Win32\Sality – Ghid pentru Devirusare Completa

win32 sality devirusareWin32\Sality este un virus de tip file infector. Odata infectat, este dificil de indepartat daca nu ai uneltele potrivite.

Un file infector va infecta de regula fisierele cu extensia .exe sau .scr. Cand programul infectat este rulat, virusul se activeaza ramanand de cele mai multe ori rezident in memorie pentru a infecta orice alt program va fi executat (de voi sau de catre alte programe\Windows).
Totusi, aceste familii de virusi sunt de mai multe tipuri. Cei mai multi dintre ei sunt polimorfi.
Ei sunt criptati cu un algoritm specific lor si contin doar o mica parte, si anume modulul de decriptare, necriptata.
Cand virusul se va activa, modulul de decodificare intra in actiune si decodifica restul virusului. Corpul virusului mai contine si un modul de criptare. Folosind un generator de numere aleatoare acest modul isi schimba algoritmul de codificare la fiecare infectare a unui nou fisier, modificand modulul de decriptare. Acest lucru face ca atat detectia cat si dezinfectia fisierelor infectate sa fie dificil de realizat.
Din pacate, virusul are unele bug-uri in cod ceea ce rezulta uneori la o infectare “neadecvata” a fisierelor exe, ceea ce duce la imposibilitatea dezinfectiei.

Acest virus are integrate, in functie de variante si capacitati de tip backdoor (accesare PC de la distanta) si keylogger (inregistrarea tastaturii).

Cum stiu ca am PC-ul infectat cu Sality ?

  • Task Manager, Registry Editor si accesarea fisierelor ascunse sunt dezactivate
  • Sunt initiate diverse conexiuni suspecte
  • Antivirusul instalat nu mai functioneaza
  • Toate fisierele executabile sunt infectate si la rularea lor veti primi erori
  • Computer-ul nu porneste in SafeMode
  • La conectarea unui dispozitiv USB vor fi create pe acesta un fisier autorun.inf si un alt fisier infectat cu denumire aleatorie si extensia .cmd sau .exe

Ghid pentru Devirusare:

1. Dezactivati System Restore – Click dreapta pe My Computer >> Properties >> System Restore si bifati Turn off System Restore on all drives:

dezactivare system restore
2. Folositi utilitarul SARDU si integrati in el Dr.Web LiveCD si Avira AntiVir Rescue System. Pentru detalii cititi aceasta postare:
http://www.faravirusi.com/2010/11/10/sardu-2-0-integreaza-mai-multe-rescue-cd-uri-antivirus-pe-un-singur-cddvd-sau-usb/

3. Introduceti DVD-ul creat la pasul anterior in unitatea DVD a PC-ului si porniti-l conform instructiunilor din postarea anterior mentionata.
Porniti INITIAL Dr. Web LiveCD.
a. La incarcarea utilitarului Dr. Web LiveCD apasati icon-ul dr. web icon (stanga jos) si apoi alegeti DrWeb Scanner.
drweb scanner
b. Bifati toate partitiile sistemului si apoi apasati Scan.

drweb scanner
c. Apasati Cure all pe masura ce vor apare detectiile.

4. Dupa terminarea scanarii restartati PC-ul si folositi Avira Rescue System de pe acelasi DVD SARDU.
a. Navigati la sectiunea Configuration, la Scan mode bifati “Scan all files”, pentru Action at malware discovery bifati DOAR “Try to repair infected files” fara a bifa si optiunea aditional de sub aceasta.
Poza este orientativa pentru gasirea tab-ului Configuration insa optiunile bifati-le conform instructiunilor descrise.

avira rescue system
b. Navigati la Virus scanner si apasati Start scanner.

5. La finalul procesului de scanare\dezinfectie scoateti DVD-ul si restartati PC-ul.

6. Acum PC-ul vostru ar trebui sa fie Fara Virusi. Pentru a inlatura si efectele secundare (dezactivarea Task Manager si Registry Editor) descarcati in calculator UnHookExec.inf de la Symantec.
Apoi dati click-dreapta pe el, alegeti Install si restartati Pc-ul.

Succes!

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

21 responses to “Win32\Sality – Ghid pentru Devirusare Completa”

  1. bogdan2

    Mai exista si varianta de Download a BitDefender LiveCD (pe Linux) de aici:
    http://download.bitdefender.com/rescue_cd/ .

    Ultima varianta nu porneste grafic intotdeauna, semn ca Knopix-ul pe care e construit nu gaseste hardware-ul totdeauna sau nu poate initializa grafica. Deasemenea, ultima varianta de pe pagina are din cind in cind o problema si .. DISPARE! Il pornesti, scaneaza, totul e in regula .. si PAC! dispare ca si cind nici nu l-ai fi pornit. Si uneori face asta dupa ce a scanat jumatate de ora, o ora .. si vezi multumit ca a gasit fisiere virusate (trag cu ochiul in log) .. Cei de la BitDefender stiu de probleme. Iata raspunsul lor la semnalarile mele:

    “Re: [Ticket ID:2010 01 23 1002…] BitDefender

    Stimate domn Bogdan Horodinca,

    Pentru situatia in care procesul de boot ramane “agatat”, cel mai probabil la
    detectia hardware, va sugeram sa folositi optiunea de boot “failsafe” (apasati
    TAB dupa incarcarea loaderului si adaugati “failsafe” dupa
    “BOOT_IMAGE=knoppix) care va elimina aproape complet aceasta detectie,
    neafectand insa functionarea corecta a produsului. Intr-adevar, au fost
    primite cateva raportari referitor la inchiderea scanarii BitDefender ca si
    cum nu ar fi pornit, tocmai de aceea va sugeram utilizarea versiunii mai
    vechi, la care nu am avut astfel de raportari. Va multumim”

    In rest acest CD e de baza in devirusarile mele. Am calculatorul de test pe care BD porneste grafic, pun hardul omului inauntru si ii dau bice.

    Si pentru ca sunt la rubrica Sality .. sa mai mentionez ca se descurca foarte bine cu devirusarea diferitilor Sality.Bla.Bla. Mai verific cu SuperAntispyware sau Treatfire sau Malwarebytes si la sfirsit UnHookExec.inf sau ReEnable .. si gata.

    Succes.

  2. hackel1te.info/dc.exe – virus ce pretinde ca este noul Yahoo! messenger 11

    […] sistem si in scurt timp PC-ul va deveni inoperabil.Pentru DEVIRUSARE urmati pasii descrisi aici: http://www.faravirusi.com/2009/09/21/win32sality-ghid-pentru-devirusare-completa/Related posts:Utilitar Fals care pretinde ca sterge Virusii pentru Yahoo! MessengerALERTA: Nou virus […]

  3. danutz

    multumesc pt tutorial.nu am calc in acest moment infectat ci doar pentru timpul pierdut.tot am ceva legatura cu modul de infectare al fisierelor exe.acum 3 ani mi s-a intamplat sa am pe partitia(non sistem) unde imi tin fisierele descarcate(unde maj sunt .exe)sa mi le faca de nefolosit.dupa ce am incercat 2 av in schimb al-3-lea a reusit sa le si vindece( bitdefender) pe cand ceilalti 2 av dupa detectie le bagau in seif ori le stergeau.

  4. viorel

    Sal cum fac sa scap de acest virus nu am niciun antivirus alta metoda nu este decat aici nu stiu ce sa fac ??????????????? ajutatima dar cu alta metoda

  5. viorel

    nu merge nimic farza pc nu stiu ce sa mai faci jocurile nu merge programele nici atata nici antivirusi sai instalez un merge nimic !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  6. Gigi
  7. viorel

    sal gigi deci am instalat kaspersky antivirus 2011 bedea am reusi deci la mine nu merge cd rom acuma ca am antivirus in pc pot sa scot virusil sality fara un cd recue cu kaspersky

  8. Gigi

    Din PC nu prea poti elimina virusul doar cu antivirusul care si el este probabil infectat.

    Poti boota de pe USB? Daca da, pune imaginea Kaspersky Rescue CD pe stick USB (vezi aici: http://blogger-warning.blogspot.com/2011/03/kaspersky-usb-rescue-disk-maker-scanare.html ) si continui mai departe cu instructiunile de la articolul precedent.

  9. [Solutie] You’ve received A Carrefour Bank E-Card! – Email infectat

    […] un virus foarte periculos de tip file infector.Pentru DEVIRUSARE urmati ghidul scris de mine aici: http://www.faravirusi.com/2009/09/21/win32sality-ghid-pentru-devirusare-completa.nrelate .nr_sponsored{ left:0px !important; } // var entity_decoded_nr_url = […]

  10. [Solutie] You’ve received A Carrefour Bank E-Card! – Email infectat

    […] un virus foarte periculos de tip file infector.Pentru DEVIRUSARE urmati ghidul scris de mine aici: http://www.faravirusi.com/2009/09/21/win32sality-ghid-pentru-devirusare-completaMultumesc lui Farcas Gelu Danut pentru atentionare!.nrelate .nr_sponsored{ left:0px !important; } […]

  11. [Solutie] You’ve received A McDonald’s Bank E-Card! – Email ce propaga virusi

    […] un virus foarte periculos de tip file infector.Pentru DEVIRUSARE urmati ghidul scris de mine aici: http://www.faravirusi.com/2009/09/21/win32sality-ghid-pentru-devirusare-completaMultumesc lui Farcas Gelu Danut pentru atentionare!.nrelate .nr_sponsored{ left:0px !important; } […]

  12. [Solutie] Hello dear friend! – Email infectat

    […] Pentru DEVIRUSARE urmati ghidul scris de mine aici: http://www.faravirusi.com/2009/09/21/win32sality-ghid-pentru-devirusare-completa […]

  13. Gabryel

    Antivirusi – multi stiu sa blocheze un virus …putini stiu si sa-l scoata 🙂
    Maestre ai uitat sa treci si CD-ul cu windows – pt. “repair” si scanarea calculatorului nu se face cu el conectat la net

  14. [Solutie] Facebook Mesenger NEW Download FREE – Virus nou raspandit pe Facebook

    […] DEVIRUSARE urmati ghidul scris de mine aici: http://www.faravirusi.com/2009/09/21/win32sality-ghid-pentru-devirusare-completa .nrelate .nr_sponsored{ left:0px !important; } […]

  15. anonim

    formatare de hdd scapi de virusii

  16. Costache Ionut Richard

    Deci 😐 Mie nu imi functioneaza.Virusul “sality” imi blockeaza dr.web direct din download…asa face cu orice antivirus 😐 m4a1_ionutz id meu pe care intru mai des. i need help 😐 incerc de 2 luni sa scap de virus asta si nu reusesc 🙁 Nu vreau sa reinstalez windows pt. ca am documente foarte foarte importante in pc…
    Deci … need help 😕 please.
    m4a1_ionutz

    Richard ON.

  17. eu

    Eu am scanat calculatorul cu avast si virusul infectase foarte multe fisiere din sistem32 si documents and setings. Am incercat formatarea hard-ului si reinstalarea windows-ului dar tot mai cred ca am fisiere infectate(erori la pornirea windows-ului si la pornirea altor programe). Vreau sa stiu daca pot sa scap de virus folosind doar pc-ul meu, fara cd sau memory stick(am luat virusul de pe stick). Un antivirus care sa deviruseze fisierele, nu sa le puna in carantina sau sa le stearga

  18. Aurel

    Daca am scanat calculatorul cu kaspersky virus removal tool, luat de la un prieten, pus pe stick, si pornit fara nicio problema, el detectand o multime de locatii ale virusului sality, mai apoi “distrugandu-le”, mai exista vreo problema?

  19. Mara

    Salut! Am avut si eu acest virus pe calculator. Nu mi-am dat de la bun inceput seama ca era vorba de Win32. Acestea au fost
    “modificarile” de pe PC-ul meu…
    -Opera si google chrome se deschideau cu Ista surf (virusul win32 la inceput/ virusul r9)
    -Calculatorul se inchidea cand dorea el (sau cand dorea virusul)
    -programele antivirus nu puteau fi folosite pentru ca atunci cand porneam curatarea , calculatorul era inchis automat de virus.
    -antivirusul Nvidia force a fost preluat de win32 (nucleul virusului)
    Pana la urma, am invins dracusorul cu Avast. Dar orce-ar fi, nu va instalati PCcleaner. Acesta este un aliat al lui win32, care iti multiplica virusul numai ca sa cumperi versiunea intreaga)

Leave a Reply