Translate Blog ATweb in Arabic       Translate Blog ATweb in Chinese       Translate Blog ATweb in English       Translate Blog ATweb in French       Translate Blog ATweb in German       Translate Blog ATweb in Italian       Translate Blog ATweb in Japanese       Translate Blog ATweb in Korean       Translate Blog ATweb in Portuguese       Blog ATweb in Romanian       Translate Blog ATweb in Russian       Translate Blog ATweb in Spanish
blog.atweb.ro » Antivirus » Virus Win32.Sality – metode de dezinfectare
Trimite articolul prin email. Tipareste acest articol.

Virus DesinfectionIn ultima vreme am vazut foarte multe calculatoare infectate cu una din versiunile virusului Sality (Virus.Win32.Sality.aa Win32/Sality.AM W32/Sality.ah), asa ca am decis sa ajutam “poporul” cu metode simple si accesibile pentru fiecare de dezinfectare si inlaturare a virusului.

Sality este un virus polimorfic cu capabilitati de backdoor si keylogger care infecteaza fisierele executabile (.EXE) si incearca stergerea fisierelor asociate programelor anti-virus, anti-spyware si in unele cazuri firewall. Dupa acest pas, Sality ruleaza un modul keylogger care colecteaza informatii despre sistemul infectat, inregistraza parolele si conturile de login folosite dupa care le trimite la o adresa de e-mail predefinita. Si asta nu este tot, virusul creeaza un backdoor prin care atacatorul poate prelua controlul calculatorului… de aici va puteti imagina si voi ce se poate intampla.
Ca metode de propagare virusul se raspandeste in retea si pe alte medii de stocare copiindu-se cu denumiri aleatoare si creand o cale in fisierul “autorun.inf” pentru a fi sigur ca va fi rulat.

Virusul este cunoscut sub urmatoarele denumiri:

  • W32/Sality (McAfee);
  • Virus.Win32.Sality.aa (Kaspersky);
  • W32.Sality.AE (Symantec);
  • Virus:Win32/Sality.AM (MS OneCare);
  • PE_SALITY.EM (Trend);

ATENTIE !!! Orice modificare necorespunzatoare a registrilor va poate afecta stabilitatea sistemului de operare sau chiar distrugerea acestuia. Asa ca nu va jucati cu focul.

Conform Kaspersky Lab, virusul se afla pe primul loc in TOP 20: – “[…] cele mai periculoase aplicatii detectate pe calculatoarele utilizatorilor in luna ianuarie 2009:”

Pozitie Schimbare in clasament Program periculos
1 0 Virus.Win32.Sality.aa
2 0 Packed.Win32.Krap.b
3 1 Worm.Win32.AutoRun.dui
4 -1 Trojan-Downloader.Win32.VB.eql
5 3 Trojan.Win32.Autoit.ci
6 0 Trojan-Downloader.WMA.GetCodec.c
7 2 Packed.Win32.Black.a
8 -1 Virus.Win32.Alman.b
9 5 Trojan.Win32.Obfuscated.gen
10 10 Trojan-Downloader.WMA.GetCodec.r
11 Nou Exploit.JS.Agent.aak
12 -1 Worm.Win32.Mabezat.b
13 -3 Worm.Win32.AutoIt.ar
14 1 Email-Worm.Win32.Brontok.q
15 Nou Virus.Win32.Sality.z
16 Nou Net-Worm.Win32.Kido.ih
17 Revenire Trojan-Downloader.WMA.Wimad.n
18 -2 Virus.Win32.VB.bu
19 -2 Trojan.Win32.Agent.abt
20 Nou Worm.Win32.AutoRun.vnq

METODE DE INLATURARE:

Daca aveti un antivirus bun care detecteaza si poate inlatura Sality atunci folositi-l cu incredere (Clean sau Quarantine). Dar daca protectia dvs. antivirus a fost compromisa atunci puteti urma variantele descrise mai jos:

1. Incercati sa descarcati Kaspersky Virus Removal tool:
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

2. Acum va trebui sa restartati sistemul in Safe Mode (Restartati si dupa ecranul de POST: “Power-on self test” al BIOS-ului apasati F8 si selectati Safe Mode). Este posibil ca optiunea de a boota in Safe Mode sa fie dezactivata de virus. Pentru a o reactiva descarcati unul din fix-urile de mai jos:
SafeBoot-for-Windows-2000-SP4-Professional.reg
SafeBoot-for-Windows-XP-SP2.reg
SafeBoot-for-Windows-XP-SP3.reg
SafeBoot-for-Windows-Vista.reg
SafeBoot-for-Windows-Server-2003.reg
Daca nu puteti boota in Safe Mode atunci rulati Kaspersky Virus Removal tool direct in Windows…

Kaspersky Virus Removal Tool3. In momentul in care Kaspersky Virus Removal tool a fost rulat cu succes, imaginea alaturata va aparea. Va recomand sa scanati absolut tot pentru a avea succes in inlaturarea virusului. Pe parcursul scanarii selectati dezinfectarea fisierelor infectate. Dupa finalizare va recomandam inca o scanare “Just in case”.
Timpul mediu de scanare poate varia de la 1 ora pana la 3 ore in functie de propagarea infectiei.
Pentru a grabi procesul de dezinfectare puteti alege din panoul de setari: “Do not prompt for action” si bifati: Disinfect.
ATENTIE !!! Daca veti selecta si optiunea: “Delete if disinfection fails”, este posibil ca fisiere vitale ale sistemului dvs. sa fie sterse in cazul in care dezinfectarea esueaza si sa trebuiasca apoi sa va reinstalati sistemul sau programele afectate.

4. In unele situatii, virusul blocheaza accesul asupra registrilor si a task manager-ului. Pentru a recapata controlul acestora, puteti incerca utilitarul RRT: Remove Restrictions Tool sau urmatoarele utilitare:
Registry Fix si Task Manager FIX. O metoda si mai rapida ar fi salvarea si rularea script-ului propus de Symantec: UnHookExec.inf

RRT - Remove Restrictions Tool Registry FIX Task Manager FIX

5. O alta metoda ar fi folosirea removal tool-ului de la AVG Anti-Virus: Win32/Sality Virus Removal Tool. Descarcati cele 3 fisiere in acelasi director si rulati fisierul: rmsality.exe

DEVIRUSARE USOARA !!!
.

Alte Surse:
Kaspersky Lab: http://support.kaspersky.com/faq/?qid=208279889
TrendMicro: http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_SALITY.AE
CA: http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=74007
Sophos: http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityaa.html
Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2008-042106-1847-99
BitDefender: http://www.bitdefender.com/VIRUS-1000406-en–Win32.Sality.OG.html
.




Evalueaza acest articol:
NesatisfacatorInsuficientNeutruAcceptabilExcelent
Loading ... Loading ...

39 Opinii la “Virus Win32.Sality – metode de dezinfectare”

  1. Adrian Says:

    Multumim pentru articoul tau, chiar de ajutor.

  2. bhelzhebuth Says:

    Kaspersky Virus Removal tool, l-am,folosit cu succes pe winserver 2008 datacenter x64, si win7 ultimate x32

    multumesc de tutorial

  3. Mihai Says:

    subscriu si eu cu Kaspersky , se poate folosi in loc de antinevralgic

  4. alex Says:

    da,e folositor,desi am impresia ca sality-ul e mult mai eficient de atat…daca nu merge cu Kaspersky virus removal tool puteti incerca Virus removal for Win32/Sality de la AVG

  5. Vulf Says:

    Bun articol, bine documentat.
    Felicitari, multumim!

  6. Alex Says:

    Incercati si microsoft security essentials 😉 e BON

  7. Bogdan Says:

    Multumesc mult.Acest virus mi-a infectat toata reteaua ; acum m-apuc sa urmaresc pasii indicati ; si cred ca voi reusi datorita ajutorului intalnit aici.Multumesc inca o data.Felicitari!!! si sanatate 🙂

  8. Vladuadi Says:

    Multumesc mult!

  9. Alexsso Says:

    Multumesc mult, bun articolul, m-a ajutat, eram si eu intr-o situatie asemanatoare, chiar mi-a salvat tot HDD-ul, multumesc mult !!!

  10. jabiilord Says:

    Aveti aici un link cu un mic programel ce va scapa de virus in 10 secunde: http://www.tutorialepc.ro/un-nou-virus-circula-prin-messenger-im56245-jpg-www-myspace-com-exe.html

  11. Maximus Says:

    Da, foarte bun instructajul, multumim 🙂 ! Mentionez ca AVG m-a dezamagit in schimb KasperSky si-a facut treaba.

  12. am nevoie de ajutor pt inlaturarea unui virus foarte neplacut - Page 2 - Craiova Forum Says:

    […] de pe el. Are cateva utilitare care te-ar putea ajuta. In alta ordine de idei, uite si un link: http://blog.atweb.ro/2009/07/27/win3…removal_tools/, poate vei rezolva problema. Sper ca am reusit sa-ti fiu de folos cat de cat! […]

  13. dinu Says:

    recent l-am scapat pe acest virus in calc si nu e de gluma in cam 1 ora mi-a infectat majoritatea executabilelor trecand cu usurinta de avira , am reusit sa-l curat cu avast boot time scan si delet all inclusiv niste exe din windows , in total se multiplicase de vreo 200 de ori in 1 ora !

  14. phroz3n Says:

    am scapat de sality debia dupa al doilea format(la C: )… pentru ca dupa primul nu stiam cu ce “bestie” incercam sa ma lupt in zadar …intr-un final am reusit sa instalez avast si mi l-a scos de pe cealalta partitie .
    Deci daca observati ca nu mai avtei acces la regedit si task manager, nu mai puteti copia fisiere sau nici macar creea fisiere noi … cel mai probabil aveti sality si cea mai sigura optiune dupa parerea mea ar fi format la toate partitiile … sau daca nu format doar C:(partitia cu windows) si instalarea (cat mai rapida) a avastului(chiar si versiunea free) dintr-o sursa sigura IN NICI UN CAZ DE PE PC-ul infectat, apoi un scan complet ar trebui sa rezolve problema.

  15. sapi Says:

    Dupa mai multe incercari blocate de a scana…am reusit sa sterg procesele nedorite din memorie si sa curat partial sistemul folosind Dr.WEB CureIt!.
    Ulterior am putut instala si curata computerul cu Avira si F-Secure. Deocamdata totul pare in regula.

  16. Alexe Emil Says:

    Incerc acum pe un laptop infectat… revin cu detalii mai tarziu !

  17. StelistCristi Says:

    Din pacate, multe utilitare desinfecteaza fisierele, dar nu elimina virusul. Ca si în cazul removerului AVG: desinfecteaza fisierele virusate. Daca verificati fisierele pe VirusTotal, inca mai este virusat, insa doar AVG-ul nu-l mai detecteaza ca fiind virus. Chiar si cu removerul de la Sophos – se vede in fereastra Disinfection succesful, insa daca mai rescanez iara cica il dezinfecteaza, si scannerele tot vad fisierul ca fiind infectat. Am gasit eu o metoda, cred ca merge daca reusiti sa desinfectati cat de cat calculatorul. In C:\Windows exista fisierul regedit.exe (Registry Editor). Stergeti fisierul sau redenumiti-l (eu i-am pus regedit.e1x1e). Acum virusul nu mai ruleaza, Task Managerul merge fara sa mai incerc sa-l repar pe moment cu Task manager, si imi merg site-uri care nu imi mergeau inainte datorita virusului. Unicul dezavantaj: Nu se pot adauga registrii, nu se pot aplica reg-uri. Dar puteti oricând sa-l repuneti în actiune regedit-ul. Redenumiti fisierul in regedit.exe 😉

  18. Adishor Says:

    Multumim de informatii !!! Ma apuc de treaba mama lui de Sality mi-a dezactivat tot safe mode registri task manager . Sper sa-l pot inlatura

  19. Ciprian / ^KelKo^/ cypryano_92 Says:

    Multumesc foarte mult… chiar mai ajutat.. eu credeam ca e tampit anti-virusul de imi sterge toate fisierele cu extensia .exe… inca o data mii de multumiri

  20. gaby Says:

    nod32 si malware anti malware si nu face nimic sality

  21. victor Says:

    Doar Avast m-a ajutat sa scap de toti w32/sality, worm, si inca vreo cativa virusi nu mai tin minte cum se chemau, restu’ nici un antivirus (kav, nod, trend…) ii detectau dar nu ii puteau sterge. Dupa ce i-am deletat am sters avast si am instalat din nou Nod32 deoarece nu am gasit key pentru avast, era doar pe 6 zile, dar a facut treaba buna;)

  22. axelluny Says:

    M-am confruntat cu toate armele lui sality unde numarul lui sality era de 7600 virusi.
    SOLUTIA GASITA DE MINE A FOST: In prima faza m-am chinuit cu Kaspersky Remover dar a fost foarte foarte neputincios si scanarea dureaza extrem de mult. Am trecut la Dr.Web, la care la fel a durat scanarea f. mult dar oricum mult mai repede, si care m-a anuntat ca a dezinfectat si sters tot. Nici vorba de asa ceva desi am rulat in safe mode. Atunci am gasit de cuvinta sa intru cu un LINUX si sa sterg tot ce tinea de exe in Volume information atat in C cat si D. Dupa aceasta operatiune mi-a fost permisa instalarea lui AVAST free care a curatat definitiv calculatorul printr-o scanare la bootare. Si a sters in mare virusii din cosul de gunoi. (08.01.2010).

  23. andrei Says:

    ma eu am windows xp sp2 si nu pot deschide nici un fisier decat google din bara de start cand vreau sa deschid un fisier exe imi apare asa:exe is not valid win32.ce e chestia asta nustiu, cine ma poate ajuta???va rog

  24. Dan Says:

    Andrei, este posibil sa fii infectat cu un virus care ti-a infectat fisierele executabile (posibil si alte fisiere: .dll) sau iti blocheaza accesul la acestea…. Ai vreun antivirus instalat? Iti recomand sa incerci sa scanezi cu un utilitar gen Kaspersky Virus Removal Tool din SAFE MODE. Daca nu poti din Safe Mode atunci trebuie sa boot-ezi cu un utilitar antivirus din DOS… incearca cu Hirens Boot CD sau daca ai Avast-ul instalat incearca optiunea Boot Scan…

    Succes

  25. Alexandru Says:

    Am si eu o intrebare. la reinstalare de windows, cu tot cu formatare la partitie ( doar cea in care am windowsul ) virusul sality dispare ?

  26. Dan Says:

    Alexandru, raspunsul este Da si Nu. Da, dispare din partitia sistem, deoarece nu este un virus de boot, si Nu, deoarece ramane activ pe cealalta partitie, fiind foarte usor sa te reinfectezi dupa instalarea curata… in primul rand pentru ca nu ai niciun antivirus. Este adevarat ca virusul nu va fi rezident in memorie dar trebuie sa fii foarte atent. Eu am reusit sa inlatur cu succes acest virus montand hdd-ul infectat pe un rack usb in alt calculator si scanand apoi cu kaspersky 2011… desinfect/delete. Este adevarat ca dureaza destul de mult (pt. un hdd de 250Gb aprox. 2-3 ore) dar este usor si sigur. (“Sigur” daca aveti si autorun.inf dezactivat). Succes!!!

  27. Alexandru Says:

    @Dan :
    multumesc pentru raspuns…dar…
    cu toate ca nu am hard’ul mare ( doar de 80gb ) si a 2’a partitie de doar 55 de gb, majoritatea sunt lucruri importante si nu am timpul necesar sa pun undeva la 35-40 de gb pe DVD’uri pentru a formata partitia . Am scanat cu Nod32’u si am reusit sa sterg vreo 30 de fisiere infectate ( nu toate cu sality ) . La urmatoarea scanare nu a mai gasit nimic (sper sa fie ok acum ) …
    Spuneai ceva de ” rack usb “… poti sa explici sau sa detaliezi putin ?

  28. Dan Says:

    Ai in poza de mai jos jucaria pe care mi-am achizitionat-o de curand… nu este cea mai buna dar este ieftina…
    http://blog.atweb.ro/wp-content/gallery/diverse/digitus_usb_to_ide_and_sata_hdd_adapter.jpg
    Iti conectezi HDD-ul la un alt calculator si nu conteaza ca e de 3,5 inch sau 2,5 inch, IDE sau SATA… cu aceasta jucarie te descurci de minune.
    Succes.

  29. Ionut Says:

    Cea mai desteapta metoda de a scapa de SALITY! (care se gaseste in hackuri in special pentru jocuri gen valeu… METIN2!!!!) este sa dati un scan cu removerul de la avg nu din prima cu AVIRA CA VA STERGE CU TOTUL VIRUSUL DIN FISIERE SI RAMANETI FARA FISIERE SAU PROGRAME) dupa ce s-a terminat scanarea cu avg remover o sa vedeti ca tot rau este (nu e task mng regedit etc.) dati scan cu avira si stergeti toti virusii (printre care NU-Sality.. pentru ca nu o sa va mai apara) dati delete nu carantina! bafta

  30. Costel Says:

    Excelente sfaturi! Am trecut prin toate “nenorocirile” prezentate aici. M-a ajutat Avast.Dupa formatare, instalare net, preluare Free Avast, scanare inainte de bootare. Felicitari pentru sfaturi!

  31. Costel Says:

    Revin, la mine a aparut virusul si sub denumirea KUKACKA (Parca intentionata denumire!)

  32. alex Says:

    azi am facut cea mai mare prostie din viata mea . am accesat un fisier primit pe mail si l-am dezarhivat. si in el era sality . la scanare a iesit ca este in C in adobe setup .este posibil sa fi ajuns si in alta parte?

  33. Dan Says:

    Alex, incearca o scanare full cu kaspersky si eventual ComboFix… Succes

  34. Adi Alex Says:

    app. am scanat folderul cu virusi .. si mia gazit fisiere infectate doar numai .exe … daca leam deschis atini sa invefectat ? sau aca nu le deschid … nu patesc nik ?

  35. Giani Says:

    sper sa mearga in cazul daca nu mil citeste si da eraoare cu win32

  36. Marian Says:

    Cu avira , pot oare sa resusesc sa sterg accest virus ?

  37. Problema regedit si task manager Says:

    […] executabilele din pc, de la windows la kituri de programe si jocuri. Se poate dezinfecta totusi: Virus Win32.Sality – metode de dezinfectare | Antivirus | Blog ATWEB Nimãnui nu-i pasã de semnãtura ta […]

  38. Misu_97 Says:

    Daca dezinfectia nu merge (fails), sa restartez windowsul???
    Eu acuma rulez antivirusu, da intreb ca sa stiu din timp daca se poate.
    multumesc anticipat:)

  39. Misu_97 Says:

    *reinstalez vroiam sa spun