Статьи

Полное лечение вируса Win32.Sality.aa

В предыдущей статье Лечение вируса Win32.Sality.aa я описывал свой способ лечения этого вируса. С тех пор я выработал более универсальный способ лечения, т.к. окончательно вирус не ушел (спасибо терминальным юзерам с полным доступом к инету) и описать как искоренить эту заразу полностью! Вирус не новый, но почему мы так плотно на него “подсели” - до сих пор не понимаю. Касперского на клиентских компах вырубает на раз, Админку Касперского на сервере - тоже. В итоге базы у юзеров не обновлялись, а вирус с серверов спокойно переходил на клиентские компы. Вооружившись всего одной утилитой SalityKiller, разработал такой алгоритм.

Итак, если у нас имеется компьютер зараженный вирусом Win32.Sality.aa по классификации AVP (он же Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 по классификации Dr.Web) и при этом не запускается Диспетчер задач и Редактор реестра, то:

  1. Запускаем утилиту SalityKiller с ключами -kjax. Это удалит в корнях дисков файлы autorun.inf, восстановит возможность загрузки в Безопасном режиме, отключит автозапуск на всех дисках и восстановит возможность показа скрытых и системных файлов.
  2. Дожидаемся когда утилита начнет проверять файлы на жестком диске и прерываем ее работу (Ctrl+C). На этом этапе уже можно попытаться запустить редактор реестра и согласно описанию вируса пройти в ветку реестра [HKCU\Software] и убедиться что нет раздела <имя_пользвателя>914. Если есть, удалить этот раздел. Далее идем в ветку реестра [HKLM\System\CurrentControlSet\Services] и АККУРАТНО ищем названия сервисов, состоящих из случайного набора букв. Тут я бы хотел уточнить, что если не уверены в своих действиях, то в этой ветке реестра ничего не делать и пререйти к следующему пункту. Итак, если есть подозрительный сервис (служба), и в его параметрах нет ничего, указывающего на работу каких-то устройств или программ, а просто ссылка на драйвер system32\DRIVERS\<набор букв>.sys, то этот раздел можно удалить и удалить файл, на который он ссылается. Но! Предварительно надо сделать опию ветки [HKLM\System\CurrentControlSet\Services] и файл не удалять, а пока перенести в другую папку. Если комп после этого загрузится, то всё нормально :) Если нет - надо восстанавливать реестр и возвращать перенесенный файл драйвера. Сразу скажу, я еще ни разу не ошибся.
  3. Перегружаемся в Безопасный режим. Бывает что в безопасный режим не получается войти, но при этом удается запустить редактор реестра. Тогда идем в [HKLM\System\CurrentControlSet\Control\SafeBoot] и если в этом разделе пусто, то надо повторять предыдущие 2 пункта. Но мне ни разу этого не приходилось делать.
  4. Запускаем утилиту SalityKiller с ключами -kjax. И пусть утилита проверяет весь комп.

После этих действий вируса нет!