Собственно на первый взгляд проблема не новая, и сам с ней сталкивался не раз. Всегда помогал kidokiller.exe Но в этот раз словил что-то новое. Опять же не грузится не один из сайтов известных антивирусных программ. Что делать? Кто сталкивался?
Возможные решения типа: очистить файл "hosts" не помогло, там все чисто. Скачать и провериться программами "CureIt" и "AVZ 4.32" тоже не помогло, вирусов не найдено. В инэте искал, других решений не нашел, т.к. антивирусника нет, не знаю и что делать. Помогите разобраться.

Последние несколько месяцев в свирепствует вирус, который Kaspersky определяет как VIRUS.WIN32.Sality.z, Dr.Web - win32.sector.5, win32.sector.7, NOD32 определяет его как Win32.Sality.NAR. Подробнее о вирусе (vms.drweb.com/virus/?i=172448).
Даже у опытных пользователей его уничтожение вызывает трудности, в связи с чем и размещен этот материал. Рассмотрим симптомы проявления вируса и способ его удаления из системы.

Симптомы:

Большинство программ перестают работать и "вылетают" с критической ошибкой;
Загрузка в безопасном режиме невозможна - вирус портит ветки реестра;
Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются;
Значительно снижается производительность компьютера;
антивирус может ругаться на то, что в папке temp есть троян, спамбот или подобная дрянь и удаляет его, но после перезагрузки результат тот же.
Особенности вируса:
При своём запуске переводит Internet Explorer в режим online
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
GlobalUserOffline=0
Отключает User Access Control в Windows Vista
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA=0
Прописывает себя в список разрешенных для доступа в сеть в Windows Firewall
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec"
Для хранение своих настроек создаёт ключ в реестре
HKEY_CURRENT_USER\Software\<имя пользователя>914
Добавляет в system.ini случайное значение
[MCIDRV_VER]
DEVICEMB=116402342188
Внедряет свой код в память всех активных процессов;
Удаляет ветки реестра после чего загрузка в Безопасном режиме становится невозможна:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку и файлы наиболее часто запускаемые в системе;
Не заражает системные файлы и файлы в папках содержащих в имени "SYSTEM" или "AHEAD";
В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:

"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
"ANTIVIR"
и др.;

Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit";
Cкачивает и запускает другие вредоносные программы из сети;
В зависимости от модификации может при помощи своего драйвера блокировать доступ к сайтам содержащим в названии:

"kaspersky"
"eset.com"
"f-secure."
"mcafee."
"symantec."
"etrust.com"
"trendmicro."
"sophos."
"virustotal."
"agnmitum. "
"pandasoftware."
"bitdefender."
"spywareguide."
"windowsecurity."
"virusscan."
"ewido."
"spywareinfo."
"onlinescan."
"drweb."
"cureit."

Лечение

Скачиваем Dr.Web CureIt! (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe)* (если это возможно) или качаем его с незараженного компьютера и записываем на CD/DVD или флешку с защитой - дабы вирус не мог испортить программу;
Отключаемся от сети;
Чиним реестр с помощью установки ключа (kadets.info/attachment.php?attachmentid=19099&stc=1&d=1224076432), приложенного в аттаче. Соглашаемся с внесением изменений в реестр.
Загружаемся в безопасном режиме, удерживая некоторое время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен "Безопасный режим".
Лечим компьютер от вирусов. Для этого вставляем диск (флешку) с записанным Dr.Web CureIt! и проводим полную проверку компьютера, выбирая для зараженных файлов «Вылечить, переместить неизлечимые».
Перезагружаемся в обычном режиме.
Вновь проводим полную проверку установленным антивирусом.

* Вместо Dr.Web CureIt! можно воспользоваться любым LiveCD, например, тем же Dr.Web® Live CD (ftp://ftp.drweb.com/pub/drweb/livecd/) или любым другим, содержащим набор антивирусных программ с актуальными базами.

Источник
==============

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

==================

"Скачайте и запишите на CD-болванку (там они не досигаемы для вируса) Curelt и Sality Cleaner. Прямо с диска - не копируя на свой компьютер - запустите на исполнение."

=================

Несколько раз по работе я сталкивался с особо опасным вирусом – VIRUS.WIN32.SALITY.AA, либо в классификации Dr.Web – WIN32 SEKTOR 17. Обычно такие встречи оказывались очень неприятными, потому что компьютеры, которые были им заражены, оказывались с ценными программами типа клиент банка и разнообразными настройками и сносить винду было делом проблематичным.Однако я не терял надежду и нашел способ лечения Virus.Win32.Sality.aa
Типичные признаки Virus.Win32.Sality.aa
- Не устанавливается антивирус Касперского
- При попытке открыть диспетчер задач выдает – «диспетчер задач отключен администратором»
- При попытке открыть реестр – реестр заблокирован
- При попытке открыть сайт Касперского либо других антивирусов – пишет – узел недоступен.
- Невозможно запустить другие антивирусные утилиты – AVZ4 и пр.
- Невозможно загрузить безопасный режим
Типичные способы лечения Virus.Win32.Sality.aa
- Снести винду и отформатировать диск c: – может помочь, если сразу потом поставить каспера, обновить и начать лечение Virus.Win32.Sality.aa и других вирусов
- Попытаться отписать на форум поддержки, с указанием логов avz4, местные спецы анализируют их и бросают тебе скрипты лечения Virus.Win32.Sality.aa
Мои попытки лечения Virus.Win32.Sality.aa.
Пошел по второму пути, отписал на форуме, мне посоветовали использовать KAV Rescue Disk – , это диск 100 мб который записываешь как образ на CD-R и загружаешься с него. Там загружается линукс с предустановленной утилитой Касперского, которая обновляется и лечит вирусы, а в моем случае происходило лечение Virus.Win32.Sality.aa. Похоже на то, когда снимают винчестер и лечат его на другом компьютере. Успеха мне эта попытка не принесла, убив без малого 2 часа и найдя около 30 тел вируса, я стал искать другие методы. И нашел. Называется она SalityKiller . Должна лечить эту модификацию вируса Virus.Win32.Sality.aa, с чем вроде бы справляется, но дело в том, что вирус очень живучий и так просто его не убьешь – он генерирует сам себя и заражает все файлы, которые загружаются в оперативную память, таким образом, заражается и SalityKiller – подробно описано как ее использовать, но, подчеркну, что применение ее без других методов лечения Virus.Win32.Sality.aa пользы не принесет.
А теперь переходим к самому сладкому..
Лечение Virus.Win32.Sality.aa
делать все точно, так, как описано, и ни разу не отклоняться от мануала!
1) Во первых для лечения Virus.Win32.Sality.aa нам нужен софт:1) Dr.Web Cureit! – ,
2)AvpTool (от Касперски) 3)Cпец. утилиту от Каcперского “SalityKiller” и ветки реестра для восстановления безопасного режима Sality_RegKeys.zip . 4) Утилиту AVZ 4 Олега Зайцева. 5) Утилиту ATF Cleaner

Весь этот софт нужно качать только на чистом от вирусов компьютере и желательно записать на болванку, чтобы вирус не мог изменить данный софт. Но я лечил с флэшки и вылечил. Также нам понадобится диск типа Live CD, либо можно использовать любой другой, который позволит загрузиться в оболочке и запустить программы не запуская при этом виндовс. Я использовал минск информ и Windows PE и с нее занимался лечением Virus.Win32.Sality.aa.
2) Следующий шаг – загружаемся в обычном режиме – в безопасном вы все равно не сможете и отключаем восстановление системы.
3) Загружаемся с нашего загрузочного диска Live CD
4) Заходим в любую папку и включаем показ скрытых и системных файлов (сервис> свойства папки > вкладка вид, галочку поставить на “Отображать содержимое системных папок”, убираем галку на “Скрывать защищенные системные файлы”, ставим галку на “Показывать скрытые файлы и папки”.)
5) Заходим на каждый раздел нашего жесткого диска и ищем папку System Volume Information – заходим в нее и удаляем там все, это не нанесет никакого вреда компьютеру. Также на каждом разделе ищем папку RECYCLER и тоже все удаляем. Также можно почистить папку TEMP в каталоге windows и на диске с. Ну и если совсем не влом то можно почистить временные файлы интернет експлорера или оперы или и того и того.
6) С диска запускаем утилиту Dr.Web Cureit! Ставим в настройки – изменить настройки – типы файлов – сканировать все файлы, файлы в архивах. Вкладка действия-инфицированные лечить, неизлечимые – удалить. Там же снимаем галочку с запроса подтверждения. Жмем ок и запускаем полную проверку. Ждем. Когда все вылечит, закрываем программу.
7) Запускаем SalityKiller. Лечим вирусы. Ждем, пока не появится надпись, что все завершено.
Далее советуют запустить для пущей уверенности AvpTool, я запускал, однако он прошелся по выжженной земле, буквально ничего не найдя.
9) Загружаем нашу родную windows, которая недавно была поражена вирусами. Заходим на диск с софтом, который вы записали, ищем утилиту SalityKiller, нажимаем на ней правой клавишей мыши, и отправляем ярлык на рабочий стол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, правой клавишей нажимаем и меняем его имя, пишем SalityKiller.exe -m бросаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей по папке Автозагрузка, нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.
10) Перезагружаемся. При загрузке сразу начинает работать SalityKiller и вычищать все, что осталось, но у меня ни осталось ничего.
11) Далее открываем AVZ4 с диска, и жмем – файл – восстановление системы, там нажимаем на пункты 8, 10, 11, 13, 17 и жмем выполнить.
12) Затем открываем Sality_RegKeys, выбираем версию операционки – в моем случае – SafeBootWinXP.reg, выполняем его.
13) Перезагружаемся. Опять проверяемся салити киллером на возможность леченияVirus.Win32.Sality.aa каким то чудом оставшихся в живых, и убираем его из автозагрузки.
14) Запускаем утилиту ATF-Cleaner, ставим все галочки, а затем “Empty Selected” (очистить).
15) Затем можно устанавливать Касперского.
Все тут уже все практически вылечено, однако многие системные файлы поврежденыв связи с лечением Virus.Win32.Sality.aa, и могут начаться глюки с работой.

В связи с чем, рекомендую поставить винду поверх. На диске минскинформа этот вариант есть. Когда доходит до выбора дисков, установка виндовс говорит, что обнаружены предыдущие версии винды и не хотите ли вы их полечить, нажав на букву R? Выбираем и начинается установка винды поверх, что мало отличается от обычной установки винды, за исключением лишь того что все настройки программы и прочее останутся.
Все! Мы вылечили этот злосчастный вирус. Я потратил на лечение Virus.Win32.Sality.aa около 6 часов, правда тут зависит от объемов дисков и скорости компьютера.

Источник

Источник: http://chaika2.ucoz.ru/publ/antivirus_ne_obnovljaetsja_ne_zagruzhajutsja_sajty_antivirusnykh_kompanij_virus_win32salityn