Virus win32 sality gen

Некоторые вирусы могут заразить компьютер таким образом, что вылечить его не получится никакими другими средствами, кроме как одного — переустановив систему Windows. До недавнего времени таким вредителем являлся Sality.

 

Он не оставлял практически никаких шансов «освободить» компьютер: блокировал диспетчер задач, не позволял отправлять электронные письма и запускать антивирусные программы, не давал заходить на сайты каких-либо антивирусов, скачивать и устанавливать их, использовать другие виды борьбы с «вредоносными программами» и пр.

В общем, оставалось лишь полностью обновлять систему.

 

Однако появился метод лечения в виде утилиты SalityKiller, которая способна действовать и в таких экстремальных условиях.

О том, как ее использовать, читайте ниже.

 

Как вылечить систему от вируса Sality?

Первое, о чем следует знать — применение данной программы возможно при определенных условиях, а именно: когда на зараженном компьютере не установлен антивирус Касперского и если уже не удается обычными средствами установить соответствующий продукт. В данном случае рекомендуется скачать SalityKiller, что можно сделать бесплатно по ссылке с нашего сайта.

 

 

Этот софт позволяет обнаруживать и «дезинфицировать» следующие модификации вируса Sality ? aa, ae, ag, bh. У нас всегда имеется самая последняя версия программы SalityKiller 1.3.6.0, которой и следует воспользоваться для корректного и более эффективного обнаружения/удаления вируса.

 

Для лечения вашей компьютерной системы необходимо следовать следующему алгоритму действий:

 

  1. После скачивания утилиты без регистрации и смс распаковываем ее на жестком диске и запускаем файл SalityKiller.exe. (используйте ключ «m» — мониторинг потоков и процессов). Для автоматического запуска создайте ярлык (в меню «Автозагрузка»), дописав в поле указания размещения объекта символ «m». Выглядеть это будет примерно следующим образом: C:\SalityKiller.exe-m.
  2. Повторно запускаем SalityKiller для полной проверки системы со следующими ключами:
  • «a» — отключает автозапуск с любых носителей;
  • «j» — восстанавливает ветки SafeBoot-реестра (нужен для загрузки системы в безопасном режиме);
  • «k» — сканирует диски и распознает файлы, созданные вирусом Sality (autorun.inf), удаляет их.

После того, как работа утилиты завершена, необходимо установить антивирус, обновить его базы. Если через Интернет сделать это не удается, то воспользуйтесь обновлениями из скачанных с сайта архивов. Программа подчистит оставшиеся хвосты и вирусы.

 

Для исправления реестра необходимо скачать и распаковать файл Sality_RegKeys.zip, запустить из архива Disable_autorun.reg. В появившемся окне необходимо подтвердить добавление в реестр информации. После проверки запустить из архива файл ключа реестра SafeBoot.

 

Удобное использование SalityKiller

Для управления этим приложением для Windows из командной строки имеются также дополнительные ключи:

 

  • «v» — запись отчета в подробностях;
  • «l» — сохранение отчета в файл;
  • «x» — восстанавливает показ системных и скрытых файлов;
  • «r» — сканирует подключенные через USB жесткие диски, флеш-накопители и пр.;
  • «q» — сканирует систему, после чего включается режим мониторинга и др.

 

С данной утилитой вы легко обнаружите и избавитесь от вредоносного вируса Sality. Пользование софтом упрощает его русская версия и приведенный выше алгоритм лечения. Признаками того, что система «здорова», являются следующие:

 

  • антивирус запущен, работает в штатном режиме;
  • при полном сканировании не выявлено зараженных файлов.

Скачать

 

Данную утилиту рекомендуем к тестированию и применению по мере необходимости. До скорых встреч!

Данная программа представляет собой файловый вирус с троянским функционалом.

Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта.

Инсталляция

При запуске зараженного файла из тела вируса извлекается следующий файл:

* %System%\oledsp32.dll — имеет размер 25600 байт

Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе.

Процедура заражения

Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR.

Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт.

При заражении вирус дописывает себя в конец последней секции PE-файла.

После того как Sality.t завершает свою работу, управление снова передается оригинальной программе.

Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска.

Деструктивная активность

Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов.

Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь.

Собранная информация сохраняется в зашифрованном виде внутри следующего файла:

%System%\TFTempCache

В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время.

Кроме того, туда помещается информация о дате и времени работы с окнами, содержащими в заголовках такие строки:

* TERM * CONNECT * СОЕДИНЕН * УДАЛЕНН * REMOTE * LOGIN * PASS * СВЯЗ * ТЕРМ * ПОДКЛЮЧ * MOZIL * OUTLOOK * SERV * ПОЧТ * NET * CHAT * MONEY * РЕГИСТ * EGIST * SYSTEM * ПАРОЛ * PIN * ПЕРЕД * ПИН

Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL.

Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя.

Содержимое файла «%WinDir%\edialer.ini» похищается.

Все собранные данные вирус отсылает на один из электронных адресов злоумышленника:

sector****@list.ru ****ntovij@list.ru

Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями:

.vdb .key .avc .tjc

Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Share

Использование всей оперативной памяти в 32-битных Windows.

Данная программа добавляет второе ядро для загрузки операционной системы: ntkr128g.exe
Статьи (на английском), объясняющие причины использования 32-битными системами меньше памяти чем установлено и помогающие понять принцип работы данной программы:

http://support.microsoft.com/kb/978610
http://www.geoffchappell.com/viewer.htm?doc=notes/windows/license/memory.htm

1) Скачайте ReadyFor4GB от deepxw.
2) Распакуйте его в любую папку и запустите ReadyFor4GB.exe

3) Нажмите на кнопку Check, затем на кнопку Apply.

4) Нажмите на кнопку Да (Yes) для пропатчивания ntkrnlpa.exe

5) Нажмите на кнопку ОК для подтверждения места сохранения файла ntkr128g.exe

6) Закройте окно программы ReadyFor4GB.
7) Нажмите правой кнопкой мыши на файл AddBootMenu.cmd и выберите пункт Запуск от имени администратора
8) Нажмите клавишу “Y” для подтверждения или клавишу “Q” для выхода, и нажмите Enter.

9) Дождитесь окончания работы скрипта и закройте программу.

10) Нажмите правой кнопкой мыши на файл RemoveWatermarkX86.exe и выберите пункт Запуск от имени администратора

11) Нажмите клавишу “Y” для подтверждения.

Резервная копия “user32.dll.mui” будет сохранена как \Windows\System32\en-US\user32.dll.mui.backup.
Строка “en-US” зависит от языка Вашей системы.
12) Дождитесь окончания патча и перезагрузите компьютер.
13) Компьютер перезагрузится, покажет Диспетчер загрузки Windows (Windows Boot Manager) и загрузит Microsoft Windows [128GB with ntkr128g.exe]

14) Если надпись “Тестовый режим” после перезагрузки осталась на Вашем рабочем столе, то Вам надо перестроить кэш MUI.

Для этого:
14.1) Нажмите правой кнопкой мыши на файл RemoveWatermarkX86.exe и выберите пункт Запуск от имени администратора
14.2) Нажмите клавишу “R” для подтверждения.

14.3) Дождитесь окончания перестройки кэша, а затем перезагрузите компьютер.
Примечание:

П.1) Файлы обязательно запускать от имени администратора, и только в операционной системе Windows 7 x86 (32-Bit).
П.2) Для удаления записи о другой Windows из диспетчера загрузки:
П.2.1) Запустите Конфигурация системы: Панель управления -> Администрирование -> Конфигурация системы (или нажав Win+R -> msconfig -> Ok)
П.2.2) Перейдите на вкладку Загрузка.
П.2.3) Выделите пункт загрузки, который Вы желаете удалить и нажмите кнопку Удалить.
П.3) Если после применения патча у Вас по-прежнему показывает значение менее 4 Гб, то Вы можете скачать готовый файл ntkr128g.exe и скопировать его в папку C:\Windows\System32:

http://file.qip.ru/file/1C7BVO4j/ntkr128g.html

Если и после этого у Вас не появится 4 гб памяти, то видимо Ваша оперативная память не отдает доступ к необходимым адресам памяти.
Следовательно для использования полностью всей оперативной памяти рекомендую Вам установить 64-битную Windows.

Сайт автора

Добавить комментарий

Закрыть меню