Как вылечить от sality

Рекомендую распечатать этот мануал перед самим лечением Virus.Win32.Sality.aa, повесить данную страницу в закладки вашего браузера, раздавать всем нуждающимся знакомым ссылки на данный мануал и всячески его продвигать – действует безотказно!
Несколько раз по работе я сталкивался с особо опасным вирусом — VIRUS.WIN32.SALITY.AA, либо в классификации Dr.Web — WIN32 SEKTOR 17. Обычно такие встречи оказывались очень неприятными, потому что компьютеры, которые были им заражены, оказывались с ценными программами типа клиент банка и разнообразными настройками и сносить винду было делом проблематичным.Однако я не терял надежду и нашел способ лечения Virus.Win32.Sality.aa
Типичные признаки Virus.Win32.Sality.aa
- Не устанавливается антивирус Касперского
- При попытке открыть диспетчер задач выдает – «диспетчер задач отключен администратором»
- При попытке открыть реестр – реестр заблокирован
- При попытке открыть сайт Касперского либо других антивирусов – пишет — узел недоступен.
- Невозможно запустить другие антивирусные утилиты – AVZ4 и пр.
- Невозможно загрузить безопасный режим
Типичные способы лечения Virus.Win32.Sality.aa
- Снести винду и отформатировать диск c: — может помочь, если сразу потом поставить каспера, обновить и начать лечение Virus.Win32.Sality.aa и других вирусов
- Попытаться отписать на форум поддержки, с указанием логов avz4, местные спецы анализируют их и бросают тебе скрипты лечения Virus.Win32.Sality.aa
Мои попытки лечения Virus.Win32.Sality.aa.
Пошел по второму пути, отписал на форуме, мне посоветовали использовать KAV Rescue Disk — , это диск 100 мб который записываешь как образ на CD-R и загружаешься с него. Там загружается линукс с предустановленной утилитой Касперского, которая обновляется и лечит вирусы, а в моем случае происходило лечение Virus.Win32.Sality.aa. Похоже на то, когда снимают винчестер и лечат его на другом компьютере. Успеха мне эта попытка не принесла, убив без малого 2 часа и найдя около 30 тел вируса, я стал искать другие методы. И нашел. Называется она SalityKiller . Должна лечить эту модификацию вируса Virus.Win32.Sality.aa, с чем вроде бы справляется, но дело в том, что вирус очень живучий и так просто его не убьешь – он генерирует сам себя и заражает все файлы, которые загружаются в оперативную память, таким образом, заражается и SalityKiller — подробно описано как ее использовать, но, подчеркну, что применение ее без других методов лечения Virus.Win32.Sality.aa пользы не принесет.
А теперь переходим к самому сладкому..
Лечение Virus.Win32.Sality.aa
делать все точно, так, как описано, и ни разу не отклоняться от мануала!
1) Во первых для лечения Virus.Win32.Sality.aa нам нужен софт:1) Dr.Web Cureit! — ,
2)AvpTool (от Касперски) 3)Cпец. утилиту от Каcперского «SalityKiller» и ветки реестра для восстановления безопасного режима Sality_RegKeys.zip . 4) Утилиту AVZ 4 Олега Зайцева. 5) Утилиту ATF Cleaner
Весь этот софт нужно качать только на чистом от вирусов компьютере и желательно записать на болванку, чтобы вирус не мог изменить данный софт. Но я лечил с флэшки и вылечил. Также нам понадобится диск типа Live CD, либо можно использовать любой другой, который позволит загрузиться в оболочке и запустить программы не запуская при этом виндовс. Я использовал минск информ и Windows PE и с нее занимался лечением Virus.Win32.Sality.aa.
2) Следующий шаг – загружаемся в обычном режиме – в безопасном вы все равно не сможете и отключаем восстановление системы.
3) Загружаемся с нашего загрузочного диска Live CD
4) Заходим в любую папку и включаем показ скрытых и системных файлов (сервис> свойства папки > вкладка вид, галочку поставить на «Отображать содержимое системных папок», убираем галку на «Скрывать защищенные системные файлы», ставим галку на «Показывать скрытые файлы и папки».)
5) Заходим на каждый раздел нашего жесткого диска и ищем папку System Volume Information – заходим в нее и удаляем там все, это не нанесет никакого вреда компьютеру. Также на каждом разделе ищем папку RECYCLER и тоже все удаляем. Также можно почистить папку TEMP в каталоге windows и на диске с. Ну и если совсем не влом то можно почистить временные файлы интернет експлорера или оперы или и того и того.
6) С диска запускаем утилиту Dr.Web Cureit! Ставим в настройки — изменить настройки — типы файлов — сканировать все файлы, файлы в архивах. Вкладка действия-инфицированные лечить, неизлечимые — удалить. Там же снимаем галочку с запроса подтверждения. Жмем ок и запускаем полную проверку. Ждем. Когда все вылечит, закрываем программу.
7) Запускаем SalityKiller. Лечим вирусы. Ждем, пока не появится надпись, что все завершено.
8) Далее советуют запустить для пущей уверенности AvpTool, я запускал, однако он прошелся по выжженной земле, буквально ничего не найдя.
9) Загружаем нашу родную windows, которая недавно была поражена вирусами. Заходим на диск с софтом, который вы записали, ищем утилиту SalityKiller, нажимаем на ней правой клавишей мыши, и отправляем ярлык на рабочий стол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, правой клавишей нажимаем и меняем его имя, пишем SalityKiller.exe -m бросаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей по папке Автозагрузка, нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.
10) Перезагружаемся. При загрузке сразу начинает работать SalityKiller и вычищать все, что осталось, но у меня ни осталось ничего.
11) Далее открываем AVZ4 с диска, и жмем – файл — восстановление системы, там нажимаем на пункты 8, 10, 11, 13, 17 и жмем выполнить.
12) Затем открываем Sality_RegKeys, выбираем версию операционки – в моем случае — SafeBootWinXP.reg, выполняем его.
13) Перезагружаемся. Опять проверяемся салити киллером на возможность леченияVirus.Win32.Sality.aa каким то чудом оставшихся в живых, и убираем его из автозагрузки.
14) Запускаем утилиту ATF-Cleaner, ставим все галочки, а затем «Empty Selected» (очистить).
15) Затем можно устанавливать Касперского.
Все тут уже все практически вылечено, однако многие системные файлы поврежденыв связи с лечением Virus.Win32.Sality.aa, и могут начаться глюки с работой.
В связи с чем, рекомендую поставить винду поверх. На диске минскинформа этот вариант есть. Когда доходит до выбора дисков, установка виндовс говорит, что обнаружены предыдущие версии винды и не хотите ли вы их полечить, нажав на букву R? Выбираем и начинается установка винды поверх, что мало отличается от обычной установки винды, за исключением лишь того что все настройки программы и прочее останутся.
Все! Мы вылечили этот злосчастный вирус. Я потратил на лечение Virus.Win32.Sality.aa около 6 часов, правда тут зависит от объемов дисков и скорости компьютера.
Источник
#1
saharoz
saharoz
- Posters
- 22 Сообщений:
Newbie
Отправлено 13 Октябрь 2011 – 07:34
Здравствуйте.
Опишу самостоятельное лечение компа от virus.win32.sality.bh.
Хотелось услышать мнение хелперов,а также посмотрите логи после этого лечения.
Диск был разделен на две части ранее(до заражения),С и Е.Acronisом также был сделан ранее(до заражения) образ системного раздела С,и сохранен на раздел Е.
Подхватил эту заразу с переносного диска.Порывшись в сети что можно сделать,сделал следуещее:
Отключил переносной диск от компа.С загрузочного диска от Acronisа восстановил системный раздел С.Потом KIS проверил раздел Е,где был обнаружен Virus.Win32.Sality.bh в нескольких EXE-шниках и вылечены.Далее…
Подключил переносной диск и также прогнал KIS 2010, тоже был обнаружен Virus.Win32.Sality.bh в различных EXE-шниках и вылечены.
Далее KIS 2010 сделал полную,быструю,и проверку обьектов.Все чисто.
Воспользовался SalityKiller.exe ,который тоже ничего не обнаружил.
Скачал Dr.Web CureIt!,и в безопасном режиме(безопасный режим пробовал включать раза четыре,так прочитал что данный вирус блокирует включение безопасного режима,каждый раз включался нормально)просканировал комп полностью,с включенным сканированием архивов, в настройках(правда сканил больше 24 часов).
Dr.Web CureIt тож ничего не обнаружил.
После всего установил Dr.Web Security Space версию 7 и вроде все нормально.
Высылаю логи,посмотрите пожалуйста,неужели удалось избавиться от файлового вируса.
Напрягает это в логе RkU:
>Stealth
==============================================
WARNING: File locked for read access [C:WINDOWSsystem32driverssptd.sys]
Запуск сканера с помощью drweb-scan.bat не произошел.Появилась командная строка,что то там писалось ,но сканер,как описано в правилах ,не запустился.
Хорошая вещь Интернет: 15 минут посидел – полтора часа прошло…
#2
saharoz
saharoz
- Posters
- 22 Сообщений:
Newbie
Отправлено 13 Октябрь 2011 – 11:48
Virus.Win32.Sality.bh–это его определяет касперский….
доктор его же определяет как—win32.sector
Хорошая вещь Интернет: 15 минут посидел – полтора часа прошло…
#3
userr
userr
- Members
- 16 310 Сообщений:
Newbie
Отправлено 13 Октябрь 2011 – 12:02
После всего установил Dr.Web Security Space версию 7 и вроде все нормально.
…
Запуск сканера с помощью drweb-scan.bat не произошел.Появилась командная строка,что то там писалось ,но сканер,как описано в правилах ,не запустился.
c 7-й версией drweb-scan.bat пока не работает. скоро будет.
Сообщение было изменено userr: 13 Октябрь 2011 – 12:02
#4
saharoz
saharoz
- Posters
- 22 Сообщений:
Newbie
Отправлено 13 Октябрь 2011 – 12:27
saharoz, on 13 October 2011 – 12:34, said:
После всего установил Dr.Web Security Space версию 7 и вроде все нормально.
…
Запуск сканера с помощью drweb-scan.bat не произошел.Появилась командная строка,что то там писалось ,но сканер,как описано в правилах ,не запустился.
c 7-й версией drweb-scan.bat пока не работает. скоро будет.Edited by userr, 22 minutes ago.
Ясно.А как с логами..кто нибудь посмотрит?
Хорошая вещь Интернет: 15 минут посидел – полтора часа прошло…
#5
Borka
Borka
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 13 Октябрь 2011 – 13:55
По этим логам ничего подозрительного не вижу.
WARNING: File locked for read access [C:WINDOWSsystem32driverssptd.sys]
это от Демона или Алкоголя.
С уважением,
Борис А. Чертенко aka Borka.
#6
RomaNNN
RomaNNN
- Dr.Web Staff
- 5 940 Сообщений:
Ковальски
Отправлено 13 Октябрь 2011 – 14:05
По этим логам ничего подозрительного не вижу.
ЦитатаWARNING: File locked for read access [C:WINDOWSsystem32driverssptd.sys]
это от Демона или Алкоголя.
А почему доступ к нему залочен?
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.
#7
Borka
Borka
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 13 Октябрь 2011 – 14:41
По этим логам ничего подозрительного не вижу.
ЦитатаWARNING: File locked for read access [C:WINDOWSsystem32driverssptd.sys]
это от Демона или Алкоголя.А почему доступ к нему залочен?
Открывается монопольно.
С уважением,
Борис А. Чертенко aka Borka.
#8
RomaNNN
RomaNNN
- Dr.Web Staff
- 5 940 Сообщений:
Ковальски
Отправлено 13 Октябрь 2011 – 14:54
RomaNNN, 13 October 2011 – 14:05, написал:
Borka написал:По этим логам ничего подозрительного не вижу.
ЦитатаWARNING: File locked for read access [C:WINDOWSsystem32driverssptd.sys]
это от Демона или Алкоголя.
А почему доступ к нему залочен?
Открывается монопольно.
Поясни…
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.
#9
saharoz
saharoz
- Posters
- 22 Сообщений:
Newbie
Отправлено 13 Октябрь 2011 – 15:39
По этим логам ничего подозрительного не вижу.
ЦитатаWARNING: File locked for read access [C:WINDOWSsystem32driverssptd.sys]
это от Демона или Алкоголя.
Что ж спасибо.Значит справился с вирусом.Респект мне!!!
Хорошая вещь Интернет: 15 минут посидел – полтора часа прошло…
#10
Borka
Borka
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 13 Октябрь 2011 – 17:02
RomaNNN, 13 October 2011 – 14:05, написал:
Borka написал:По этим логам ничего подозрительного не вижу.
ЦитатаWARNING: File locked for read access [C:WINDOWSsystem32driverssptd.sys]
это от Демона или Алкоголя.
А почему доступ к нему залочен?
Открывается монопольно.Поясни…
Открывается так, чтобы никто другой не смог открыть. Как-то так:
https://msdn.microsoft.com/en-us/library/windows/desktop/aa363858(v=vs.85).aspx
dwShareMode == 0 – “
Prevents other processes from opening a file or device if they request delete, read, or write access.“
С уважением,
Борис А. Чертенко aka Borka.
#11
pig
pig
- Helpers
- 10 751 Сообщений:
Бредогенератор
Отправлено 13 Октябрь 2011 – 19:40
Крутой это драйвер. Защищается ото всех. Причём не только файл – ключи реестра свои лочит, да ещё и права на них зарезает.
Почтовый сервер Eserv тоже работает с Dr.Web
Источник
27 декабря 2018
Автор
КакПросто!
На компьютере достаточно часто появляются различные вирусы, которые попадают в систему посредством интернета или переносных информационных носителей. Как же найти и удалить на компьютере вирус?
Инструкция
Чтобы удалить вирус sality с компьютера, нужно использовать специальное антивирусное программное обеспечение. В интернете представлен большой ассортимент программ данной категории. Выбирайте на свое усмотрение. Можете почитать отзывы о той или иной программе. Установите в системный локальный диск. На рабочем столе появится ярлык, при помощи которого можно запустить программу.
Если вирус не позволяет вам установить новое программное обеспечение, то нужно действовать другими методами. Попробуйте загрузить персональный компьютер в безопасном режиме. При этом все программы, которые находятся в автозагрузке, будут полностью отключены. Нужно использовать учетную запись администратора, чтобы все операции были доступны для вас без ограничений.
Практически все вирусы прячутся в реестре. При этом они могут маскироваться под различные процессы, которые работают в автоматическом режиме и имеют доступ к автозагрузке. Нажмите «Пуск». Далее нажмите «Выполнить» и введите команду regedit. Пройдите по пути REG DELETE HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /f и проверьте все ветки. Удалите те, которые не относятся к программам и системным процессам. При блокировании придется использовать “Диспетчер задач”.
Откройте «Диспетчер задач» при помощи комбинации клавиш Сtrl+Alt+Dlt Нажмите вкладку «Процессы». Полностью просмотрите список и удалите все те, которые вы не запускали или вообще не устанавливали на компьютере. Если у вас автоматически блокируется данная опция, значит, вирус блокирует все операции, чтобы не дать себя поймать на компьютере.
В этом случае вам нужно записать копию антивируса на компакт диск. Загрузите в интернете или скопируйте с установочного диска файл nod32.exe и все остальные файлы из папки на диск. Перед этим измените файл nod32.exe на nod1132.exe, чтобы вирус не смог опознать и заблокировать знакомые ему данные. Запустите файл и проведите полную проверку системы. Как правило, вирус sality с быстрой скоростью заражает файлы на компьютере, поэтому вам их придется удалить, чтобы полностью стереть вирус и его копии с жесткого диска. Перезагрузите компьютер после проверки.
Войти на сайт
или
Забыли пароль?
Еще не зарегистрированы?
This site is protected by reCAPTCHA and the Google
Privacy Policy and
Terms of Service apply.
Источник
Новости
Железо
Интернет
Коммуникации
Программы
Обзоры
Поиск неисправностей
Довольно часто сталкивался с таким вирусом Sality, в большинстве случаев заражения системы этим вирусом приводил к
переустановке Windows.
Заражение этим вирусом приводит к блокировке диспетчера задач, не удаётся установить отображение скрытых файлов, не отправляется
электронная почта, не запускается антивирус, нельзя зайти на сайты антивирусов и сайты борьбы с вирусами, невозможно скачать
антивирусные программы и не устанавливаются антивирусные программы, распространяется как autorun на все носители, возможно я не всё
описал, что делает этот вирус…
Далее я расскажу, как вылечить компьютер от Sality и произвести антивирусную защиту компьютера, этот метод лечения применяется в тех случаях, если на зараженном компьютере не
установлен ни один из антивирусов, и/или компьютер уже заражен и установить антивирус уже невозможно. Есть два варианта лечения, первый
– это загрузка с загрузочного антивирусного диска и лечение (этот вариант я рассмотрю в другой статье), о втором варианте я подробно
расскажу сейчас.
Утилита SalityKiller .exe (скачать), помогает находить, лечить и удалять только следующие модификации Sality:
Win32.Sality.y
Win32.Sality.z
Win32.Sality.aa
Приступим непосредственно к лечению компьютера от вируса Sality (y/z/aa):
1. Что необходимо для лечения и удаления вируса Sality?
Скачайте файл SalityKiller .zip, распакуйте файл SalityKiller .zip, используя программу – архиватор, например, WinZip, отключите компьютер
от информационной сети и от Интернета, запустите файл SalityKiller .exe с ключом -m
Не закрывайте утилиту пока не будет завершено лечение.
2. Запустите повторно утилиту SalityKiller .exe (без дополнительных команд для запуска утилиты), установите антивирус. Обновите базы
антивируса. При невозможности скачать базы (сигнатуры) через Интернет по каким-либо причинам воспользуйтесь обновлением из архивов,
скачанных с сайта антивируса.
Установите максимальные настройки полной проверки компьютера в антивирусе и запустите полную проверку компьютера.
3. Как узнать вылечили или нет?
Утилита SalityKiller.exe -m при повторном запуске не выявляет признаков заражения (отсутствие строки вида “infected thread
terminated”).
Антивирус запущен и работает в нормальном режиме.
Полное сканирование компьютера антивирусом не выявляет вирусов на компьютере.
4. Исправляем реестр:
скачайте файл Sality RegKeys.zip, распакуйте файл Sality_RegKeys.zip, используя программу-архиватор, запустите файл Disable_autorun.reg
из архива Sality_RegKeys.zip.
Нажмите Да для подтверждения добавления информации в реестр.
После выполнения проверки компьютера необходимо запустить файл ключа реестра из архива Sality_RegKeys.zip, этот ключ даёт
возможность загружаться в безопасном режиме:
для ОС Windows 2000 файл реестра SafeBootWin2k.reg
для ОС Windows XP файл реестра SafeBootWinXP.reg
для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
для ОС Windows Vista файл реестра SafebootVista.reg
Для автоматического запуска утилиты SalityKiller можно сделать так:
нажмите меню Пуск, затем выберите пункт меню Все программы – Автозагрузка нажмите правой кнопкой на меню Автозагрузка, выберите
Открыть, щелкните правой кнопкой мыши в любом месте папки Автозагрузка, затем жмём Создать выбрать подпункт Ярлык.
Нажимаем Обзор, выбираем папку, где находится SalityKiller .exe, выделяем файл SalityKiller .exe и нажимаем OK, в поле Укажите
размещение объекта допишите символы -m. Приблизительно должно выглядеть так: C: SalityKiller .exe -m. Нажимаем кнопку Далее, а затем ОК.
Всё, теперь эта утилита будет автоматически запускаться с ключом -m при загрузке компьютера.
Ключи, которые можно использовать для работы с SalityKiller .exe из командной строки:
-p – сканировать определённый каталог;
-f – сканировать жёсткие диски;
-n – сканировать сетевые диски;
-r – сканировать флешки;
-y – закрытие окна по окончании работы утилиты;
-s – проверка в “тихом” режиме (без вывода консольного окна);
-l – запись отчета в файл;
-v – ведение подробного отчета (необходимо вводить вместе с параметром -l);
-x – восстановление возможности показа скрытых и системных файлов;
-a – отключение автозапуска со всех носителей;
-m – режим мониторинга процессов и потоков;
-j – восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме).
Источник