Blog ATweb

In ultima vreme am vazut foarte multe calculatoare infectate cu una din versiunile virusului Sality (Virus.Win32.Sality.aa Win32/Sality.AM W32/Sality.ah), asa ca am decis sa ajutam “poporul” cu metode simple si accesibile pentru fiecare de dezinfectare si inlaturare a virusului.

Sality este un virus polimorfic cu capabilitati de backdoor si keylogger care infecteaza fisierele executabile (.EXE) si incearca stergerea fisierelor asociate programelor anti-virus, anti-spyware si in unele cazuri firewall. Dupa acest pas, Sality ruleaza un modul keylogger care colecteaza informatii despre sistemul infectat, inregistraza parolele si conturile de login folosite dupa care le trimite la o adresa de e-mail predefinita. Si asta nu este tot, virusul creeaza un backdoor prin care atacatorul poate prelua controlul calculatorului… de aici va puteti imagina si voi ce se poate intampla.
Ca metode de propagare virusul se raspandeste in retea si pe alte medii de stocare copiindu-se cu denumiri aleatoare si creand o cale in fisierul “autorun.inf” pentru a fi sigur ca va fi rulat.

Virusul este cunoscut sub urmatoarele denumiri:

• W32/Sality (McAfee);
• Virus.Win32.Sality.aa (Kaspersky);
• W32.Sality.AE (Symantec);
• Virus:Win32/Sality.AM (MS OneCare);
• PE_SALITY.EM (Trend);

ATENTIE !!! Orice modificare necorespunzatoare a registrilor va poate afecta stabilitatea sistemului de operare sau chiar distrugerea acestuia. Asa ca nu va jucati cu focul.

Conform Kaspersky Lab, virusul se afla pe primul loc in TOP 20: - “[...] cele mai periculoase aplicatii detectate pe calculatoarele utilizatorilor in luna ianuarie 2009:”

METODE DE INLATURARE:

Daca aveti un antivirus bun care detecteaza si poate inlatura Sality atunci folositi-l cu incredere (Clean sau Quarantine). Dar daca protectia dvs. antivirus a fost compromisa atunci puteti urma variantele descrise mai jos:

1. Incercati sa descarcati Kaspersky Virus Removal tool:
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

2. Acum va trebui sa restartati sistemul in Safe Mode (Restartati si dupa ecranul de POST: “Power-on self test” al BIOS-ului apasati F8 si selectati Safe Mode). Este posibil ca optiunea de a boota in Safe Mode sa fie dezactivata de virus. Pentru a o reactiva descarcati unul din fix-urile de mai jos:
SafeBoot-for-Windows-2000-SP4-Professional.reg
SafeBoot-for-Windows-XP-SP2.reg
SafeBoot-for-Windows-XP-SP3.reg
SafeBoot-for-Windows-Vista.reg
SafeBoot-for-Windows-Server-2003.reg
Daca nu puteti boota in Safe Mode atunci rulati Kaspersky Virus Removal tool direct in Windows…

3. In momentul in care Kaspersky Virus Removal tool a fost rulat cu succes, imaginea alaturata va aparea. Va recomand sa scanati absolut tot pentru a avea succes in inlaturarea virusului. Pe parcursul scanarii selectati dezinfectarea fisierelor infectate. Dupa finalizare va recomandam inca o scanare “Just in case”.
Timpul mediu de scanare poate varia de la 1 ora pana la 3 ore in functie de propagarea infectiei.
Pentru a grabi procesul de dezinfectare puteti alege din panoul de setari: “Do not prompt for action” si bifati: Disinfect.
ATENTIE !!! Daca veti selecta si optiunea: “Delete if disinfection fails”, este posibil ca fisiere vitale ale sistemului dvs. sa fie sterse in cazul in care dezinfectarea esueaza si sa trebuiasca apoi sa va reinstalati sistemul sau programele afectate.

4. In unele situatii, virusul blocheaza accesul asupra registrilor si a task manager-ului. Pentru a recapata controlul acestora, puteti incerca utilitarul RRT: Remove Restrictions Tool sau urmatoarele utilitare:
Registry Fix si Task Manager FIX. O metoda si mai rapida ar fi salvarea si rularea script-ului propus de Symantec: UnHookExec.inf

5. O alta metoda ar fi folosirea removal tool-ului de la AVG Anti-Virus: Win32/Sality Virus Removal Tool. Descarcati cele 3 fisiere in acelasi director si rulati fisierul: rmsality.exe

DEVIRUSARE USOARA !!!
.

Alte Surse:
Kaspersky Lab: http://support.kaspersky.com/faq/?qid=208279889
TrendMicro: http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_SALITY.AE
CA: http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=74007
Sophos: http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityaa.html
Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2008-042106-1847-99
BitDefender: http://www.bitdefender.com/VIRUS-1000406-en–Win32.Sality.OG.html
.

Articole asemanatoare

• Show hidden files and folders - VIRUS REMOVAL

Evalueaza acest articol:

 Loading ...

18 Opinii la “Virus Win32.Sality - metode de dezinfectare”

1. Adrian Says:
   January 8th, 2010 at 11:32 am

   Multumim pentru articoul tau, chiar de ajutor.

2. bhelzhebuth Says:
   February 4th, 2010 at 12:52 am

   Kaspersky Virus Removal tool, l-am,folosit cu succes pe winserver 2008 datacenter x64, si win7 ultimate x32

   multumesc de tutorial

3. Mihai Says:
   February 18th, 2010 at 12:33 am

   subscriu si eu cu Kaspersky , se poate folosi in loc de antinevralgic

4. alex Says:
   March 7th, 2010 at 3:06 pm

   da,e folositor,desi am impresia ca sality-ul e mult mai eficient de atat…daca nu merge cu Kaspersky virus removal tool puteti incerca Virus removal for Win32/Sality de la AVG

5. Vulf Says:
   March 8th, 2010 at 4:44 pm

   Bun articol, bine documentat.
   Felicitari, multumim!

6. Alex Says:
   March 8th, 2010 at 5:22 pm

   Incercati si microsoft security essentials e BON

7. Bogdan Says:
   March 25th, 2010 at 2:55 pm

   Multumesc mult.Acest virus mi-a infectat toata reteaua ; acum m-apuc sa urmaresc pasii indicati ; si cred ca voi reusi datorita ajutorului intalnit aici.Multumesc inca o data.Felicitari!!! si sanatate

8. Vladuadi Says:
   April 4th, 2010 at 11:47 pm

   Multumesc mult!

9. Alexsso Says:
   April 15th, 2010 at 6:34 pm

   Multumesc mult, bun articolul, m-a ajutat, eram si eu intr-o situatie asemanatoare, chiar mi-a salvat tot HDD-ul, multumesc mult !!!

10. jabiilord Says:
    May 2nd, 2010 at 1:33 am

    Aveti aici un link cu un mic programel ce va scapa de virus in 10 secunde: http://www.tutorialepc.ro/un-nou-virus-circula-prin-messenger-im56245-jpg-www-myspace-com-exe.html

11. Maximus Says:
    May 9th, 2010 at 1:53 pm

    Da, foarte bun instructajul, multumim ! Mentionez ca AVG m-a dezamagit in schimb KasperSky si-a facut treaba.

12. am nevoie de ajutor pt inlaturarea unui virus foarte neplacut - Page 2 - Craiova Forum Says:
    May 15th, 2010 at 10:27 am

    [...] de pe el. Are cateva utilitare care te-ar putea ajuta. In alta ordine de idei, uite si un link: http://blog.atweb.ro/2009/07/27/win3…removal_tools/, poate vei rezolva problema. Sper ca am reusit sa-ti fiu de folos cat de cat! [...]

13. dinu Says:
    May 23rd, 2010 at 10:38 am

    recent l-am scapat pe acest virus in calc si nu e de gluma in cam 1 ora mi-a infectat majoritatea executabilelor trecand cu usurinta de avira , am reusit sa-l curat cu avast boot time scan si delet all inclusiv niste exe din windows , in total se multiplicase de vreo 200 de ori in 1 ora !

14. phroz3n Says:
    May 26th, 2010 at 5:08 pm

    am scapat de sality debia dupa al doilea format(la C: )… pentru ca dupa primul nu stiam cu ce “bestie” incercam sa ma lupt in zadar …intr-un final am reusit sa instalez avast si mi l-a scos de pe cealalta partitie .
    Deci daca observati ca nu mai avtei acces la regedit si task manager, nu mai puteti copia fisiere sau nici macar creea fisiere noi … cel mai probabil aveti sality si cea mai sigura optiune dupa parerea mea ar fi format la toate partitiile … sau daca nu format doar C:(partitia cu windows) si instalarea (cat mai rapida) a avastului(chiar si versiunea free) dintr-o sursa sigura IN NICI UN CAZ DE PE PC-ul infectat, apoi un scan complet ar trebui sa rezolve problema.

15. sapi Says:
    June 3rd, 2010 at 7:16 pm

    Dupa mai multe incercari blocate de a scana…am reusit sa sterg procesele nedorite din memorie si sa curat partial sistemul folosind Dr.WEB CureIt!.
    Ulterior am putut instala si curata computerul cu Avira si F-Secure. Deocamdata totul pare in regula.

16. Alexe Emil Says:
    June 14th, 2010 at 12:39 pm

    Incerc acum pe un laptop infectat… revin cu detalii mai tarziu !

17. StelistCristi Says:
    July 3rd, 2010 at 1:11 pm

    Din pacate, multe utilitare desinfecteaza fisierele, dar nu elimina virusul. Ca si în cazul removerului AVG: desinfecteaza fisierele virusate. Daca verificati fisierele pe VirusTotal, inca mai este virusat, insa doar AVG-ul nu-l mai detecteaza ca fiind virus. Chiar si cu removerul de la Sophos - se vede in fereastra Disinfection succesful, insa daca mai rescanez iara cica il dezinfecteaza, si scannerele tot vad fisierul ca fiind infectat. Am gasit eu o metoda, cred ca merge daca reusiti sa desinfectati cat de cat calculatorul. In C:\Windows exista fisierul regedit.exe (Registry Editor). Stergeti fisierul sau redenumiti-l (eu i-am pus regedit.e1×1e). Acum virusul nu mai ruleaza, Task Managerul merge fara sa mai incerc sa-l repar pe moment cu Task manager, si imi merg site-uri care nu imi mergeau inainte datorita virusului. Unicul dezavantaj: Nu se pot adauga registrii, nu se pot aplica reg-uri. Dar puteti oricând sa-l repuneti în actiune regedit-ul. Redenumiti fisierul in regedit.exe

18. Adishor Says:
    July 24th, 2010 at 1:57 pm

    Multumim de informatii !!! Ma apuc de treaba mama lui de Sality mi-a dezactivat tot safe mode registri task manager . Sper sa-l pot inlatura

Parerea ta conteaza...