25
Aug
2009
Лечение Virus.Win32.Sality.aa – подробная инструкция
Рекомендую распечатать этот мануал перед самим лечением Virus.Win32.Sality.aa, повесить данную страницу в закладки вашего браузера, раздавать всем нуждающимся знакомым ссылки на данный мануал и всячески его продвигать – действует безотказно!
Несколько раз по работе я сталкивался с особо опасным вирусом – VIRUS.WIN32.SALITY.AA, либо в классификации Dr.Web – WIN32 SEKTOR 17. Обычно такие встречи оказывались очень неприятными, потому что компьютеры, которые были им заражены, оказывались с ценными программами типа клиент банка и разнообразными настройками и сносить винду было делом проблематичным.Однако я не терял надежду и нашел способ лечения Virus.Win32.Sality.aa
Типичные признаки Virus.Win32.Sality.aa
- Не устанавливается антивирус Касперского
- При попытке открыть диспетчер задач выдает – «диспетчер задач отключен администратором»
- При попытке открыть реестр – реестр заблокирован
- При попытке открыть сайт Касперского либо других антивирусов – пишет – узел недоступен.
- Невозможно запустить другие антивирусные утилиты – AVZ4 и пр.
- Невозможно загрузить безопасный режим
Типичные способы лечения Virus.Win32.Sality.aa
- Снести винду и отформатировать диск c: – может помочь, если сразу потом поставить каспера, обновить и начать лечение Virus.Win32.Sality.aa и других вирусов
- Попытаться отписать на форум поддержки, с указанием логов avz4, местные спецы анализируют их и бросают тебе скрипты лечения Virus.Win32.Sality.aa
Мои попытки лечения Virus.Win32.Sality.aa.
Пошел по второму пути, отписал на форуме, мне посоветовали использовать KAV Rescue Disk – , это диск 100 мб который записываешь как образ на CD-R и загружаешься с него. Там загружается линукс с предустановленной утилитой Касперского, которая обновляется и лечит вирусы, а в моем случае происходило лечение Virus.Win32.Sality.aa. Похоже на то, когда снимают винчестер и лечат его на другом компьютере. Успеха мне эта попытка не принесла, убив без малого 2 часа и найдя около 30 тел вируса, я стал искать другие методы. И нашел. Называется она SalityKiller . Должна лечить эту модификацию вируса Virus.Win32.Sality.aa, с чем вроде бы справляется, но дело в том, что вирус очень живучий и так просто его не убьешь – он генерирует сам себя и заражает все файлы, которые загружаются в оперативную память, таким образом, заражается и SalityKiller – подробно описано как ее использовать, но, подчеркну, что применение ее без других методов лечения Virus.Win32.Sality.aa пользы не принесет.
А теперь переходим к самому сладкому..
Лечение Virus.Win32.Sality.aa
делать все точно, так, как описано, и ни разу не отклоняться от мануала!
1) Во первых для лечения Virus.Win32.Sality.aa нам нужен софт:1) Dr.Web Cureit! – ,
2)AvpTool (от Касперски) 3)Cпец. утилиту от Каcперского “SalityKiller” и ветки реестра для восстановления безопасного режима Sality_RegKeys.zip . 4) Утилиту AVZ 4 Олега Зайцева. 5) Утилиту ATF Cleaner
Весь этот софт нужно качать только на чистом от вирусов компьютере и желательно записать на болванку, чтобы вирус не мог изменить данный софт. Но я лечил с флэшки и вылечил. Также нам понадобится диск типа Live CD, либо можно использовать любой другой, который позволит загрузиться в оболочке и запустить программы не запуская при этом виндовс. Я использовал минск информ и Windows PE и с нее занимался лечением Virus.Win32.Sality.aa.
2) Следующий шаг – загружаемся в обычном режиме – в безопасном вы все равно не сможете и отключаем восстановление системы.
3) Загружаемся с нашего загрузочного диска Live CD
4) Заходим в любую папку и включаем показ скрытых и системных файлов (сервис> свойства папки > вкладка вид, галочку поставить на “Отображать содержимое системных папок”, убираем галку на “Скрывать защищенные системные файлы”, ставим галку на “Показывать скрытые файлы и папки”.)
5) Заходим на каждый раздел нашего жесткого диска и ищем папку System Volume Information – заходим в нее и удаляем там все, это не нанесет никакого вреда компьютеру. Также на каждом разделе ищем папку RECYCLER и тоже все удаляем. Также можно почистить папку TEMP в каталоге windows и на диске с. Ну и если совсем не влом то можно почистить временные файлы интернет експлорера или оперы или и того и того.
6) С диска запускаем утилиту Dr.Web Cureit! Ставим в настройки – изменить настройки – типы файлов – сканировать все файлы, файлы в архивах. Вкладка действия-инфицированные лечить, неизлечимые – удалить. Там же снимаем галочку с запроса подтверждения. Жмем ок и запускаем полную проверку. Ждем. Когда все вылечит, закрываем программу.
7) Запускаем SalityKiller. Лечим вирусы. Ждем, пока не появится надпись, что все завершено.
Далее советуют запустить для пущей уверенности AvpTool, я запускал, однако он прошелся по выжженной земле, буквально ничего не найдя.
9) Загружаем нашу родную windows, которая недавно была поражена вирусами. Заходим на диск с софтом, который вы записали, ищем утилиту SalityKiller, нажимаем на ней правой клавишей мыши, и отправляем ярлык на рабочий стол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, правой клавишей нажимаем и меняем его имя, пишем SalityKiller.exe -m бросаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей по папке Автозагрузка, нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.
10) Перезагружаемся. При загрузке сразу начинает работать SalityKiller и вычищать все, что осталось, но у меня ни осталось ничего.
11) Далее открываем AVZ4 с диска, и жмем – файл – восстановление системы, там нажимаем на пункты 8, 10, 11, 13, 17 и жмем выполнить.
12) Затем открываем Sality_RegKeys, выбираем версию операционки – в моем случае – SafeBootWinXP.reg, выполняем его.
13) Перезагружаемся. Опять проверяемся салити киллером на возможность леченияVirus.Win32.Sality.aa каким то чудом оставшихся в живых, и убираем его из автозагрузки.
14) Запускаем утилиту ATF-Cleaner, ставим все галочки, а затем “Empty Selected” (очистить).
15) Затем можно устанавливать Касперского.
Все тут уже все практически вылечено, однако многие системные файлы поврежденыв связи с лечением Virus.Win32.Sality.aa, и могут начаться глюки с работой.
В связи с чем, рекомендую поставить винду поверх. На диске минскинформа этот вариант есть. Когда доходит до выбора дисков, установка виндовс говорит, что обнаружены предыдущие версии винды и не хотите ли вы их полечить, нажав на букву R? Выбираем и начинается установка винды поверх, что мало отличается от обычной установки винды, за исключением лишь того что все настройки программы и прочее останутся.
Все! Мы вылечили этот злосчастный вирус. Я потратил на лечение Virus.Win32.Sality.aa около 6 часов, правда тут зависит от объемов дисков и скорости компьютера.
Popularity: 40%
(26 votes, average: 4.92 out of 5)
Loading ...
Loading ...
Рейтинг:
1 
1
Это жопа ! Сам лечил его, потратил 2 дня
Рейтинг:
8 
4
Шаг1. Выключаете зараженный комп
Шаг2. Открываете системный блок, вынемаете жестки диск
Шаг3. Вставте в другой комп с установленным и обновленным касперским, проверяете
Шаг4. Он все проверить и удалит нужные вирусы, потом вставите жестки диск обратно.
Шаг5. Устанавливаете Каспера с обновляете его, ми делаете полную проверку.
Рейтинг:
1 
0
вирус слишком жесткий чтобы это помогло окончательно
Рейтинг:
2 
0
Вирус действительно серьёзно берётся за систему. Заражает все .EXE файлы, а так же ковыряется в установочных дистрибутивах программ, например Corel Draw и распаковывает .CAB архивы, а в них уже заражает .EXE файлы. Так что у Вас на диске появляется дистрибутив с уже встроенным Virus.Win32.Sality.aa. Методов размножения очень много. У меня даже мышку отключил. Слишком большое поле его деятельности. Сканировал все файлы на винте 5 дней NOD`ом. Он нашел около 800 копий вирусов. Только потом начинал лечение вручную. Заняло ещё немалое время. Так что ставьте антивирус Kaspersky Internet Security 2009 и обновляйтесь ежеднево. А ещё отключите автозапуск со сменных носителей. Удачи…
Рейтинг:
2 
2
Уважаемый автор, ваша статья нагло передрана
и немного изменена с оригинала статьи 
по адресу
Рейтинг:
0 
2
она была взята за основу лечения зараженного компьютера, и на основе моего личного опыта изложена моим языком.. не вижу ничего незаконного.
Рейтинг:
1 
2
Ну ржач
Цитирую
Когда доходит до выбора дисков, установка виндовс говорит, что обнаружены предыдущие версии винды и не хотите ли вы их полечить, нажав на букву R? Выбираем и начинается установка винды поверх, что мало отличается от обычной установки винды, за исключением лишь того что все настройки программы и прочее останутся.
Аффтар такое ощущение что ты никогда винду не восстанавливал!! Если выбрать востановление винды, то программы слетят! Верно что настройки и инфа останется на месте Но программы установленные тью тью
И еще почему не написали, что при выборе раздела востановления винды, установщик спросит форматировать раздел или нет? и что нужно обязательно выбрать “оставить текущую файловую систему (без форматирования) ?? И почему молчите что будет вторая винда на диске С\ в папке под названием Windows0 ?? И что папку под названием просто Windows потом нужно будет удалять через лайв СД ?? Короче статья настолько карява, что я просто удивляюсь, что еще не зафукали юзеры.. FagotAdmin Респект Он написал статью просто бомба, эта и рядом не валялась!!! В предидущем посте ссылка на нее.
Рейтинг:
1 
2
@Feed: малыш, если нажать перед установкой на кнопочку R, то никто тебя не спросит форматировать раздел с, в этом все отличие восстановления, а то что ты описываещ что будет вторая винда на диске С\ в папке под названием Windows0, это просто установка второй винды, которая конечно же не восстановит старую, и даже мало того, приведет к путанице, поэтому я даже не касался этого вопроса, так никто никогда не делает, вторую винду ставят наверх первой только полные дилетанты, которым все равно прийдется снести ее через неделю изза полного отсутствия серого вещества в черепной коробке, так что если ты не шариш в установке то не позорься плиз.
http://hitech.blogrus.ru/gallery/1888/4787-2.JPG вот здесь можно посмотреть окошко которое возникает когда нужно жать на буквочку R, оно возникает до выбора раздела установки, НО только на некоторых сборках виндовс, на звере его нету, и на самбилде тоже. Видно что именно фаготадмин и попросил написать тебя здесь комент, потому что ниодной обоснованной причины чем его статья лучше моей я не увидел, скорее она немного сыровата для простого юзера и наполнена бессмысленными коментами в стиле bash org’a, что мне нужно делать в перерывах между проверками авп и прочего.. как то я сам наверно разберусь что мне нужно в эти моменты делать:) так что устраняйте ликбез, тренируйтесь на кошках, переустанавливайте windows, отточите это до соверенства а потом приходите и пишите бессмысленные комменты, привет фаготу передавайте кста.
Рейтинг:
0 
2
Модифицированная версия не лечится вообще ничем и никакими инструкциями. Неделю а то и больше бьюсь уже.
Мне снесло доктор веб(завис, даже не дав открыться), снесло касперского(начал глючить и выводить кучу сообщений подря), испахабил Нод31(не даёт включить ни сканирование, ни настройки сменить, ни вообще даже задезть в настройки). Единственный антивирус который устоял – smart security. И то, я едва его установил, т.к. браузеры тоже сошли с ума. Открывали выборочные страницы, многие из них вызывали либо ошибку 404, либо не позволяло качать с них(например, с офф сайта нод32 я не мог скачать антивирус). Вот в итоге смарт позволил компу работать, но постоянно выводить сообщение о модифицированном sality, который никак не может удалить.
Кто нибудь знает что это и как вылечить?
Рейтинг:
0 
1
а что. так как описано не помогает?
Рейтинг:
0 
2
Это реально мощный вирус. У меня он даже винду на RW диске заразил… Но щас все норм. только msi инсталляции висят, через диспетчер задач не вырубаются, а если диск вытащишь-выдает ошибку в BIOS. Может тоже вирус?
Рейтинг:
0 
1
может я чего недогоняю, но если нажать “R”, то запускается консоль восстановления из которой доступны некоторые команды типа copy, dir, chkdisk и др. Никакой установки не начинается.
Рейтинг:
1 
1
это R в начале самом, а то R дальше на одну позицию
Рейтинг:
0 
1
Пролечил таким способом два компа, третий на очереди.
Рейтинг:
0 
1
to net_ter
ну вы же сами дали эту ссылку
http://hitech.blogrus.ru/gallery/1888/4787-2.JPG
именно после этого запускается консоль восстановления
Рейтинг:
0 
1
а ну да, соорре плохо посмотрел. кароче тут нужно выбирать установка виндовс, а затем оно еще раз должно спросить хотите ли вы попытаться восстановить уже установленную винду, это в том случае если не затерта загрузочная таблица, и жать да, после этого оно начнет восстанавливать
Рейтинг:
0 
1
а в консоле восстановление можно просто сделать fixmbr она восстановит загрузочную запись=)
а так вирус поборол=) хотя и потерял все антивири и копию утилитки старой еше=( но понял что можно лечить и так руками сносить дллку + было основное тело виря, спрятавшееся в recycler (как было у мну) и плюс 2 утилиты по лечению=)
Рейтинг:
0 
1
Бьюсь с вирусом второй день ниче не помогает. Единственный антивирь который его видит и устоял smart security но сделать с вирусом он ничего не может. Компьютор форматировать нельзя т.к инфа на нем ценна до ужоса. Накопал несколько утилит если помогут отпишу название.
Рейтинг:
0 
1
а что данный способ не помогает? отнеси веник куда нить где стоит каспер и проверь все а потом куритом
Рейтинг:
0 
1
Вот и мне попался комп с этой заразой.Два дня убил,но так и не смог его побороть.Могу лишь написать,что я нарыл.Если кому то это поможет,то диспетчер задач можно включить после работы Ad-Aware.Только не надо выбирать области сканирования (сэкономите уйму времени).Программа проверит процессы и после удаления обнаруженных двух опасных и нескольких незначительных объектов у вас будет несколько секунд чтобы включить диспетчер задач.После закрытия он будет опять заблокирован.Теперь насчет антивирусных программ.Их(я проверял на Авасте) можно запустить и при наличии вируса.Запускаем программу настройки системы и выбираем диагностический запуск.После перезагрузки у меня вручную запустился Аваст.Чтобы наверняка,я запланировал сканирование во время загрузки.Не лечит-только удаляет.Он Все зараженные файлы нашел(это практически все экзешные на двух дисках) и удалил.Файлы то удалил,а тело вируса осталось.После перезагрузки на компе ни хрена не осталось,чтобы работало-всё просит переустановки.В дальнейшей мороке не было смысла-всё отформатировал и переустановил.
Рейтинг:
0 
1
@Phursov:
Рейтинг:
0 
0
@Phursov: почему не снять веник не отнести к другу и прогнать по нему куритом? все прекрасно лечится, хотя можно и каспером
Рейтинг:
0 
0
net_ter : Хозяина компа этот вирус так достал,что он был не против всё начать с чистого листа.Так что знакомился с вирусом по собственной инициативе используя реальные советы на форумах.Могу с уверенностью Вас заверить,что ваш совет приведёт к заражению второго компа, т.к этот вирус обходил любые антивирусные программы и потом блокировал их работу.Выше описана подробная инструкция лечения Sality.aa.Есть и другие виды этого вируса.Легче попытаться сохранить “золотые”файлы диска и снести всё подчистую.
Рейтинг:
0 
0
@Phursov: я подобным образом лечил, у меня второй комп не заражался, хотя возможно у тебя какая то мутировавшая версия. в любом случае есть еще вариант лечения с помощью загрузки из под live cd. там то точно второго компа нетпрогнал куритом вылечил авз и все
Рейтинг:
0 
0
@net_ter: спасибо за советы.
Буду рад если они мне не понадобятся.Хотя уже знаю один комп с подобными симптомами.Если обратятся буду здесь 
Рейтинг:
0 
0
2) Следующий шаг – загружаемся в обычном режиме – в безопасном вы все равно не сможете и отключаем восстановление системы.
восстановление системы отключить невозможно, т.к. не заходит в свойства. мол нет прав администратора. (( что делать в таком случае?
Рейтинг:
0 
0
загрузись под livecd там попробуй
Рейтинг:
1 
0
И ещё я заметил, этот злочастный вирус создает собственную учетную запись xXx, что она делает так и не понял!
Рейтинг:
0 
0
народ, я читаю коменты и ваще в шоке( вы о чем говорите?! какой формат жд?! все это фуфло((( описываю, что у меня: комп работает норм) ни каких проблем. за исключением того, что не фурычит диспетчер задач и редактор реестра… любаю манипуляция с текстовыми доками (открыть, отправить и т. д.)-висяк компа… второй комп с новой виндой, каспер последней версии с обновленными базами, USB Guard для тормоза флехи. подключил жд, отсканировал, поудалял вири (перед подключением с зараженного жд акроником удалил папку виндовс). вылечил все флехи гурдом, т. к. каспер не может флеху почистить- пишет удаление отложено((( все вроде норм. ставлю обратно винт и устанавливаю новую винду. все работает, но на разделе есть скрытый файл-авторун.инф, который удаляется только Unlokkerом, в папке виндовс тоже сидит скрытая папка inf, которую использует системный процесс-Winlogon.exe. его завершение приводит к перезагрузке. после рестарта все восстанавливается((( диспетчер, редактор реестра и антивир работают. да, перед установкой новой винды делаю полный формат жд меджик портишеном. после подключени к нету, висяк компа, рестарт и трындец((( биос видит жд, но проги пишут, что не обнаружено ни одного винта… ф8,5,3 и т. д. не работают, т. е. я даже выбрать загрузку последней удачной конфигурации не могу((( теперь вопрос-где сидит эта гадость???!!! в загрузочном секторе или биосе?
Рейтинг:
1 
1
Большое спасибо автору!!!!!!!
Остались же добрые люди ещё!
Я долго парилась с этим вирусом! Спасибо, что не пожалели времени и всё расписали с ссылками на необходимые утилиты!!!
Всего Вам самого светлого и доброго!!!!!!!!!))))))
Рейтинг:
0 
1
@Лариса: спасибо огромное за теплые слова))
Рейтинг:
0 
1
@VaNO Rus-59: всего скорей что у тебя вирус прошился в БИОС. Прблема решается только перепрошивкой БИОСА. Ну а до прошивки можешь попробовать обнулить винчестер, создать разделы, и отформатировать их. Затем поставить винду и нужный софт и понаблюдать. Если проблема не решиться то это стопроцентов в БИОСЕ зараза сидит….
Рейтинг:
0 
0
А если Антивируса нет,то тогда капец моему компьютеру??
Рейтинг:
0 
0
Я тожe счaс воюю с этой зaрaзой . Мaстeр кaким то мaкaром скосил основной экзeмпляр wim32sality послe чeго eго чeрнaя дeятeльность былa остaновлeнa. Но остaлось множeство модифицировaнных win32sality, в коммeнтaх о нeм былa рeчь, но вскользь. Слeды дeятeльности вируса отсутствуют, ни каких пакостей ,кроме отключенного диспетчера задач. Что делать с этими потомками? Их обнаруживает smart security ,но что либо делать тщетно. Мне всего лишь нужно их вычистить!
Рейтинг:
0 
0
Доброго времени суток. Не так давно словил и я эту гадость со всеми её модификациями. Конечно способы хорошие для лечения(загрузка с диска и т.д) но есть ещё проще способ это создать нового пользователя , как не странно но всё работает и диспетчер и реестр. Я лечил таким способом сделав Ещё одного пользователя с админскими провами главное всё сделать быстро иначе и этот “User” запоритсяю
Рейтинг:
0 
0
@Ess: ну так все же заражено, я конечно так не пробоавал но мне кажется малейшее обращение к венику и твой новый юзер также заражается…