winshelp

Ребята, уже третий день бьюсь с этой заразой.
Пригласили на небольшой офис посмотреть, а то у них что то с компами.
У них небольшая сеть из 4-ёх компьютеров по кабинетам, везде стоят Windows XP SP2 и гребанная сметная программа AVK, из за неё сносить Винду нельзя.
На всех компах сидит Win32.Sector.17 (так определяет его Dr.Web), Каспер определяет его как Sality -aa.
-----------
Первый день CureIt вроде как справился, да и я недоценил этот вирус, и отнёсся принебрижительно.
---
Второй день еще хуже стало, они толи флешкой опять занесли, то ли я недочистил и он опять расплодился, но на этот раз вирус уже аклиматизировался и CureIt не помогает, то есть сканирует и видит вируса но под самый конец вылетает и закрывается когда нужно сделать лечение.
---
Cегодня подготовился к нему посерьёзней, скачал cвежий LiveCD от Dr.Web и проги по работе с реестром, почитал о этой гадости в интернет.
---
Вчера убил целый день и был бессилен что либо сделать (плохо подготовился).
Вирус все поблокировал, убил у них штатный антивирус Nod 32, не дает зайти ни на один антивирусный сайт и т.д.
----------------------------
Кто сталкивался с этим вирусом, подскажите эфективный метод лечения!
P.S. Кто нибудь сталкивался с с программой для смет AVK?
Как там чего сохранять чтобы переустановить Виндовс?

Iljeben

Выпубите все компы из сети физически. Проверьте комп этой утилиткой http://slil.ru/27796966 . Если найдет вирусы удалите NOD32, с реестра тож удалите Пуск-Выполнить-regedit найдите по пути HKEY_CURRENT_USER\Software\ ветку Eset и удалите. Теперь заново ставьте NOD32, обновляйте базу и просканьте комп.

01pump

winshelp,
После полной проверки каждого компа (отключенного от сетки) утилитками от Drweb обязательно выполни это http://pchelpforum.ru/f26/t6442/#post37758 мне нужнен будет от каждой машины архив virusinfo_syscure.zip
Приготовь дистрибутив Windows XP SP2 (по поводу дистрибутива это я не пугаю переустановкой это так надо)

Борман

Попробуй скачать Live CD с Вебом по зтой ссылке ftp://ftp.drweb.com/pub/drweb/livecd/ и по очереди грохнуть вирусню на каждой машине отдельно,предварительно отцепившись от сетки.Потом отпишись

01pump

Борман, Он уже скачал это

Endrew

winshelp,вот здесь можно взять sp-2 http://qiq.ru/20/07/2008/operating_s...hnyy_disk.html

Борман

Sorry!!!!!!

winshelp

Ребята, спасибо всем за помощь, почистил все 4-ре машины от вируса !!!
----
Спасибо Iljeben за программу, правда скачивал я её с сайта Касперского, подумал может там самая свежая версия.
Помогла программа sality_off!!!!!!!!
Прикольная штучка в борьбе с этим Sality, профиксила все левые ключи реестра и вылечила зараженные файлы!
-----
Поначалу немного побаивался что прога не умеет лечить, а может поудалять ценные для фирмы проги,
но все прошло успешно и программа полечила зараженные файлы!!!
Ущё раз всем спасибо, все прошло успешно, и люди остались довольны!!!

01pump

winshelp, Эээ ммм я бы не стал торопиться ... Вы после лечения использовали дистрибутив windows?

winshelp

01pump, вы имеете ввиду sfc/scannow?
Я, пока поставил у них утилиту Sality в автозагрузку с ключём -m (слежение) и договорились, что я загляну через два дня и посмотрю как у них обстоят дела, если все нормально то уберу Sality c автозакрузки.
01pump, подскажите лучше как научиться самому писать скрипты для AVZ.
Вы как научились?
А то неохото идти на обучение в virus.info, они как вроде этому учат.
Я конечно не программер, но немного пишу батники, знаю HTML и маленько PHP - может этих навыков будет достаточно!

01pump

Дело тут даже не в автозапуске sality -off а в анализе логов с avz. Только по ним можно определить активность (наличие) заразы.
Да, я имел ввиду sfc /scannow
ЗЫ Ну и как вы себе представляете обучение при полном нежелании учиться? Это как?

winshelp

01pump, желание учиться есть!
Sorry, не правильно высловился!

01pump

Велкам на virusinfo Других ВУЗов не знаю

winshelp

Thank you!
Подал заявку на вступление!