Virus Win32 Sality aa

Методы борьбы с вирусом Sality

Суббота, 03.01.09 15:17 мск


Методы борьбы с вирусом Sality (т.н. "Салитий").

1. Качаем программу от Лаборатории Касперского, называемую "sality_off".
Если ваш компьютер уже заражен вирусом, то программу по прямой ссылке вы скачать не сможете, поскольку вирус блокирует доступ к доменам компаний, занимающихся разработкой антивирусного ПО (таких как "Dr.Web" и "Лаборатория Касперского" в первую очередь). Выход здесь один:
скачиваем эту программу, заменив доменное имя kaspersky.ru на IP, соответствующий данному домену. Узнать его можно, следующим образом на другом компьютере, подключенно к интернету(в Windows XP) : Пуск -> Выполнить -> cmd -> ping kaspersky.ru.
Так же IP можно узнать через зараженный компьютер, используя любой интернет-сайт, предоставляющий услуги трейса.
Получив ip, подставляем его в оригинальну ссылку на файл:
http://support.kaspersky.ru/downloads/utils/sality_off.rar<br />81.177.31.148/downloads/utils/sality_off.rar<br />
2. Качаем антивирус Касперского и CureIT (лучше их иметь заранее в запасниках со свежими базами и на компакт-диске). Про NOD и Avast можно сразу забыть - они умирают сразу.

3. Качаем removeIT и sality_remover.

4. Отключаем все сетевые устройства (проще говоря выдергиваем сетевой кабель) и носители информации: флешки, выносные жесткие диски, фотоаппараты, МФУ и т.п.

5. Запускаем sality.off с ключем -m (распаковываем его из архива в корень диска C):
Пуск -> выполнить -> C:/Sality_off.exe -m
Ждем пока он не сделает полную проверку. Не выключаем его. Запускаем sality_remover,
проверяем, удаляем зараженные файлы. Закрываем его, запускаем RemoveIT, убивавем оставшиеся вирусы. Так же пробегаемся CureIT.
Добавляем ярлык C:/Sality_off.exe -m в автозагрузку.
Устанавливаем Касперский. Перезагружаем компьютер.
Активируем Касперский (пробный ключ на месяц - для этого потребуется подключиться к интернету), включаем полную проверку. Ждем окончания проверки. Зараженных файлов больше не должно остаться.

6. Открываем доступ к диспетчеру задач (taskmgr):
Пуск -> <br />выполнить -> <br />gpedit.msc -> <br />Конфигурация пользователя -> <br />Административные шаблоны -> <br />Система -> <br />Возможности Ctrl+Alt+Del -> <br />Удалить диспетчер задач
Отключаем параметр. Выходим на рабочий стол, нажимаем F5 (обновляем).
Повторяем процедуру, если диспетчер задач не хочет пояявляться при сочетании клавиш Ctrl+Alt+Del.

7. Открываем доступ к редактору реестра (regedit):
устанавливаем проограмму для тонкой настройки Windows (например, Tweak XP),
ставим(убираем) галочку в нужно месте. Готово.

* Чтобы заранее застраховаться от данного вируса, установите на свой компьютер антивирусное ПО и обновляйте базы почаще; отключите Autorun (через реестр, изменив нужный ключ / используя Disable_autorun.reg, либо с помощью любого твикера для Windows); проверяйте свои носители информации, которые собираетесь втыкать в компьютер; храните резервные копии своих дистрибутивов в архивах.

Если Вам помогла статья, пожертвуйте рубль на развитие сайта:


Проверка :)


Kadetoff, я скачал sality_off.rar (что бы не париться скачал с вебфайла)запустил и он всё благополучно удалил. Потом поставил касперского и им прошёлся, а removeIT и sality_remover я не пользовался!
Сейчас всё работает: диспетчер запускается и т.д. Есть ли вероятность, что я не долечил его?

Kadetoff:
Вероятность всегда есть, особенно когда компьютер находится в сетке. Если диспетчер задач открывается и доступ к редактору реестра есть, то это говорит о том, что вирус не активен. После полного лечения обычно доступ к сайтам восстанавливается.


Хотя у меня не заходит на касперский.ру


Cпасибо большое! Ты меня очень выручил! Мой комп вернулся к жизни!


на рабочем столе чисто, пуска нет, что делать?

Kadetoff:
Ctr+Alt+Del что дает? Новая задача -> explorer запускает экплорер?

При заражении дописывает себя в начало файла, изменяет имена секций PE заголовка на цифровые, в порядке возрастания.

Содержит зашифрованные строки. Компьютерный вирус. Является приложением Windows (PE EXE-файл) . Инфицирует файлы с расширением EXE и SCR. Упакован UPX. При запуске зараженного файла из тела вируса извлекается следующий файл:

* %System%\oledsp32.dll — имеет размер 25600 байт

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
    DisableTaskMgr
    0x00000001
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Hidden
    0x00000002
  • HKLM\SOFTWARE\Microsoft\Security Center
    FirewallOverride
    0x00000001

Example 2

File Information

Other vendor detection

Он-же Virus.Win32.Sality.aa был в топе по вируслисту находится на первом месте в 2009 году.

4) Заходим в каждый раздел локального жесткого диска и ищем папку в корне, с названием System Volume Information заходим в нее и удаляем все ее содержимое. Там же, на разделах, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое. Сначала первое потом второе.

5) Запускаем (с диска) утилиту Dr.Web Cureit! жмем настройки >изменить настройки>типы файлов> ставим сканировать все файлы, файлы в архивах. Вкладка действия> Инфицированные> Лечить, Неизлечимые>удалить. На той же вкладке чуть ниже снимаем галочку запроса подтверждения. Жмем кнопку ОК и ставим галку на полную проверку машины, жмем пуск.

6) Пьем чай, курим :) спим :) Время сканирования системы зависит от мощности процессора и обьема сканируемой информации.

7) После сканирования системы Dr.Web Cureit! смотрим на проделанную им работу, сколько гадости нашел и пролечил :)
Закрываем программу.

Пошел по второму пути, отписал на форуме, мне посоветовали использовать KAV Rescue Disk — , это диск 100 мб который записываешь как образ на CD-R и загружаешься с него. Там загружается линукс с предустановленной утилитой Касперского, которая обновляется и лечит вирусы, а в моем случае происходило лечение Virus.Win32.Sality.aa. Похоже на то, когда снимают винчестер и лечат его на другом компьютере. Успеха мне эта попытка не принесла, убив без малого 2 часа и найдя около 30 тел вируса, я стал искать другие методы. И нашел. Называется онаSalityKiller . Должна лечить эту модификацию вируса Virus.Win32.Sality.aa, с чем вроде бы справляется, но дело в том, что вирус очень живучий и так просто его не убьешь – он генерирует сам себя и заражает все файлы, которые загружаются в оперативную память, таким образом, заражается и SalityKiller — подробно описано как ее использовать, но, подчеркну, что применение ее без других методов лечения Virus.Win32.Sality.aa  пользы не принесет.
А теперь переходим к самому сладкому..

Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER\Software\<имя пользователя>914.
Это важно:
У каждого пользователя в реестре создаётся раздел в HKCU\Software\914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей. Раздел с допиской “914″ уничтожить!!! Иначе вирус возродится аки Феникс из пепла.

Распакуйте и запустите утилиту, дождитесь окончания сканирования и лечения. Возможно потребуется перезагрузка компьютера.

При запуске утилиты без параметров выполняется:

  • Поиск и завершение зловредных потоков.
  • Поиск и снятие перехватов функций:
    • NtCreateFile;
    • NtCreateProcess;
    • NtCreateProcessEx;
    • NtOpenFile;
    • NtQueryInformationProcess.
  • Сканирование файлов на всех жестких дисках и их лечение.
  • Параллельно во время сканирования жестких дисков утилита каждые 10 секунд проверяет исполняемые файлы всех запущенных процессов. В случае их обнаружения процессы завершаются, файлы – лечатся.

"spywareinfo."

"onlinescan."

"drweb."

"cureit."

Лечение:

1. Отключите компьютеры от локальной сети (либо измените доступ к каталогам только Чтение), Интернет, отключите службу Восстановления системы.

Virus.Win32.Sality.aa creates the following file(s):

#File NameSizeMD5Detection Count
1
C:\RECYCLER\X-1-5-21-1960408961-725345543-839522115-1003\WinSysApp.exe

376,832

3f4b0395d615b4cd47c8362b9690b9d8

85
2
ekhw.pif

103,140

bcf47ca0bef45488e5f588949ef0a1e3

85
3
qp673812.dll

81,920

72410784cc6a484cc839f254d68e0eea

82
4
dojxqg.exe

103,140

ae598e772a817e538ba1b1bd8e8d4b64

56
5
bd3q0qix.exe

181,760

51
6
winjmxy.exe

19,968

c24411d4e373e19404eb3154f3233ad0

50
7
winkfmc.exe

8,704

f718b5d0f994207183694e207046ac69

47
8
load[1].exe

81,408

426444c904c4d960118913467204ed0d

43
9
ParisHilton[1].exe

7,820,736

42
10
winafoe.exe

17,920

334215be25fe0b1d4ce4286318fd0472

40
11
bnmio.exe

245,248

36
12
bd3q0qix.exe,vamsoft.exe

181,760

e7b53d00459864b22552f7119179fd29

32
13
iii[1].exe

100,864

5fc359ad746100efc0d82d6e1c29f77d

27
14
7g7G8B2C.exe

73,728

f339095d454772ad8cb9c340f13e1678

23
15
sa-643166.exe

195,072

e3bec9eb5e9375f37d681dd17bbbdd4e

17

Наверх