NailMan - Вирусы и решения
АКЦИЯ от www.R3.ru - хостинг сайтов 72р. в месяц. Домен в подарок!


06.08.09 (12:41:37) Вирусы и решения


борьба с умными вирусами!
Virus.Win32.Sality.y
Virus.Win32.Sality.z
Virus.Win32.Sality.aa

В данной статье приведён способ с сайта касперов!
когда антивирусы безсильныкогда антивирусы безсильны

CUT

Замечание

Приведенные ниже рекомендации по лечению компьютера от Virus.Win32.Sality следует применять в случаях, если на зараженном компьютере не установлен ни один из продуктов Лаборатории Касперского, и/или компьютер уже заражен и установить продукт Лаборатории Касперского штатными средствами не представляется возможным. Специалисты Лаборатории Касперского так же рекомендуют пользоваться Аварийным диском для лечения зараженного компьютера.

Замечание

Утилита Sality_Off.exe, которая приведена в данной статье ниже по тексту, позволяет детектировать и вылечить только следующие модификации Sality:

    • Virus.Win32.Sality.y
    • Virus.Win32.Sality.z
    • Virus.Win32.Sality.aa

Для того чтобы вылечить компьютер от вируса Virus.Win32.Sality (y/z/aa) проделайте следующее:

Если зараженные компьютеры находятся в локальной сети под управлением домена

Шаг 1. Подготовка к лечению:

  • скачайте файл Sality_off.zip
  • распакуйте файл Sality_off.zip, используя программу - архиватор, например, WinZip
  • запустите файл Sality_off.exe с ключом -m поочередно на компьютерах (например, с помощью комплекса Administration Kit, групповой политики сервера)
    1. на всех компьютерах, на которых может регистрироваться и работать доменный администратор
      ВниманиеВ процессе лечения группы таких компьютеров не производите вход под доменным администратором на любых других компьютерах в сети во избежании распространения заражения остальных компьютеров
    2. на всех остальных компьютерах

Внимание

Не прерывайте работу утилиты пока не будет завершено лечение всех компьютеров в сети

Шаг 2. Алгоритм лечения компьютеров: В первую очередь лечение необходимо проводить на компьютерах, на которых выполнен вход с правами доменного администратора. После лечения таковых Вы можете приступать к лечению остальных компьютеров в Вашей сети.

  • запустите повторно на зараженных компьютеров утилиту sality_off.exe (В данном случае никаких дополнительных команд для запуска утилиты не требуется)
  • удостоверьтесь, что значок антивируса в трее приобрел красный цвет и полностью работоспособен. В противном случае переустановите антивирус через Administration Kit
  • обновите антивирусные базы (сигнатуры угроз) для продукта Лаборатории Касперского, который установлен на Вашем компьютере. При невозможности скачать базы (сигнатуры) через Интернет по каким-либо причинам воспользуйтесь обновлением из zip-архивов:
  • установите максимальные настройки полной проверки компьютера в интерфейсе продукта Лаборатории Касперского
  • запустите полную проверку компьютера

Шаг 3. Признаки вылеченного компьютера:

  • утилита sality_off.exe -m при повторном запуске не выявляет признаков заражения (отсутствие строки вида "infected thread terminated")
  • антивирус касперского запущен и работает в штатном режиме
  • полное сканирование компьютера не выявляет зараженных объектов на компьютере

Шаг 4. Очистка реестра зараженных компьютеров в доменной сети:

  • скачайте файл Sality_RegKeys.zip
  • распакуйте файл Sality_RegKeys.zip
  • запустите файл Disable_autorun.reg из архива Sality_RegKeys.zip
  • нажмите Да для подтверждения добавления информации в реестр
  • после выполнения проверки запустите файл ключа реестра на Вашем компьютере из архива Sality_RegKeys.zip:
    • для ОС Windows 2000 файл реестра SafeBootWin200.reg
    • для ОС Windows XP файл реестра SafeBootWinXP.reg
    • для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
    • для ОС Windows Vista файл реестра SafebootVista.reg

Если зараженные компьютеры не находятся в сети

  • отключите технологии iSwift и iChecker, если на Вашем компьютере установлен и запущен один из следующих продуктов
    • Антивирус Касперского 7.0
    • Kaspersky Internet Security 7.0
    • Антивирус Касперского 6.0
    • Kaspersky Internet Security 6.0
    • Антивирус Касперского 6.0 для Windows Workstations
    • Антивирус Касперского 6.0 SOS
    • Антивирус Касперского 6.0 для Windows Servers
  • скачайте файл Sality_off.zip
  • распакуйте файл Sality_off.rar
  • запустите файл Sality_off.exe
  • ЗамечаниеВ некоторых случаях при установленном продукте Лаборатории Касперского может появиться информационое окно, в котором необходимо разрешить любую активность процессу Sality_off.exe

    • нажмите меню Пуск
    • выберите пункт меню Все программы
    • найдите и выберите меню Автозагрузка
    • нажмите правой кнопкой на меню Автозагрузка
    • выберите в контекстном меню Открыть

    • щелкните правой кнопкой мыши в любом месте папки Автозагрузка
    • выберите пункт меню Создать в контекстном меню
    • выберите подпункт Ярлык
    • нажмите кнопку Обзор
    • выберите папку, в которую Вы распаковали файл Sality_off.exe ранее
    • выделите файл Sality_off.exe
    • нажмите кнопку ОК
    • в поле Укажите размещение объекта допишите символы -m. Таким образом строка должна быть вида C:\Sality_off.exe -m
    • нажмите кнопку Далее
    • нажмите кнопку ОК

  • скачайте файл Sality_RegKeys.zip
  • распакуйте файл Sality_RegKeys.zip
  • запустите файл Disable_autorun.reg из архива Sality_RegKeys.zip
  • нажмите Да для подтверждения добавления информации в реестр

  • обновите антивирусные базы (сигнатуры угроз) для продукта Лаборатории Касперского, который установлен на Вашем компьютере. При невозможности скачать базы (сигнатуры) через Интернет по каким-либо причинам воспользуйтесь обновлением из zip-архивов:
  • установите максимальные настройки полной проверки компьютера в интерфейсе продукта Лаборатории Касперского
  • запустите полную проверку компьютера
  • после выполнения проверки запустите файл ключа реестра на Вашем компьютере из архива Sality_RegKeys.zip:
    • для ОС Windows 2000 файл реестра SafeBootWin200.reg
    • для ОС Windows XP файл реестра SafeBootWinXP.reg
    • для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
    • для ОС Windows Vista файл реестра SafebootVista.reg

Автор: Admin
Опубликовано на сайте: http://nailman.wallst.ru
Прямая ссылка: http://nailman.wallst.ru/index.php?set=news&mc=readfull&do=20090806124137