Sality и его модификации

[sandkey]

Сколько сталкивался с этой гадостью.. как правило все заканчивается переустановкой. Ситуации бывают разные конечно. Интересно что замечено авп и куреит по разному реагируют на один и тот же зараженный файл, один лечит другой удаляет или калечит. В результате после такого лечения получаем кучу битых файлов (sfc для вендов. хотя после такого лечения и ее трудновато запустить бывает), а остальные проги?. Сохранять отчет и потом все удаленные файлы менять... А с реестром что делать? когда файл удаляется а в юзеринит висит и система не грузится и тд тп

А теперь вопрос:

Какие настройки по удалению, лечению данными прогами по Вашему мнению следует применять?

[Ummitium]

В безопасном режиме переименованный авп тул + салити киллер прекрасно справляются (чтобы выйти в безопасный режим, запускаете полиморфный авз, включаете AVZ Guard и восстанавливаете загрузку в безопасном режиме). Лечение подразумевает восстановление работоспособности файла (без вредоносного кода), но такие данные, как атритбуты секций, до первоначального вида не восстановишь. Главное файл рабочий и не заражает.

обсуждение некорректного лечения требует образца.

Изменено 8 ноября, 2010 пользователем Ummitium

[Fasawe]

Т.к. Sality обожает распространяться через сетевые шары - рекомендуется лечение сразу всей сети.

Также было бы неплохо локализовать источник заражения. В случае моей встречи с ним это была зараженная флешка одного из сотрудников.