Virut и Sality - информация и почистване

[dixi]

Два въпроса:

1. Въпросните гадинки могат ли да заразят имидж на дял, направен с Acronis True Image и съхранен в Secure Zone? В крайна сметка това също е архив, макар и тази област да е (уж) недостъпна за програми под Windows.

2. Съответно, ако отговорът е отрицателен, при връщане на чист имидж има ли вероятност за някакви остатъци?

[Night_Raven]

1. Не съм сигурен, но мисля, че не би трябвало архиви на Acronis True Image да са засягани от вирусите.

2. Ако съм прав и не са, също не би трябвало и да има останки по дяла, който се възстановява (обикновено това е системният). По другите обаче ще има разбира се.

[Slammer]

Два въпроса:

1. Въпросните гадинки могат ли да заразят имидж на дял, направен с Acronis True Image и съхранен в Secure Zone? В крайна сметка това също е архив, макар и тази област да е (уж) недостъпна за програми под Windows.

2. Съответно, ако отговорът е отрицателен, при връщане на чист имидж има ли вероятност за някакви остатъци?

1. Въпросните гадини не могат да заразят архив, който се намира във зоната за сигурност!

Не могат да заразят и имидж, който НЕ се намира в зоната на сигурност!

Но можеш да имаш заразен имидж, когато по време на самото му създаване, windows-a ти е бил заразен.

Например: Имаш 3 имиджа в зоната за сигурност и последният от тях е заразен, понеже докато си го създавал, системата ти е била заразена. Та този заразеният имидж не може да повлияе на останалите имиджи и да ги зарази, независимо дали се намират в зоната за сигурност или не.

 

2. Както и Night_Raven спомена, при връщане на чист имидж, във системният ти дял няма да имаш никакви остатъци от вируси, шпиони......, но е напълно възможно да имаш такива по другите дялове. (Обикновено повечето паразити обичат да си правят точки на възстановяване и при рестарт на РС-то, тихомълком се възстановяват. Затова е препоръчително тази функция/System Restore/ да се изключва за дялове различни от системния. Някои потребители дори напълно изключват тази функция). Все пак това е основната идея на програмите от този тип e да върнеш системата си в работещо състояние и то за минути!

[dixi]

Благодаря за отговорите. Исках да съм сигурен в невъзможността за заразяване на имидж на дял, в противен случай цялата процедура губи смисъл.

Налага се да поддържам компютрите на приятели и колеги и хич не ми се занимава с чистене на гадории и преинсталации.

[Slammer]

Доста се чудих дали да не направя една тема, но ако случайно тази се разрасне, може да се направи отделна тема.

 

Ето за какво става дума:

 

РС-то на един приятел се оказа заразено с Vitro (явно е част от фамилията Virut), при което са пострадали всички .exe файлове и влизането във нормален режим е невъзможно поради причина, че explorer.exe е заразен и дори при опит да се стартира ръчно, процеса бива "убит", което налага да се работи единствено под "safe mode", където явно Vitro-то не може да си развява байрака...

 

Кратка проверка из гугъл, показа, че проблема съществува от няколко месеца, но на практика, поради "полиморфността" на тази гад, трудно се намира решение на проблема. (Някои от потребителите са стигнали до пълен формат на хардовете си, което си е един малък ад....)

Лошото в случая е, че известните програми мълчат, когато стане дума за тази гадост

Нод32 4 - намира няколко файла, които не може да изчисти

Аваст 4.8.1335 (домашната версия) - също намира вируса, но също не може да почисти

Avira AntiVir Personal 9.0.0.394 - тя дори и нищо не откри...

 

Програми от рода на Malwarebytes, Superantispyware, Gmer, Hijackthis - не откриват нищо подозрително, а combofix при опит за стартиране под safe mode, бива "убит", като изкарва прозорче без надписи, но с бутон "ОК", а в последствие файла се самоизтрива!?!

 

Може би тук е мястото да спомена, че програмите, които съм ползвал имат актуални дефиниции. Временните файлове са изтрити, както и System Restore е изключен.

 

В момента съм пуснал безплатния инструмент на drWeb - cureit, който до момента показва, че изчистил над 400 - .ехе файла. Ще видим след рестарта, дали ще си влезе нормално или не.

 

Та ако някой може да помогне или иска да тестваме нещо, да казва, че утре ще играе секирата...

[B-boy/StyLe/]

Под safe mode ?

 

Подобна твар се мори с LiveCD...Пробвай с Kaspersky Rescue CD, Dr.Web LiveCD, Avira Rescue CD (странно, че при теб не е засякла нищо, като в енджина и ежедневно се добавят варианти на Virut.Gen).

 

http://forums.softvisia.com/index.php?s=&a...ost&p=70159

 

Пробвал ли си всичко от темата ? В един мой пост малко по-нагоре има едно филмче затова какво може да се предприеме в подобна ситуация. Дори са използвали COMODO...

 

Ако успееш да се добереш до Normal Mode пробвай да стартираш Combofix. Ето тук съм го преименувал на lookatme:

 

http://4storing.com/74ajug/a978a6a0e8f71ff...49a5403e64.html

[Гост tnn]

Срещу фамилията Virut и австрийските програми са с добро справяне - аз бих започнал със задълбочената проверка с A-squared 4 Free - заради сканирането с двата енджина.Тази програма не би навредила. И Twister Anti-TrojanVirus съм инсталирал при такава подобна бъркотия и става интересно - но резултатът не подлежи на прогнозиране. Поне има емоции. Поздрави

[Slammer]

Благодаря за предложенията!

 

След продължителното сканиране със CureIt, успех да вляза в нормален режим, откъдето си пуснах ComboFix (от доста време ги преименувам, заедно със HiJackThis, SmithfraudFix, Gmer/той си идва преименуван/).

Та комбото намери една дузина съмнителни файлове, пожела да се рестартира и отново влезе в windows режим.

Пуснах същата програма на Dr.Web - CureIt, която откри нови файлове, заразени със същия вирус

 

Та реших да опитам отново продукта на Avira - Avira Rescue CD, който въпреки описанието, че се обновява по няколко пъти на ден, излезе, че версията към днешна дата е от 27.05.2009, нещо и ъпдейта на дефинициите се издъни (явно днес съм карък...), но все пак пуснах програмата да провери състоянието на РС-то.

Оказа се чисто! (същото си го помисли и Avast-a).

A-squared 4 Free - освен продължителното сканиране и намирането на разни trace-та от няколко игри, не откри нищо друго.

Dr.Web - обаче след всеки рестарт на РС-то, все намира по някоя гадинка, чак започвам да се съмнявам в неговите действия, въпреки, че на практика, той ми "оправи" системата. (за последно се оказа, че combofix, gmer и hijackthis са заразени със Vitro.56, но поне системните файлове се оказаха чисти, което пак е постижение)

Допълнително положението се влоши, понеже някои системни програми отказаха да се стартират(визирам control panel, звуковата иконка в трея стои единствено за красота...., мр. карта се изключва(disable) и единствено рестарта на компа, оправя положението и други програми...).

Тук предполагам, че Dr.Web е виновен, понеже той каза, че си е изчистил заразените .exe файлове.

 

Сега пуснах един repair, да видим дали ще се оправи положението....

[Ken]

Сега пуснах един repair, да видим дали ще се оправи положението....

 

Можеше и един sfc /scannow да пуснеш

[Slammer]

Можеше и един sfc /scannow да пуснеш

Рипеър-а за завърши със чудесен син екран - 0x0000004F

То за моженето - много работи можеха да се направят. Но може би трябваше директно да му ударя брадвата и да не губя времето на никой...

 

Все пак благодаря за отделеното време, както и за съветите, които ми предложихте!

[B-boy/StyLe/]

Рипеър-а за завърши със чудесен син екран - 0x0000004F

То за моженето - много работи можеха да се направят. Но може би трябваше директно да му ударя брадвата и да не губя времето на никой...

 

Все пак благодаря за отделеното време, както и за съветите, които ми предложихте!

 

Странно, Dr.Web ги показа като излекувани или ги е затрил ?

Нямаше да е лошо да публикуваш лога от Combofix за да изготвим скрипт при нужда. (освен ако не си го анализирал и сам).

Надявам се не ви вкарвал флашки по време на инфецкята, че най-вероятно така се е получил "омагьосания" кръг".

При такива ситуации винаги използвам инструменти от диск, защото те не могат да се заразят.

И все пак при подобна твар, дори и да се изчистиш пак няма да си напълно сигурен за остатъчните поражения.

Формата е силно препоръчителен (даже за всички дялове, ако и на тях са се съхранявали файлове със следните разширения - .exe/.scr/.htm/.html/.xml/.zip/.rar).

[Slammer]

DrWeb, показа, че е изчистил заразените файлове, но като тествах игрите, които бяха заразени, нито една не тръгна. допълнително, което забелязах и пропуснах да спомена в предния си пост, беше че дори да изключа system restore функцията, след рестарт на РС-то, рестора се включваше

 

Да ти кажа, честно не съм си играл да анализирам файловете, а и като цяло запазих логовете.

Лошото е че си останаха на компа, който беше заразен. (изключих, че трябваше да си ги запиша на RW-то)

Относно инфото, доста се чудих дали да не затрия всичко, но в крайна сметка реших да рискувам и нищо да не трия.

Надявам се че след преинсталирането на windows, последните сканирания със три антивирусни програми - drWeb, Avira Live CD и Avast - показаха че системата е чиста.

В случай, че нещо се е скрило (все пак при такава гад, това е напълно възможно), искрено се надявам, да има повече и по-добри инструменти за почистването и премахването на Vitro.

[nutter]

Аз преди имах Sality и...сега имам. :(

Но преди го имах и на 2-та компютъра, защото не знаех с какво съм заразен и че автоматично се заразяват флаш памети. Та на лаптопа го преборих без да форматирам целия харддиск...а само C:\. Отне ми дни.

Сега тъкмо бях изчистил настолния комп, от който пиша, но си инсталирах една програмка от един архив и ... отново старите симптоми. Сега от инат възнамерявам да се мъча без форматиране да лекувам. Лошото е, че Sality removal tool от АVG или Symantec, не помня точно, (който не стига, но май помага за премахването) не тръгва на 64-bit windows, какъвто ползвам тук.

Иначе ако някой види, че не може да си пуска task manager и да ви рови в регистрите, може би е това.

DrWeb CureIt също наистина е хубава програмка, тя е много ценна в случая.

Та хора, има начин без да форматирате целия хард диск, не се отчайвайте напълно. Не знам дали и други са го открили, но ако някой иска съвет - аз не съм голям компютърджия, но ще кажа каквото знам - да ми пише на alexxgold@abv.bg.

[Slammer]

Можеш направо да си споделиш опита.

Тук във форума, всеки може да споделя знанията, които е придобил, за да не се налага връзка по пощите.

В крайна сметка един коментар(мнение) в дадена тема, ще помогне на повече хора, отколкото ако напишем едно писмо!

 

Добре дошъл във форумите на SoftVisia!

[Night_Raven]

Никой никъде не е казал, че форматирането е единственият начин за премахване. Форматирането е най-сигурният начин за премахване. Т.е. пълното форматиране.

Колкото до преинсталацията, тя е неизбежна, защото дори и вирусите да са премахнати, ще има повредени файлове, а ръчното "запълване на дупките" реално би отнело повече време и би било по-ненадеждно от една преинсталация с форматиране на системния дял. В този случай другите дялове могат да не се форматират, но ЗАДЪЛЖИТЕЛНО трябва да се сканират обстойно с повече от един инструмент за целта. Това не дава гаранции, че всичко ще е чисто, макар да има голяма вероятност да е така. Повредени файлове обаче ще има при всички случаи, така че игри и програми ще трябва да бъдат инсталирани наново така или иначе.

 

За хора с малко или никаква ценна информация по дяловете на практика е по-лесно и по-бързо да нацепят диска наново, отколкото да си играят да чистят. Хора с много информация могат да не форматират останалите дялове, но трябва да са сигурни, че са сканирали добре.