Найти и Уничтожить Win32.Sector.X

Автор: Administrator вкл. . Опубликовано в Безопасность

Рейтинг:  4 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда не активна
 

Лечение вируса Win32.Sality.aa

Новый год начался весело. Проник вирус Win32.Sality.aa  по классификации AVP, он же Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 по классификации Dr.Web.

Я не заметил каких-либо особо вредных действий этого вируса, за исключением невозможности редактирования реестра в инфицированном компьютере (regedit не запускается), а так же невозможность запуска Диспетчера задач (taskmgr.exe). Эти процессы блокируются вирусом. Подробнее о действии этого вируса можно почитать в вирусной энциклопедии Касперского (прямой линк на описание).  Методы борьбы тоже разные и их можно найти в интернете.

Я опишу свой способ.

Для удаления потребуются следующие бесплатные  программы:

  1. Dr.Web CureIt (качать отсюда)
  2. Утилита от Касперского SalityKiller.zip (качать отсюда)
  3. Восстановление реестра Sality_RegKeys.zip (качать отсюда)

Распаковываем утилиту SalityKiller.zip в любую папку и получаем файл SalityKiller.exe. предположим распакуем в папку c:\temp

Советую не распаковывать на «Рабочий стол» или в «Мои документы».  Лучше всего распаковать в корень диска C или в папку с коротким латинским названием, чтобы потом запускать команду не набирая длинные названия папок.

Рядом с этим файлом создаем cmd файл скажем с именем sk.cmd с содержимым:

SalityKiller.exe -l %computername%_log.txt -x -a -j -k

И Распаковываем Sality_RegKeys.zip

Лечение:

  1. Запускаем c:\temp\sk.cmd и пусть он просканирует весь комп.
  2. Далее можно без перезагрузки запустить утилиту SalityKiller в режиме мониторинга. Именно этот режим мне помог.

    Итак, делаем Пуск — Выполнить, пишем cmd, запускаем. Далее в cmd пишем c:\temp\salitykiller -m и запускаем эту команду.  Ключ -m означает, что утилита будет работать в режиме мониторинга и удалять процессы с вирусом Sality  как только такие процессы появятся.

  3. Теперь можно запускать CureIt! Пусть проверяет весь компьютер.
  4. После того как отработает CureIt! запустите из распакованного архива Sality_RegKeys.zip из папки Sality_RegKeys файл «Disable autorun.reg» и .reg файл для Вашей операционной системы.

Вот и всё.  На момент написания этой статьи на моём сервере уже доступен запуск редактора реестра regedit,  а так же Диспетчер задач. Операционная система Windwos 2000 Server и 2003 Server

В ближайшие дни отпишусь чем всё закончилось.

Комментарии   

# Алексей1 05.09.2012 16:48
Оригинал статьи тут ...://....pro.. .p-blog..../bor ba-s-vi...sami/ lechenie-vi...s a-win32-sality- aa/
Ответить

Добавить комментарий