Как удалить?

-fan-sat-

Астроном
AdSubscribe

AdSubscribe - это классическая adware программа. :]

После заражения компьютера она прописывается в автозагрузку, причём использует довольно редко встречаемый способ. В результате чего постоянно показывается назойливая реклама, даже если никакой браузер не запущен.

Выполните следующие инструкции для удаления AdSubscribe

1. Удаление основных частей AdSubscribe.:d

  • Скачайте программу Avenger.
  • Распакуйте её на Рабочий стол.
  • Запустите Avenger.
  • Скопируйте ниже приведённый текст в Input script Box:

-----------------------------------------------------------------------------------

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AdSubscribe

Folders to delete:
%appdata%\FieryAds
%appdata%\AdSubscribe


-----------------------------------------------------------------------------------

  • Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
  • Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

2. Удаление остальных паразитов, которые могли попасть на ваш компьютер вместе с AdSubscribe.

* Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите. (Полезная штука нащелкала 12 зараженных обектов, NOD32 с последними обновлениями их невидел)
* Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
* Откройте вкладку Сканер, и кликните по кнопке Проверить.
* После сканирования кликните OK, вам будет показан результат сканирования.
* Удалите всё что было найдено.



Проверено! 100% очистка! !good! Главное делать все по инструкцие.
 

Вложения

  • avenger.zip
    708 KB · Просмотры: 27
  • Malwarebytes Anti-Malware.rar
    3,7 MB · Просмотры: 33
Последнее редактирование:

-fan-sat-

Астроном
csrcs.exe

csrcs.exe - Компьютерный вирус (Как его удалить?)

Название вируса - Trojan-Downloader.Win32.AutoIt.fn (в нотификация Касперского) или Win32.HLLW.Autoruner.2815(в нотификации DrWeb цифры в окончании могут быть разными). Вирус, однако, известен под именем своего исполняемого тела, которое лежит в папке %System% - csrcs.exe

Данный вирус – троянская программа, нарушающая работоспособность компьютера, написанная в виде приложения Windows (PE EXE-файл). Троянец содержит в себе встроенного IRC-бота, с помощью которого "плохие люди" могут получить доступ к компьютеру пользователя. Заразив компьютер, вирус, используя локальную сеть, старается размножить себя по всем доступным сетевым ресурсам (что самое отвратительное, на компьютерах организаций).

Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, kht, khs. У меня есть подозрение, что таким образом он оставляет отметку о своем существовании на данной машине.

Естественно, вирус детектируется и удаляется любым современным антивирусом с обновленными базами. Например, используемый мной на работе антивирус DrWeb прекрасно справляется с этой напастью.

Здесь я хочу рассказать, как проверить свою машину на наличие этого вируса, научить вручную удалять вирус (бывает надо и такое, когда антивирус в упор не видит этот файл как вирус). Возможно, статья поможет и тем, у кого после лечения вируса при загрузке системы возникает сообщение о невозможности запустить csrcs.exe. Такое бывает, когда антивирус засек вирусную программу по происшествии некоторого времени и вирус успел "окопаться в системе".

Нажмите Ctrl-Alt-Delete, выберите вкладку процессы, чтобы посмотреть, какие процессы у вас запущены. И если вы видите, что под вашим логином запущен процесс csrcs.exe, знайте, ваш компьютер заражён. Но учтите, что есть такой системный процесс как csrss.exe, (он запущен от имени системы, разница только в одной букве, присмотритесь внимательнее csrCs.exe - это вирус, csrSs - это системный процесс). Кликните правой кнопкой мыши на процессе csrcs.exe и в появившемся меню выберите “Завершить процесс”.

Затем, запустите проводник, если вы не знаете как это сделать, то нажмите кнопку с флажком Windows, это между Alt и Ctrl и кнопку E… Т.е. комбинацию клавиш Win+E. В этом случае запустится “проводник”. На панели инструментов найдите “поиск”. Нажмите. Затем в левой панели введите csrcs.exe, затем ниже нажмите кнопку “Найти”. Далее в результатах поиска, если что-то появилось, это нужно будет удалить. А именно выбираем найденный файл правой кнопкой и в выпадающем меню выбираем “удалить”.

Но это не всё. Что бы при загрузке компьютер не ругался на то, что он не нашёл файл “csrcs.exe“, нужно выполнить следующее. Нажимаем на “Пуск”->”Выполнить”, пишем там “regedit” (без кавычек). Откроется окно редактора реестра. Нажимаем F3 для поиска необходимых строчек. В строке запроса пишем “csrcs” опять же без кавычек и нажимаем “Найти далее”.

Все найденные строки необходимо удалить из реестра. А именно, в правой половине редактора реестра нужно правой кнопкой мыши нажать на строке, содержащей “csrcs” и выбрать в выпадающем меню “удалить”. Обычно это около пяти строк. После того, как вы проделаете все эти процедуры, рекомендую перезагрузиться и обязательно обновить антивирус, какой бы он у вас не стоял.

Такие вот рекомендации, как удалить вирус csrcs.
 

sasryzh

Пользователь
Кто знает как удалить вот этих троянов!!!autorun.inf >>>>> Trojan-PSW.Win32.OnLineGames.mif
dosocom.com >>>>> Trojan-PSW.Win32.OnLineGames.mif При удалении пишет защищеный обьект недает удалить!!! Пробовал Авторун ,унлокер,AVZ,через безопасный режим в обход виндовз пробовал!!! Ничего невыходит защищеный обьект пишет снимите защиту!!! Вирус на флешке!!! Кстати Нод ,каспера, доктор веб с последними базами я тоже пробовал!!! Мож кто что посоветует!!!!
 

-fan-sat-

Астроном
Кто знает как удалить вот этих троянов!!!autorun.inf >>>>> Trojan-PSW.Win32.OnLineGames.mif
dosocom.com >>>>> Trojan-PSW.Win32.OnLineGames.mif При удалении пишет защищеный обьект недает удалить!!! Пробовал Авторун ,унлокер,AVZ,через безопасный режим в обход виндовз пробовал!!! Ничего невыходит защищеный обьект пишет снимите защиту!!! Вирус на флешке!!! Кстати Нод ,каспера, доктор веб с последними базами я тоже пробовал!!! Мож кто что посоветует!!!!

Threat Name : Trojan.PSW.Win32.OnLineGames.Mif

Alias : Troj/PSW.Win32.OnLineGames-Mif, Trojan.PSW.Win32.OnLineGames.Mif, TROJ_PSW.WIN32.ONLINEGAMES.MIF, PSW.Win32.OnLineGames.Mif, PSW.Win32.OnLineGames.Mif Trojan

Threat type : Trojan

Threatlevel : Low

Threat details :

Trojan.PSW.Win32.OnLineGames.Mif is a Trojan. This is a security risk and you should remove this threat immediately. Otherwise it may cause data loss or other misbehavior including performance degradation. It is highly recommended that you run Solo antivirus to remove this Trojan.PSW.Win32.OnLineGames.Mif along with any other Viruses, Trojans, Worms, Adware, Spyware, Rootkits, and Malicious software.

Вредоносная программа, относящаяся к семейству троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 52738 байт. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл под различными именами в корневой и системный каталоги Windows:

%System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe

Троянец изменяет значения ключей реестра на следующие:

[HKCR\.bfc\ShellNew]
"Command" = "%System%\rundll32.com
%System%\syncui.dll,Briefcase_Create %2!d! %1"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"

[HKCR\cplfile\shell\cplopen\command]
@ = "rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

[HKCR\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

[HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

[HKCR\Drive\shell\find\command]
@ = "%WinDir%\explorer.com"

[HKCR\ftp\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com\" %1"

[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@ = "%Program Files%\Internet Explorer\iexplore.com"

[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"

[HKCR\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"

[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\Common Files\iexplore.pif -nohome"

[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"

[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKCR\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"

[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"

[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

[HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"

[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\common~1\iexplore.pif -nohome"

[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"

[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"

[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"

[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = "%WinDir%\WINLOGON.EXE"

[HKCR\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"

[HKLM\SOFTWARE\Classes\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"

[HKCR\scriptletfile\Shell\Generate Typelib\command]
@ = "%System%\finder.com %System%\scrobj.dll,GenerateTypeLib %1"

[HKCR\telnet\shell\open\command]
@ = "finder.com url.dll,TelnetProtocolHandler %l"

Таким образом, троянская программа будет запускаться каждый раз при попытке открытия пользователем файлов некоторых типов, запуске различных приложений, открытии логических дисков при помощи «Проводника» Windows, вызове интернет-ярлыков или веб-ссылок.

Деструктивная активность

В случае если на зараженном компьютере запущена онлайн-игра «World of Warcraft», троянец определяет, откуда был запущен процесс «wow.exe», и считывает содержимое следующих файлов в рабочей папке игрового клиента:

realmlist.wtf
update.ini

Также троянец следит за клавиатурным вводом пользователя на следующих интернет-страницах:

eu.logon.worldofwarcraft.com
tw.logon.worldofwarcraft.com
us.logon.worldofwarcraft.com

Троянец ищет в системе процесс с именем «woool.exe», определяет, откуда тот был запущен и считывает содержимое следующих файлов в рабочей папке программы:

\data\woool.dat
\data\game.ini
\data\*.update
update.lib.scf
\data\WOOOL88.DAT
\data\WOOOLe88.DAT

Собранную информацию троян отсылает на сайт злоумышленника.

Также троянская программа завершает процессы, которые содержат в своих именах следующие строки:

RAVMON
TROJDIE
KPOP
CCENTER
ASSISTSE
KPFW
AGENTSVR
KV
KREG
IEFIND
IPARMOR
SVI.EXE
UPHC
RULEWIZE
FYGT
RFWSRV
RFWMA
TROJAN
MMSK
 

Вложения

  • Solo Antivirus Software 8.0.rar
    3,4 MB · Просмотры: 20
  • anti_autorun.rar
    170,6 KB · Просмотры: 11
Последнее редактирование:

sasryzh

Пользователь
Добрый вечер!!! Скачал программы которые вы предложили таже ситуация невозможно удалить фаел снимите защиту!!! Как это зделать???? И что это может быть!!!
 

-fan-sat-

Астроном
Добрый вечер!!! Скачал программы которые вы предложили таже ситуация невозможно удалить фаел снимите защиту!!! Как это зделать???? И что это может быть!!!

У меня этого вируса небыло, поисковик выдал такие данные. Основные рекомендации идут на соло антивирус, он у тебя обновился? anti_autorun.rar тоже не реагирует (хотя коегде были отзывы что он лупит этот вирус)? _h**p://satsat.info/antivirusy-bezopasnost/7620-reshenie-problem-s-virusami-18.html здесь пишут что помогло.

Пробуй поисковиком по инету проГУГЛятся, я эще не имел дело с этим вирусом.
 
Последнее редактирование:

Михаил Евгеньевич

Модератор ORTON x403p
Команда форума
скажите а вирус Saluty он находит??
так как салити тоже плохая КАКА и с ним тоже нужно помучаться
спрашиваю ради интереса(поборол другими методами)
 

-fan-sat-

Астроном
скажите а вирус Saluty он находит??
так как салити тоже плохая КАКА и с ним тоже нужно помучаться
спрашиваю ради интереса(поборол другими методами)

Для того чтоб утверждать надо в этом убедится на практике, слава богу не сталкивался. Но коечто нашел:

Удалось справиться с Win32/sality.nao, таким способом:
Вот ссылка, где столкнулись с той же проблемой http://virusinfo.info/showthread.php?t=21735
1 Восстановил безопасную загрузку Виндовс (сервис пак 2), скачал AVZ,
После этого выполнил скрипт в АVZ
begin
SetAVZGuardStatus(True);
ExecuteRepair(10);
RebootWindows(true);
end.
Перезагрузился в безопасный режим.
2 Запустил Нод32 с базами от 20.04, выполнил глубокий анализ. Вирус обнаружился во многих екзешниках, одни вылечились, некоторые Нод снес.
3 Загрузился в обычном режиме, опять выполнил проверку Нодом. Версия Нод32-v3.0.636 официальная русская версия.
Уже две недели как без проблем работаю.

или

такой вариант, ставишь каспера для воркстейшенов версия 690.. именно она а не 830 или 837...копируешь и переименовываешь экзешник... перезагружаешься, после этого копируешь переименованный экзешник в папку с каспером запускаешь его, активируешь на триал...обновляешь и чистишь...пару раз...каспер лечит, а не удаляет...и все
Источник надеюсь поможет. С этими AdSubscribe, csrcs.exeуродам боролся на своей машине.
 
Последнее редактирование:

Михаил Евгеньевич

Модератор ORTON x403p
Команда форума
да нет я уже с ним разобралсо
скачал касперский емергенс СД
автозагрузочный диск на основе Барт ПЕ
и снего просканировал комп
просто ловит ли данный антивирус его интересно
у меня в запасе куча антивирусок
думаю мож еще одну в коллекцию для страховки. ет я про СОЛО
 

-fan-sat-

Астроном
да нет я уже с ним разобралсо
скачал касперский емергенс СД
автозагрузочный диск на основе Барт ПЕ
и снего просканировал комп
просто ловит ли данный антивирус его интересно
у меня в запасе куча антивирусок
думаю мож еще одну в коллекцию для страховки. ет я про СОЛО

Ну тогда понятно. Ты могбы описать процедуру лечения, как говорится на пальцах, для новеньких (хотя мне и так все понятно). Ссылочку выложить на свою зборную антивирей. Это может облегчить комуто задачу в решение проблемы, и с экономить время.
 

Михаил Евгеньевич

Модератор ORTON x403p
Команда форума
"Virus.Win32.Sality - файловый вирус. Заражает исполнимые *.exe файлы размером более 100 кб с увеличением их длины. Иконка файла сохраняется. Вирус заражает файлы, которые запускаются пользователем (иногда вместо заражения файл портится и после этого не запускается), и некоторые случайные файлы. Системные файлы остаются нетронутыми.
Для собственной защиты вирус создает драйвер abp470n5 с путем к файлу system32\drivers\*.sys. После загрузки драйвера файл удаляется. Дамп памяти драйвера имеет размер 8192 байта и детектируется некоторыми антивирусами как Rootkit.Sality.A.
Вирус включает некоторые потенциально опасные службы Windows и разрешает отправку сообщения удаленному помощнику. Безопасный режим блокируется. Запрещается запуск диспетчера задач и редактора реестра. На всех съемных и сетевых дисках вирус создает файл autorun.inf и экземпляр тела с расширением exe или pif. Также вирус выполняет функции трояна-загрузчика, шпиона и кейлоггера.
Лечение вируса возможно в безопасном режиме, если его удастся запустить, или с чистой системы (загрузочного диска). Некоторые антивирусы не умеют лечить зараженные файлы и предлагают их удалить."

Модифицирует (удаляет) файлы антивирусных продуктов с целью препятствия их работе:

%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Agnitum\Outpost Firewall\outpost.exe (Agnitum, Outpost Personal Firewall)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\AntiVir PersonalEdition Classic\avguard.exe (Avira, AntiVir PersonalEdition Classic Service)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Common Files\KAV Shared Files\Avpupd.exe (Kaspersky, Kaspersky Anti-Virus Auto-Updater)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Eset\nod32krn.exe (Eset, NOD32 Virus-Scanner)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Eset\nod32kui.exe (Eset, NOD32 Virus-Scanner)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Kaspersky Lab\Kaspersky Anti–Virus Personal\Avp32.exe (Kaspersky, Kaspersky Anti-Virus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Kaspersky Lab\Kaspersky Anti–Virus Personal\Avpcc.exe (Kaspersky, Kaspersky Anti-Virus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Kaspersky Lab\Kaspersky Anti–Virus Personal\Avpm.exe (Kaspersky, Kaspersky Anti-Virus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Kaspersky Lab\Kaspersky Anti–Virus Personal\kavsvc.exe (Kaspersky, Kaspersky Anti-Virus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Kaspersky Lab\Kaspersky Anti–Virus Personal Pro 5\kavmm.exe (Kaspersky, Kaspersky Anti-Virus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe (Kaspersky, Kaspersky Anti-Virus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\KAV6\KavPFW.exe (Kaspersky, Kaspersky Anti-Virus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\KAV6\KAVSvc.EXE (Kaspersky, Kaspersky Anti-Virus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Norton Internet Security\Norton AntiVirus\SAVScan.exe (Symantec, Norton AntiVirus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Symantec AntiVirus\Rtvscan.exe (Symantec, Norton AntiVirus)
%Program Files%
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)
\Zone Labs\ZoneAlarm\zonealarm.exe (Zone Labs, ZoneAlarm)

Прочие действия
Изменяет следующие ключи системного реестра:

[ HKCU
Ветка системного реестра HKEY_CURRENT_USER
\Software\Microsoft\Windows\CurrentVersion\Internet Settings ]
"GlobalUserOffline" = "0"

Удаляет следующие файлы на зараженном компьютере:

C:\KUKU300a
E:\KUKU300a

Обращается к следующим адресам в Интернете:

http://www.***ns1k.info/mrow309/?id110277578srqqud13416&rnd=110289875
http://www.***q02.com/mrow309/?id110277578srqqud13416&rnd=110294000
http://www.***inator1.com/?id110277578srqqud13416&rnd=110298109
http://www.***ns1k.info/mrow309/?id110277578srqqud13416&rnd=110302218
http://www.***kdcvns3sdsal.info/mrow309....0306328
http://www.***ormat1onupd.info/mrow309....0310437
http://www.***s1jkkk4d.info/mrow309....0314546
http://www.***ki6nd2kdnc.info/mrow309....0318656
http://www.***mcnrwlsdn34fgv.info/mrow309....0322765
http://www.***kud123ncs.info/mrow309....0326875
http://www.***utrustnet.com/?id110277578srqqud13416&rnd=110330984
http://www.***utrustnet.info/?id110277578srqqud13416&rnd=110335093
http://www.***ns1k.info/mrow309/?id110277578srqqud13416&rnd=111021187
http://www.***q02.com/mrow309/?id110277578srqqud13416&rnd=111025296
http://www.***inator1.com/?id110277578srqqud13416&rnd=111029406
http://www.***ns1k.info/mrow309/?id110277578srqqud13416&rnd=111033500
http://www.***kdcvns3sdsal.info/mrow309....1037609
http://www.***ormat1onupd.info/mrow309....1041718
http://www.***s1jkkk4d.info/mrow309....1045828
http://www.***ki6nd2kdnc.info/mrow309....1049937
http://www.***mcnrwlsdn34fgv.info/mrow309....1054031

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

Другие названия ( http://www.securelist.com/ru/descrip...in32.Sality.aa )
Virus.Win32.Sality.aa («Лаборатория Касперского») также известен как:
Virus.Win32.Sality.af («Лаборатория Касперского»)
Worm.Win32.Agent.vu («Лаборатория Касперского»)
Trojan-GameThief.Win32.Magania.gen («Лаборатория Касперского»)
Virus.Win32.Sality.ab («Лаборатория Касперского»)
Virus.Win32.Sality.ab («Лаборатория Касперского»)
Virus.Win32.Sality.ad («Лаборатория Касперского»)
Virus.Win32.Sality.ac («Лаборатория Касперского»)
Worm.Win32.AutoRun.eiy («Лаборатория Касперского»),
Virus: W32/Sality.gen (McAfee)
W32/Sality-AM (Sophos)
W32/Sality.AH (Panda)
W32/Sality.AK (Panda)
W32/Sality.AK (FPROT)
W32/Backdoor2.DAFQ (FPROT)
Virus:Win32/Sality.AM (MS(OneCare))
BackDoor.IRC.Flood.8 (DrWeb)
Win32.Sector.17 (DrWeb)
Win32/Sality.NAU virus (Nod32)
Win32.Sality.OG (BitDef7)
Win32.Sality.AO.Gen (VirusBuster)
Win32.Sality.AP.Gen (VirusBuster)
Win32:Sality (AVAST)
Virus.W32.Sality (Ikarus)
Worm.Win32.Hamweq (Ikarus)
TR/Inject.kcm (AVIRA)
W32.Sality.AE (NAV)
W32/Sality.AQ (Norman)
W32/Sality.AN (Norman)
Win32.KUKU.GEN (Rising)
PE_SALITY.DAM (TrendMicro)
PE_SALITY.EN-1 (TrendMicro)

так вот ета гадость не дает запустить ни диспетчер задач ни редактор реестра виндовса
+ко всему блокирует почти все известные антивирусы(тупо закрывает их)
бороться можно многочисленными методами
но я от себя рекомендую скачать автозагрузочный диск касперского или такой же диск ДР.Вебер Куреит.
Кроме того, удаляет файлы и процессы с именами содержащими:

"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
"ANTIVIR"
"ANTS."
"APVXDWIN."
"ARMOR2NET."
"ASHAVAST."
"ASHDISP."
"ASHENHCD."
"ASHMAISV."
"ASHPOPWZ."
"ASHSERV."
"ASHSIMPL."
"ASHSKPCK."
"ASHWEBSV."
"ASWUPDSV."
"ATCON."
"ATUPDATER."
"ATWATCH."
"AUPDATE."
"AUTODOWN."
"AUTOTRACE."
"AUTOUPDATE."
"AVCIMAN."
"AVCONSOL."
"AVENGINE."
"AVGAMSVR."
"AVGCC."
"AVGCC32."
"AVGCTRL."
"AVGEMC."
"AVGFWSRV."
"AVGNT."
"AVGNTDD"
"AVGNTMGR"
"AVGSERV."
"AVGUARD."
"AVGUPSVC."
"AVINITNT."
"AVKSERV."
"AVKSERVICE."
"AVKWCTL."
"AVP."
"AVP32."
"AVPCC."
"AVPM."
"AVAST"
"AVSCHED32."
"AVSYNMGR."
"AVWUPD32."
"AVWUPSRV."
"AVXMONITOR9X."
"AVXMONITORNT."
"AVXQUAR."
"BACKWEB-4476822."
"BDMCON."
"BDNEWS."
"BDOESRV."
"BDSS."
"BDSUBMIT."
"BDSWITCH."
"BLACKD."
"BLACKICE."
"CAFIX."
"CCAPP."
"CCEVTMGR."
"CCPROXY."
"CCSETMGR."
"CFIAUDIT."
"CLAMTRAY."
"CLAMWIN."
"CLAW95."
"CLAW95CF."
"CLEANER."
"CLEANER3."
"CLISVC."
"CMGRDIAN."
"CUREIT"
"DEFWATCH."
"DOORS."
"DRVIRUS."
"DRWADINS."
"DRWEB32W."
"DRWEBSCD."
"DRWEBUPW."
"ESCANH95."
"ESCANHNT."
"EWIDOCTRL."
"EZANTIVIRUSREGISTRATIONCHECK."
"F-AGNT95."
"FAMEH32."
"FAST."
"FCH32."
"FILEMON"
"FIRESVC."
"FIRETRAY."
"FIREWALL."
"FPAVUPDM."
"F-PROT95."
"FRESHCLAM."
"FRW."
"FSAV32."
"FSAVGUI."
"FSBWSYS."
"F-SCHED."
"FSDFWD."
"FSGK32."
"FSGK32ST."
"FSGUIEXE."
"FSM32."
"FSMA32."
"FSMB32."
"FSPEX."
"FSSM32."
"F-STOPW."
"GCASDTSERV."
"GCASSERV."
"GIANTANTISPYWAREMAIN."
"GIANTANTISPYWAREUPDATER."
"GUARDGUI."
"GUARDNT."
"HREGMON."
"HRRES."
"HSOCKPE."
"HUPDATE."
"IAMAPP."
"IAMSERV."
"ICLOAD95."
"ICLOADNT."
"ICMON."
"ICSSUPPNT."
"ICSUPP95."
"ICSUPPNT."
"IFACE."
"INETUPD."
"INOCIT."
"INORPC."
"INORT."
"INOTASK."
"INOUPTNG."
"IOMON98."
"ISAFE."
"ISATRAY."
"ISRV95."
"ISSVC."
"KAV."
"KAVMM."
"KAVPF."
"KAVPFW."
"KAVSTART."
"KAVSVC."
"KAVSVCUI."
"KMAILMON."
"KPFWSVC."
"KWATCH."
"LOCKDOWN2000."
"LOGWATNT."
"LUALL."
"LUCOMSERVER."
"LUUPDATE."
"MCAGENT."
"MCMNHDLR."
"MCREGWIZ."
"MCUPDATE."
"MCVSSHLD."
"MINILOG."
"MYAGTSVC."
"MYAGTTRY."
"NAVAPSVC."
"NAVAPW32."
"NAVLU32."
"NAVW32."
"NOD32."
"NEOWATCHLOG."
"NEOWATCHTRAY."
"NISSERV"
"NISUM."
"NMAIN."
"NOD32"
"NORMIST."
"NOTSTART."
"NPAVTRAY."
"NPFMNTOR."
"NPFMSG."
"NPROTECT."
"NSCHED32."
"NSMDTR."
"NSSSERV."
"NSSTRAY."
"NTRTSCAN."
"NTXCONFIG."
"NUPGRADE."
"NVC95."
"NVCOD."
"NVCTE."
"NVCUT."
"NWSERVICE."
"OFCPFWSVC."
"OUTPOST."
"PAV."
"PAVFIRES."
"PAVFNSVR."
"PAVKRE."
"PAVPROT."
"PAVPROXY."
"PAVPRSRV."
"PAVSRV51."
"PAVSS."
"PCCGUIDE."
"PCCIOMON."
"PCCNTMON."
"PCCPFW."
"PCCTLCOM."
"PCTAV."
"PERSFW."
"PERTSK."
"PERVAC."
"PNMSRV."
"POP3TRAP."
"POPROXY."
"PREVSRV."
"PSIMSVC."
"QHM32."
"QHONLINE."
"QHONSVC."
"QHPF."
"QHWSCSVC."
"RAVMON."
"RAVTIMER."
"REALMON."
"REALMON95."
"RFWMAIN."
"RTVSCAN."
"RTVSCN95."
"RULAUNCH."
"SAVADMINSERVICE."
"SAVMAIN."
"SAVPROGRESS."
"SAVSCAN."
"SCAN32."
"SCANNINGPROCESS."
"CUREIT."
"SDHELP."
"SHSTAT."
"SITECLI."
"SPBBCSVC."
"SPHINX."
"SPIDERML."
"SPIDERNT."
"SPIDERUI."
"SPYBOTSD."
"SPYXX."
"SS3EDIT."
"STOPSIGNAV."
"SWAGENT."
"SWDOCTOR."
"SWNETSUP."
"SYMLCSVC."
"SYMPROXYSVC."
"SYMSPORT."
"SYMWSC."
"SYNMGR."
"TAUMON."
"TBMON."
"AVAST"
"TCA."
"TCM."
"TDS-3."
"TEATIMER."
"TFAK."
"THAV."
"THSM."
"TMAS."
"TMLISTEN."
"TMNTSRV."
"TMPFW."
"TMPROXY."
"TNBUTIL."
"TRJSCAN."
"UP2DATE."
"VBA32ECM."
"VBA32IFS."
"VBA32LDR."
"VBA32PP3."
"VBSNTW."
"VCHK."
"VCRMON."
"VETTRAY."
"VIRUSKEEPER."
"VPTRAY."
"VRFWSVC."
"VRMONNT."
"VRMONSVC."
"VRRW32."
"VSECOMR."
"VSHWIN32."
"VSMON."
"VSSERV."
"VSSTAT."
"WATCHDOG."
"WEBPROXY."
"WEBSCANX."
"WEBTRAP."
"WGFE95."
"WINAW32."
"WINROUTE."
"WINSS."
"WINSSNOTIFY."
"WRADMIN."
"WRCTRL."
"XCOMMSVR."
"ZATUTOR."
"ZAUINST."
"ZLCLIENT."
"ZONEALARM."

* Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit".

* Cкачивает и запускает другие вредоносные программы из сети.

* В зависимости от модификации может при помощи своего драйвера блокировать доступ к сайтам содержащим в названии:

"kaspersky"
"eset.com"
"f-secure."
"mcafee."
"symantec."
"etrust.com"
"trendmicro."
"sophos."
"virustotal."
"agnmitum."
"pandasoftware."
"bitdefender."
"spywareguide."
"windowsecurity."
"virusscan."
"ewido."
"spywareinfo."
"onlinescan."
"drweb."
"cureit."
так вот такая срань етот вирус...ещё если при его наличии поключить мобильник(с открытой файловой системой) к компу то будет ппц прошиве
:nea:
если нужно вечером выложу все для его уничтожения
 

-fan-sat-

Астроном
так вот такая срань етот вирус...ещё если при его наличии поключить мобильник(с открытой файловой системой) к компу то будет ппц прошиве
:nea:
если нужно вечером выложу все для его уничтожения

Очень познавательная и полезная информация. Благодарен.!good! По возможности выложи.
 

Михаил Евгеньевич

Модератор ORTON x403p
Команда форума
как и обещал выкладываю сцылко на каспера(пришлось на обменник выложить=(( сюда стока не лезет)
еще даю сцылко на Cureit Live CD на официальном сайте
хотя туда салити как раз не пускает=((
поетому кину на всякий случай на обменник
http://depositfiles.com/files/ff9k6uq41
http://www.freedrweb.com/livecd/
http://depositfiles.com/files/kopjm4ooe
 

Karabin

Профи в Сат-ТВ
Virus.Win32.Sality

имел дело с этим зверем, я вначале подумал что машине кирдык :]
 
Сверху