Статьи

Лечение вируса Win32.Sality.aa

Новый год начался весело. Проник вирус Win32.Sality.aa, он же Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 по классификации Dr.Web.

Я не заметил каких-либо особо вредных действий этого вируса, за исключением невозможности редактирования реестра в инфицированном компьютере (regedit не запускается), а так же невозможность запуска Диспетчера задач (taskmgr.exe). Эти процессы блокируются вирусом. Подробнее о действии этого вируса можно почитать в вирусной энциклопедии Касперского.  Методы борьбы тоже разные и их можно найти в интернете.

Я опишу свой способ.

Для удаления потребуются следующие бесплатные  программы:

  1. Dr.Web CureIt (качать отсюда)
  2. Утилита от Касперского (качать отсюда)
  3. Восстановление реестра Sality_RegKeys.zip (качать отсюда)

Распаковываем утилиту SalityKiller.zip в любую папку и получаем файл SalityKiller.exe. предположим распакуем в папку c:\temp

Советую не распаковывать на “Рабочий стол” или в “Мои документы”.  Лучше всего распаковать в корень диска C или в папку с коротким латинским названием, чтобы потом запускать команду не набирая длинные названия папок.

Рядом с этим файлом создаем cmd файл скажем с именем sk.cmd с содержимым:

SalityKiller.exe -l %computername%_log.txt -x -a -j -k

И Распаковываем Sality_RegKeys.zip

Лечение:

  1. Запускаем c:\temp\sk.cmd и пусть он просканирует весь комп.
  2. Далее можно без перезагрузки запустить утилиту SalityKiller в режиме мониторинга. Именно этот режим мне помог.

Итак, делаем Пуск - Выполнить, пишем cmd, запускаем. Далее в cmd пишем c:\temp**salitykiller -m** и запускаем эту команду.  Ключ -m означает, что утилита будет работать в режиме мониторинга и удалять процессы с вирусом Sality  как только такие процессы появятся.

  1. Теперь можно запускать CureIt! Пусть проверяет весь компьютер.
  2. После того как отработает CureIt! запустите из распакованного архива Sality_RegKeys.zip из папки Sality_RegKeys файл “Disable autorun.reg” и .reg файл для Вашей операционной системы.

Вот и всё.  На момент написания этой статьи на моём сервере уже доступен запуск редактора реестра regedit,  а так же Диспетчер задач. Операционная система Windwos 2000 Server и 2003 Server

05.01.2010