Печать

Найти и Уничтожить Win32.Sector.X

Автор: Administrator вкл. . Опубликовано в Безопасность

Рейтинг:   / 2
ПлохоОтлично 

Лечение вируса Win32.Sality.aa

Новый год начался весело. Проник вирус Win32.Sality.aa  по классификации AVP, он же Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 по классификации Dr.Web.

Я не заметил каких-либо особо вредных действий этого вируса, за исключением невозможности редактирования реестра в инфицированном компьютере (regedit не запускается), а так же невозможность запуска Диспетчера задач (taskmgr.exe). Эти процессы блокируются вирусом. Подробнее о действии этого вируса можно почитать в вирусной энциклопедии Касперского (прямой линк на описание).  Методы борьбы тоже разные и их можно найти в интернете.

Я опишу свой способ.

Для удаления потребуются следующие бесплатные  программы:

  1. Dr.Web CureIt (качать отсюда)
  2. Утилита от Касперского SalityKiller.zip (качать отсюда)
  3. Восстановление реестра Sality_RegKeys.zip (качать отсюда)

Распаковываем утилиту SalityKiller.zip в любую папку и получаем файл SalityKiller.exe. предположим распакуем в папку c:\temp

Советую не распаковывать на «Рабочий стол» или в «Мои документы».  Лучше всего распаковать в корень диска C или в папку с коротким латинским названием, чтобы потом запускать команду не набирая длинные названия папок.

Рядом с этим файлом создаем cmd файл скажем с именем sk.cmd с содержимым:

SalityKiller.exe -l %computername%_log.txt -x -a -j -k

И Распаковываем Sality_RegKeys.zip

Лечение:

  1. Запускаем c:\temp\sk.cmd и пусть он просканирует весь комп.
  2. Далее можно без перезагрузки запустить утилиту SalityKiller в режиме мониторинга. Именно этот режим мне помог.

    Итак, делаем Пуск — Выполнить, пишем cmd, запускаем. Далее в cmd пишем c:\temp\salitykiller -m и запускаем эту команду.  Ключ -m означает, что утилита будет работать в режиме мониторинга и удалять процессы с вирусом Sality  как только такие процессы появятся.

  3. Теперь можно запускать CureIt! Пусть проверяет весь компьютер.
  4. После того как отработает CureIt! запустите из распакованного архива Sality_RegKeys.zip из папки Sality_RegKeys файл «Disable autorun.reg» и .reg файл для Вашей операционной системы.

Вот и всё.  На момент написания этой статьи на моём сервере уже доступен запуск редактора реестра regedit,  а так же Диспетчер задач. Операционная система Windwos 2000 Server и 2003 Server

В ближайшие дни отпишусь чем всё закончилось.


Комментарии   

 
#1 Алексей1 05.09.2012 16:48
Оригинал статьи тут ........://.... .....pr........ p-blog......../ borba-s-v...... ..sami/lechenie -v........sa-wi n32-sality-aa/
 

Добавить комментарий

Защитный код
Обновить

по теме