1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Sality вирус лечение

Win32/Sality.NBA

Краткое описание

Win32/Sality.НБА-это полиморфный файловый вирус.

Как устанавливается

При выполнении вирус создает в папке %System%Drivers следующий файл:

  • %variable%.sys

Вместо %variable% используется строка с разным содержанием

Следующие файлы копируются в папку %temp%

  • %variable%.exe

%variable% — случайный текст. Затеем файл выполняется.

Вирус регистрирует себя в качестве системной службы, со следующими именами:

  • IpFilterDriver
  • amsint32

Создаются следующие записи в реестре:

  • [HKEY_LOCAL_MACHINE­SYSTEM­CurrentControlSet­Services­SharedAccess­Parameters­FirewallPolicy­StandardProfile­AuthorizedApplications­List]
    • «%infectedfilepath%» = «%infectedfilepath%:*:Enabled:ipsec»
  • «%infectedfilepath%» = «%infectedfilepath%:*:Enabled:ipsec»

Тем самым создавая исключения во встроенном фаерволле Windows

Следующие записи реестра:

  • [HKEY_CURRENT_USER­Software­Microsoft­Windows­CurrentVersion­Internet Settings]
    • «GlobalUserOffline» = 0
  • [HKEY_LOCAL_MACHINE­Software­Microsoft­Windows­CurrentVersion­policies­system]
    • «EnableLUA» = 0
  • [HKEY_LOCAL_MACHINE­SYSTEM­CurrentControlSet­Services­SharedAccess­Parameters­FirewallPolicy­StandardProfile]
    • «EnableFirewall» = 0
    • «DoNotAllowExceptions» = 0
    • «DisableNotifications» = 1
  • [HKEY_LOCAL_MACHINE­SYSTEM­CurrentControlSet­Services­wscsvc]
    • «Start» = 4
  • [HKEY_LOCAL_MACHINE­SYSTEM­CurrentControlSet­Services­ALG]
    • «Start» = 4
  • [HKEY_LOCAL_MACHINE­SYSTEM­CurrentControlSet­Services­SharedAccess]
    • «Start» = 4
  • [HKEY_LOCAL_MACHINE­SOFTWARE­Microsoft­Security Center]
    • «AntiVirusOverride» = 1
    • «AntiVirusDisableNotify» = 1
    • «FirewallDisableNotify» = 1
    • «FirewallOverride» = 1
    • «UpdatesDisableNotify» = 1
    • «UacDisableNotify» = 1
    • «AntiSpywareOverride» = 1
  • [HKEY_LOCAL_MACHINE­SOFTWARE­Microsoft­Security Center­Svc]
    • «AntiVirusOverride» = 1
    • «AntiVirusDisableNotify» = 1
    • «FirewallDisableNotify» = 1
    • «FirewallOverride» = 1
    • «UpdatesDisableNotify» = 1
    • «UacDisableNotify» = 1
    • «AntiSpywareOverride» = 1
  • «GlobalUserOffline» = 0
  • «EnableLUA» = 0
  • «EnableFirewall» = 0
  • «DoNotAllowExceptions» = 0
  • «DisableNotifications» = 1
  • «Start» = 4
  • «Start» = 4
  • «Start» = 4
  • «AntiVirusOverride» = 1
  • «AntiVirusDisableNotify» = 1
  • «FirewallDisableNotify» = 1
  • «FirewallOverride» = 1
  • «UpdatesDisableNotify» = 1
  • «UacDisableNotify» = 1
  • «AntiSpywareOverride» = 1
  • «AntiVirusOverride» = 1
  • «AntiVirusDisableNotify» = 1
  • «FirewallDisableNotify» = 1
  • «FirewallOverride» = 1
  • «UpdatesDisableNotify» = 1
  • «UacDisableNotify» = 1
  • «AntiSpywareOverride» = 1

Следующие записи реестра удаляются:

  • [HKEY_USERS­Software­Microsoft­Windows­CurrentVersion­Ext­Stats]
  • [HKEY_CURRENT_USER­Software­Microsoft­Windows­CurrentVersion­Ext­Stats]
  • [HKEY_LOCAL_MACHINE­Software­Microsoft­Windows­CurrentVersion­Ext­Stats]
  • [HKEY_CURRENT_USER­SOFTWARE­Microsoft­Windows­CurrentVersion­Explorer­Browser Helper Objects]
  • [HKEY_LOCAL_MACHINE­SOFTWARE­Microsoft­Windows­CurrentVersion­Explorer­Browser Helper Objects]
  • [HKEY_CURRENT_USER­System­CurrentControlSet­Control­SafeBoot]
  • [HKEY_LOCAL_MACHINE­System­CurrentControlSet­Control­SafeBoot]

Заражение исполняемых файлов

Win32/Sality.НБА-это полиморфный файловый вирус.

Вирус ищет на локальных и сетевых дисках файлы со следующими расширениями:

  • .exe
  • .scr

Исполняемые файлы заражаются путем добавления кода вируса к последнему разделу

Хост-файл изменен таким способом, который вызывает вирус быть выполнены до запуска исходного кода.

Вирус заражает файлы, на которые ссылаются следующие записи реестра:

  • [HKEY_CURRENT_USER­Software­Microsoft­Windows­CurrentVersion­Run]
  • [HKEY_LOCAL_MACHINE­Software­Microsoft­Windows­CurrentVersion­Run]

Это приводит к тому, что вирус запускается при каждом запуске системы

Распространение на съёмных носителях

Вирус копирует себя в корневые папки removable drives с помощью random filename.

Имя файла имеет одно из следующих расширений:

  • .exe
  • .pif
  • .cmd

Следующий файл хранится в той же папке:

  • autorun.inf

AUTORUN.INF-файл содержит путь к вредоносного исполняемого файла.

Таким образом, вирус обеспечивает он запускается каждый раз, когда зараженные носитель вставлен в компьютер.

Дополнительная информация

Удаляются следующие файлы:

  • *.vdb
  • *.avc
  • *drw*.key

Отключаются следующие сервисы:

  • AVP
  • Agnitum Client Security Service
  • ALG
  • Amon monitor
  • aswUpdSv
  • aswMon2
  • aswRdr
  • aswSP
  • aswTdi
  • aswFsBlk
  • acssrv
  • AV Engine
  • avast! iAVS4 Control Service
  • avast! Antivirus
  • avast! Mail Scanner
  • avast! Web Scanner
  • avast! Asynchronous Virus Monitor
  • avast! Self Protection
  • AVG E-mail Scanner
  • Avira AntiVir Premium Guard
  • Avira AntiVir Premium WebGuard
  • Avira AntiVir Premium MailGuard
  • BGLiveSvc
  • BlackICE
  • CAISafe
  • ccEvtMgr
  • ccProxy
  • ccSetMgr
  • COMODO Firewall Pro Sandbox Driver
  • cmdGuard
  • cmdAgent
  • Eset Service
  • Eset HTTP Server
  • Eset Personal Firewall
  • F-Prot Antivirus Update Monitor
  • fsbwsys
  • FSDFWD
  • F-Secure Gatekeeper Handler Starter
  • FSMA
  • Google Online Services
  • InoRPC
  • InoRT
  • InoTask
  • ISSVC
  • KPF4
  • KLIF
  • LavasoftFirewall
  • LIVESRV
  • McAfeeFramework
  • McShield
  • McTaskManager
  • MpsSvc
  • navapsvc
  • NOD32krn
  • NPFMntor
  • NSCService
  • Outpost Firewall main module
  • OutpostFirewall
  • PAVFIRES
  • PAVFNSVR
  • PavProt
  • PavPrSrv
  • PAVSRV
  • PcCtlCom
  • PersonalFirewal
  • PREVSRV
  • ProtoPort Firewall service
  • PSIMSVC
  • RapApp
  • SharedAccess
  • SmcService
  • SNDSrvc
  • SPBBCSvc
  • SpIDer FS Monitor for Windows NT
  • SpIDer Guard File System Monitor
  • SPIDERNT
  • Symantec Core LC
  • Symantec Password Validation
  • Symantec AntiVirus Definition Watcher
  • SavRoam
  • Symantec AntiVirus
  • Tmntsrv
  • TmPfw
  • UmxAgent
  • UmxCfg
  • UmxLU
  • UmxPol
  • vsmon
  • VSSERV
  • WebrootDesktopFirewallDataService
  • WebrootFirewall
  • XCOMM

Вирус завершает процессы с любой из следующих строк в имени:

  • AVPM.
  • A2GUARD
  • A2CMD.
  • A2SERVICE.
  • A2FREE
  • AVAST
  • ADVCHK.
  • AGB.
  • AKRNL.
  • AHPROCMONSERVER.
  • AIRDEFENSE
  • ALERTSVC
  • AVIRA
  • AMON.
  • TROJAN.
  • AVZ.
  • ANTIVIR
  • APVXDWIN.
  • ARMOR2NET.
  • ASHAVAST.
  • ASHDISP.
  • ASHENHCD.
  • ASHMAISV.
  • ASHPOPWZ.
  • ASHSERV.
  • ASHSIMPL.
  • ASHSKPCK.
  • ASHWEBSV.
  • ASWUPDSV.
  • ASWSCAN
  • AVCIMAN.
  • AVCONSOL.
  • AVENGINE.
  • AVESVC.
  • AVEVAL.
  • AVEVL32.
  • AVGAM
  • AVGCC.
  • AVGCHSVX.
  • AVGCSRVX.
  • AVGNSX.
  • AVGCC32.
  • AVGCTRL.
  • AVGEMC.
  • AVGFWSRV.
  • AVGNT.
  • AVCENTER
  • AVGNTMGR
  • AVGSERV.
  • AVGTRAY.
  • AVGUARD.
  • AVGUPSVC.
  • AVGWDSVC.
  • AVINITNT.
  • AVKSERV.
  • AVKSERVICE.
  • AVKWCTL.
  • AVP.
  • AVP32.
  • AVPCC.
  • AVAST
  • AVSERVER.
  • AVSCHED32.
  • AVSYNMGR.
  • AVWUPD32.
  • AVWUPSRV.
  • AVXMONITOR
  • AVXQUAR.
  • BDSWITCH.
  • BLACKD.
  • BLACKICE.
  • CAFIX.
  • BITDEFENDER
  • CCEVTMGR.
  • CFP.
  • CFPCONFIG.
  • CCSETMGR.
  • CFIAUDIT.
  • CLAMTRAY.
  • CLAMWIN.
  • CUREIT
  • DEFWATCH.
  • DRVIRUS.
  • DRWADINS.
  • DRWEB
  • DEFENDERDAEMON
  • DWEBLLIO
  • DWEBIO
  • ESCANH95.
  • ESCANHNT.
  • EWIDOCTRL.
  • EZANTIVIRUSREGISTRATIONCHECK.
  • F-AGNT95.
  • FAMEH32.
  • FILEMON
  • FIREWALL
  • FORTICLIENT
  • FORTITRAY.
  • FORTISCAN
  • FPAVSERVER.
  • FPROTTRAY.
  • FPWIN.
  • FRESHCLAM.
  • EKRN.
  • FSAV32.
  • FSAVGUI.
  • FSBWSYS.
  • F-SCHED.
  • FSDFWD.
  • FSGK32.
  • FSGK32ST.
  • FSGUIEXE.
  • FSMA32.
  • FSMB32.
  • FSPEX.
  • FSSM32.
  • F-STOPW.
  • GCASDTSERV.
  • GCASSERV.
  • GIANTANTISPYWARE
  • GUARDGUI.
  • GUARDNT.
  • GUARDXSERVICE.
  • GUARDXKICKOFF.
  • HREGMON.
  • HRRES.
  • HSOCKPE.
  • HUPDATE.
  • IAMAPP.
  • IAMSERV.
  • ICLOAD95.
  • ICLOADNT.
  • ICMON.
  • ICSSUPPNT.
  • ICSUPP95.
  • ICSUPPNT.
  • IPTRAY.
  • INETUPD.
  • INOCIT.
  • INORPC.
  • INORT.
  • INOTASK.
  • INOUPTNG.
  • IOMON98.
  • ISAFE.
  • ISATRAY.
  • KAV.
  • KAVMM.
  • KAVPF.
  • KAVPFW.
  • KAVSTART.
  • KAVSVC.
  • KAVSVCUI.
  • KMAILMON.
  • MAMUTU
  • MCAGENT.
  • MCMNHDLR.
  • MCREGWIZ.
  • MCUPDATE.
  • MCVSSHLD.
  • MINILOG.
  • MYAGTSVC.
  • MYAGTTRY.
  • NAVAPSVC.
  • NAVAPW32.
  • NAVLU32.
  • NAVW32.
  • NEOWATCHLOG.
  • NEOWATCHTRAY.
  • NISSERV
  • NISUM.
  • NMAIN.
  • NOD32
  • NORMIST.
  • NOTSTART.
  • NPAVTRAY.
  • NPFMNTOR.
  • NPFMSG.
  • NPROTECT.
  • NSCHED32.
  • NSMDTR.
  • NSSSERV.
  • NSSTRAY.
  • NTRTSCAN.
  • NTOS.
  • NTXCONFIG.
  • NUPGRADE.
  • NVCOD.
  • NVCTE.
  • NVCUT.
  • NWSERVICE.
  • OFCPFWSVC.
  • OUTPOST
  • ONLINENT.
  • OPSSVC.
  • OP_MON.
  • PAVFIRES.
  • PAVFNSVR.
  • PAVKRE.
  • PAVPROT.
  • PAVPROXY.
  • PAVPRSRV.
  • PAVSRV51.
  • PAVSS.
  • PCCGUIDE.
  • PCCIOMON.
  • PCCNTMON.
  • PCCPFW.
  • PCCTLCOM.
  • PCTAV.
  • PERSFW.
  • PERTSK.
  • PERVAC.
  • PESTPATROL
  • PNMSRV.
  • PREVSRV.
  • PREVX
  • PSIMSVC.
  • QUHLPSVC.
  • QHONLINE.
  • QHONSVC.
  • QHWSCSVC.
  • QHSET.
  • RFWMAIN.
  • RTVSCAN.
  • RTVSCN95.
  • SALITY
  • SAPISSVC.
  • SCANWSCS.
  • SAVADMINSERVICE.
  • SAVMAIN.
  • SAVPROGRESS.
  • SAVSCAN.
  • SCANNINGPROCESS.
  • SDRA64.
  • SDHELP.
  • SHSTAT.
  • SITECLI.
  • SPBBCSVC.
  • SPHINX.
  • SPIDERCPL.
  • SPIDERML.
  • SPIDERNT.
  • SPIDERUI.
  • SPYBOTSD.
  • SPYXX.
  • SS3EDIT.
  • STOPSIGNAV.
  • SWAGENT.
  • SWDOCTOR.
  • SWNETSUP.
  • SYMLCSVC.
  • SYMPROXYSVC.
  • SYMSPORT.
  • SYMWSC.
  • SYNMGR.
  • TAUMON.
  • TBMON.
  • TMLISTEN.
  • TMNTSRV.
  • TMPROXY.
  • TNBUTIL.
  • TRJSCAN.
  • VBA32ECM.
  • VBA32IFS.
  • VBA32LDR.
  • VBA32PP3.
  • VBSNTW.
  • VCRMON.
  • VPTRAY.
  • VRFWSVC.
  • VRMONNT.
  • VRMONSVC.
  • VRRW32.
  • VSECOMR.
  • VSHWIN32.
  • VSMON.
  • VSSERV.
  • VSSTAT.
  • WATCHDOG.
  • WEBSCANX.
  • WINSSNOTIFY.
  • WRCTRL.
  • XCOMMSVR.
  • ZLCLIENT
  • ZONEALARM
Читать еще:  Дистрофия миокарда что это такое причины лечение

Вирус содержит список URL-адресов.

Пытается загрузить несколько файлов с удаленных адресов.

Они сохраняются в следующие папки:

  • %temp%­win%variable%.exe
  • %temp%­%variable%.exe

Вместо %variable% используется строка с разным содержанием

Затем файлы выполняются

Вирус создает и запускает новый поток с собственным программным кодом во всех запущенных процессах.

Вирус изменяет следующие файлы:

  • SYSTEM.INI

Вирус записывает следующие записи в файл:

  • [MCIDRV_VER]
    • DEVICEMB=%number%
  • DEVICEMB=%number%

Где %number% — это случайное число.

Как удалить

Для удаления указанного вредоносного ПО можно воспользоваться следующими специальными утилитами, предназначенными для удаления именно этого зловреда и его разновидностей:

Sality вирус лечение

вирус называется sality.nao
уже вроде как лечится nod32 3 версии с обновлением
http://www.esetnod32.ru/support/updates.php
NOD32 — v.3039 (20080418)
(лично не проверено)
неприятный момент состоит в том, что он закрывает приложения и службы антивирусов (avira, nod32)
avast вроде как его лечит — но на самом деле, после загрузки он лечит лишь симптомы (читай — удаляет файлы) вирус сидит в памяти
аналогично и nod32 с обновлениями более ранними, причем nod2.7 попросту вылетает после пары перезагрузок
nod3 — висит, но работает примерно кака avast — т.е. никак
зараженные объекты — исключительно файлы формата .exe (не обязательно с таким расширением)
при установке программ с чистых дистрибутивов сначала поражаются uninstall-еры, а потом и сами программы
safe mode, установка *.msi инсталяций НЕВОЗМОЖНА
практически всегда «работает» в паре с Win32/TrojanDropper.Agent.NJP
(аналогично для нода обновление базы щт 18.04.2008г номер 3039 и выше)
обновление NOD от 3038 его не лечит .

хорошие моменты:
бесплатная avira от 18.04.2008г (с новым красивым интерфейсом) вроде как его не пропускает

лечение:
Не назвал бы это лечением, но хотя бы антивирус можно установить, для этого:
1. выгружаем все из памяти включая explorer и все выгружаемые задачи. ВСЕ .
2. в taskmanager-e запускаем инсталяцию антивируса (скажем nod32)
3. после установки ни в коем случае не перегружаем компьютер .
4. загружаем services.msc /s
5. стартуем службу антивируса
6. загружаем оболочку (пункты 2-5) возможно придется повторить, т.к. иногда вирь все же выгружает службу раньше запуска антивируса
7. обновляем базы
8. надеемся, что в обновлении есть лекарство.

Добавление от 19.04.2008 09:35:

добавлю, вирус неккоректно распознается касперским и авастом
norton-антивирус либо не ставится, либо ставится и не работает (не может обновить базу)

Добавление от 19.04.2008 09:59:

неужто ни у кого нету ?

Добавление от 20.04.2008 03:49:

мою заразу таки я не могу пролечить, это просто какой-то действительно неуловимый троянский конь. Где он таится не понятно и в миг все разом снова заражает. Уж снимал винт, сканил на другой машине, личил и так и сяк. Все чисто. Несколько раз подумал уж что действиетльно убил и антивири ставились и тормозов не было. Но быстро доходило до того, Др.Веб начинал лечить себя и др. программы, которые при прошлой перезагрузке, а также еще ранее тшательно сканировались.
В памяти вроде и ничего нет ничего, даже эксплорер не гружу. Сцука.

Читать еще:  Пневмоторакс легких симптомы и лечение

Удаление Win32.Sality: Удалите Win32.Sality Навсегда

Что такое Win32.Sality

Скачать утилиту для удаления Win32.Sality

Удалить Win32.Sality вручную

Получить проффесиональную тех поддержку

Читать комментарии

Описание угрозы

Имя исполняемого файла:

Win32.Sality

wmdrtc32.dll

Virus

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

Метод заражения Win32.Sality

Win32.Sality копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла wmdrtc32.dll. Потом он создаёт ключ автозагрузки в реестре с именем Win32.Sality и значением wmdrtc32.dll. Вы также можете найти его в списке процессов с именем wmdrtc32.dll или Win32.Sality.

Если у вас есть дополнительные вопросы касательно Win32.Sality, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите Win32.Sality and wmdrtc32.dll (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Win32.Sality в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Удаляет все файлы, созданные Win32.Sality.

Удаляет все записи реестра, созданные Win32.Sality.

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно — если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления Win32.Sality от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Win32.Sality.. Утилита для удаления Win32.Sality найдет и полностью удалит Win32.Sality и все проблемы связанные с вирусом Win32.Sality. Быстрая, легкая в использовании утилита для удаления Win32.Sality защитит ваш компьютер от угрозы Win32.Sality которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Win32.Sality сканирует ваши жесткие диски и реестр и удаляет любое проявление Win32.Sality. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Win32.Sality. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Win32.Sality и wmdrtc32.dll (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Win32.Sality.

Удаляет все записи реестра, созданные Win32.Sality.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно — если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с Win32.Sality и удалить Win32.Sality прямо сейчас!

Оставьте подробное описание вашей проблемы с Win32.Sality в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Win32.Sality. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Win32.Sality.

Как удалить Win32.Sality вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Win32.Sality, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Win32.Sality.

Чтобы избавиться от Win32.Sality, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Win32.Sality для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи иили значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Win32.Sality для безопасного решения проблемы.

Читать еще:  Покалывание языка причины и лечение

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

Win32.Sality иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Win32.Sality. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».

Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».

Выберите вкладку Дополнительно

Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.

Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Google Chrome

Найдите папку установки Google Chrome по адресу: C:Users»имя пользователя»AppDataLocalGoogleChromeApplicationUser Data.

В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.

Запустите Google Chrome и будет создан новый файл Default.

Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Mozilla Firefox

В меню выберите Помощь > Информация для решения проблем.

Кликните кнопку Сбросить Firefox.

После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Лечение вируса Win32.Sality.aa

Новый год начался весело. Проник вирус Win32.Sality.aa по классификации AVP, он же Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 по классификации Dr.Web.

Я не заметил каких-либо особо вредных действий этого вируса, за исключением невозможности редактирования реестра в инфицированном компьютере (regedit не запускается), а так же невозможность запуска Диспетчера задач (taskmgr.exe). Эти процессы блокируются вирусом. Подробнее о действии этого вируса можно почитать в вирусной энциклопедии Касперского (прямой линк на описание). Методы борьбы тоже разные и их можно найти в интернете.

Я опишу свой способ.

Для удаления потребуются следующие бесплатные программы:

  1. Dr.Web CureIt (качать отсюда)
  2. Утилита от Касперского SalityKiller.zip (качать отсюда)
  3. Восстановление реестра Sality_RegKeys.zip (качать отсюда)

Распаковываем утилиту SalityKiller.zip в любую папку и получаем файл SalityKiller.exe. предположим распакуем в папку c:temp

Советую не распаковывать на «Рабочий стол» или в «Мои документы». Лучше всего распаковать в корень диска C или в папку с коротким латинским названием, чтобы потом запускать команду не набирая длинные названия папок.

Рядом с этим файлом создаем cmd файл скажем с именем sk.cmd с содержимым:

И Распаковываем Sality_RegKeys.zip

Лечение:

  1. Запускаем c:tempsk.cmd и пусть он просканирует весь комп.
  2. Далее можно без перезагрузки запустить утилиту SalityKiller в режиме мониторинга. Именно этот режим мне помог.

Итак, делаем Пуск — Выполнить, пишем cmd, запускаем. Далее в cmd пишем c:tempsalitykiller -m и запускаем эту команду. Ключ -m означает, что утилита будет работать в режиме мониторинга и удалять процессы с вирусом Sality как только такие процессы появятся.

  • Теперь можно запускать CureIt! Пусть проверяет весь компьютер.
  • После того как отработает CureIt! запустите из распакованного архива Sality_RegKeys.zip из папки Sality_RegKeys файл «Disable autorun.reg» и .reg файл для Вашей операционной системы.
  • Вот и всё. На момент написания этой статьи на моём сервере уже доступен запуск редактора реестра regedit, а так же Диспетчер задач. Операционная система Windwos 2000 Server и 2003 Server

    В ближайшие дни отпишусь чем всё закончилось.

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector