аваст его не может, отформатировать MP-3 никак, вирус не даёт, что делать?

MONOLIT1986  \|/
Гость
Гость
+5984 
 -2347

Happy блин fedor ...Тут быстро увидят....А то такю дрянь кто нить подцепит , и будет потом искать решение...

Fedor аватар
+266 
 -122
Группировка: О-сознание
Ранг: Легенда
Зарегистрирован: 06/03/2009
Оффлайн

Хотя я и админ, но переместить статью в форум я не могу.

Материал убрал с главной страницы!

Буду на этом сайте до последнего комментария!

Zonder аватар
+1 
 -0
Группировка: Монолит
Ранг: Мастер
Зарегистрирован: 09/25/2009
Оффлайн

Монолит, не переживай, ты всех предупредил - теперь будут предохранятся!

+61 
 -3
Группировка: Орден
Ранг: Легенда
Зарегистрирован: 01/22/2010
Оффлайн

Администрация Сайта.Прошу провести проверку сайта на наличие вирусов.Сегодня я открывал страницу с обозревателя Гугл Хром и он выдал сообщение что сайт заражен вредоносным ПО.Может это глюк обозревателя,но я говорю на всякий случай.Как говорится "Лучше перебздеть чем недобздеть".

При свете проклятого дня...

Som  \|/
Гость
Гость
+5984 
 -2347

Крестоносец,а об этом уже знают,у меня тоже это то появляется то исчезает.
Моё мнение такое-кто то из наших такую шнягу прогоняет,а в общем если бы это было опасно.....то ты бы тут не писал бы уже.Просто кто то на понт берёт...вот только кто?

+61 
 -3
Группировка: Орден
Ранг: Легенда
Зарегистрирован: 01/22/2010
Оффлайн

Ну млин..а модераторы тут на что?Администрация должна этим заниматься.Ну а вдруг внатуре пустят Winloc по сайту и пипец.

При свете проклятого дня...

+153 
 -87
Группировка: Бандиты
Квад: Жнецы
Ранг: Мастер
Должность: Начальник квада
Зарегистрирован: 12/08/2009
Оффлайн

Значит мне лучше по сайтам особо не шастать....Тем более у меня Касперский стоит....

+61 
 -3
Группировка: Орден
Ранг: Легенда
Зарегистрирован: 01/22/2010
Оффлайн

Млин!КАПЕЦ!!!ПОЛНЫЙ!!!!НУ СДЕЛАЙТЕ ЧТОНИТЬ С ЭТИМ ВИРУСОМ!Меня уже просто зае**ло по 10 раз нажимать продолжить в предупреждении!!!!Ну сколько можно?На каждую страницу по 3-4 раза кнопки нажимать!!Что за фигня?

При свете проклятого дня...

leshiy00  \|/
Гость
Гость
+5984 
 -2347

MONOLIT1986, не знаю чё у тебя за любовь к Нортону?Лично меня вполне устраевает Каспер 2010+USBVirusScan2.3 И кстати во,если кому интересно:

MONOLIT1986, не знаю чё у

garik  \|/
Гость
Гость
+5984 
 -2347

я его нодом прибил

Сталкер Кот  \|/
Гость
Гость
+5984 
 -2347

У меня drWeb, пока жалоб не было...но я буду настороже, спасибо!

Актуальные темы на сегодня
Выпей яду. И после этого я смогу рассказать тебе все в деталях. © Тайна полтергейста
Наверх Вниз