Remoção: Win32.sality (sality.y, Sality.z E Sality.aa)
Se seu antivirus parar de funcionar mesmo sem vc ter desinstalado, e outros programas começarem a não abrir quando vc dá os dois cliques, cuidado, você pode estar sendo vitima de uma praga virtual que cada vez mais infecta computadores no mundo, o famigerado sality!!!
Corri atraz e achei esse tuto que pode ajudar as vítimas desse vírus dos infernos!!!
1.
*Baixe o programa Sality_off em http://rapidshare.com/files/261050458/Sality_off.rar e salve-o no desktop:
*Extraia o conteúdo de sality_off.rar para C:\
*Desative seu antivírus temporariamente
*Clique em Iniciar > Executar > digite: C:\Sality_off.exe -m
*Clique OK
*Mantenha o programa rodando. Não feche esta janela!!...se desejar, minimize-a.
Entendendo o motivo:
Citação:
Mantendo o referido programa com esta função ( -m ), ele permanecerá monitorando a pasta C:\system32, evitando assim futuras contaminações pelo Sality.
2.
*Agora, dê duplo clique no arquivo C:\Sality_off.exe e aguarde. Ao receber a mensagem "Pressione qualquer tecla para continuar...", tecle [ENTER]
*O programa será fechado automaticamente.
*Agora feche a janela do monitoramento da memória.
3.
*Baixe o programa Dr.Web CureIt em http://rapidshare.com/files/261064706/Dr.web-cureit.exe salve-o no desktop
(Este antivírus é bom, pois permite limpar arquivos contaminados)
*Duplo clique em drweb-cureit.exe e instale o programa
*Clique em Iniciar e aguarde o scan inicial das áreas vitais do sistema terminar
*Caso encontre algo, clique em "Sim"
*Ao término, selecione a opção "Scan completo" e clique na seta verde ou azul
*Clique sempre "Sim" para a remoção
*Ao término, clique em "Arquivo" e salve o relatório no desktop
*Feche o DrWebCureIt e reinicie o PC
*A ferramenta de monitoramento (passo 1) será fechada automaticamente.
4.
*Baixe o arquivo Sality_regkeys em http://rapidshare.com/files/261061778/Sality_regkeys.rar salve-o no desktop
*Extraia o conteúdo de Sality_RegKeys.zip para o desktop
*Na pasta SalityRegKeys dê duplo clique no arquivo Disable_autorun.reg e aceite a entrada no registro
*Na mesma pasta dê duplo clique no arquivo, segundo a versão do seu SO, e aceite a entrada no registro:
SafeBootWinXP.reg => para Windows XP
SafeBootWin200.reg => para Windows 2000
SafeBootWinServer2003.reg => para Windows Server 2003
SafebootVista.reg => para Windows Vista
*Localize o arquivo Disable autorun.reg , dê duplo clique nele e aceite a entrada no registro
*Reinicie o PC
Obs:
Caso você receba a mensagem "A edição do registro foi desativada pelo administrador" ao tentar fazer o passo 4 faça o seguinte procedimento:
Citação:
*Clique em [Iniciar] > [Executar] > digite: gpedit.msc
*Clique em Configurações do usuário > Modelos administrativos > Sistema
*Do lado direito, clique em: "Impedir acesso a ferramentas de edição do registro"
*Selecione "Desativado"
*Agora repita o passo 4 conforme descrito.
5.
*Faça um scan online para confirmar a remoção.
6.
*Não havendo nada, desinstale o programa Dr.WebCureIt e todos os programas utilizados na remoção.
*Delete a pasta C:\Documents and Settings\Usuário\DoctorWeb se ainda existir.
7.
*Desative a Restauração do Sistema e ative-a novamente a seguir.
Uma dica importante para não pegar esse virus pelo pendrive é desativar a execuçao automatica. No Vista e seven basta abrir icone reprodução automática no painel de controle e desmarcar a opção usar reprodução automática em todas as mídias e dispositivos. No windows XP vc pode desativala indo em Iniciar > Executar > digite: gpedit.msc, clique em modelos administrativos, sistema, desativar auto executar, clique em ativado e marque a opçao todas as unidades, clique em ok e feche a janela.
Lembrando que o sality tem várias versões, certa vez vi uma em que ele ocultava as pastas do pendrive e criava virus com icones de pastas e com os mesmos nomes das pastas ocultadas. Ao clicar no virus pensando que eram as suas pastas elas nao abriam, isso fez com que a pessoa saisse colocando o pendrive em vários micros querendo abrir as pastas que continham seus arquivos, disseminando assim a praga nos computadores de parentes e amigos.
Se seu antivirus parar de funcionar mesmo sem vc ter desinstalado, e outros programas começarem a não abrir quando vc dá os dois cliques, cuidado, você pode estar sendo vitima de uma praga virtual que cada vez mais infecta computadores no mundo, o famigerado sality!!!
Corri atraz e achei esse tuto que pode ajudar as vítimas desse vírus dos infernos!!!
1.
*Baixe o programa Sality_off em http://rapidshare.com/files/261050458/Sality_off.rar e salve-o no desktop:
*Extraia o conteúdo de sality_off.rar para C:\
*Desative seu antivírus temporariamente
*Clique em Iniciar > Executar > digite: C:\Sality_off.exe -m
*Clique OK
*Mantenha o programa rodando. Não feche esta janela!!...se desejar, minimize-a.
Entendendo o motivo:
Citação:
Mantendo o referido programa com esta função ( -m ), ele permanecerá monitorando a pasta C:\system32, evitando assim futuras contaminações pelo Sality.
2.
*Agora, dê duplo clique no arquivo C:\Sality_off.exe e aguarde. Ao receber a mensagem "Pressione qualquer tecla para continuar...", tecle [ENTER]
*O programa será fechado automaticamente.
*Agora feche a janela do monitoramento da memória.
3.
*Baixe o programa Dr.Web CureIt em http://rapidshare.com/files/261064706/Dr.web-cureit.exe salve-o no desktop
(Este antivírus é bom, pois permite limpar arquivos contaminados)
*Duplo clique em drweb-cureit.exe e instale o programa
*Clique em Iniciar e aguarde o scan inicial das áreas vitais do sistema terminar
*Caso encontre algo, clique em "Sim"
*Ao término, selecione a opção "Scan completo" e clique na seta verde ou azul
*Clique sempre "Sim" para a remoção
*Ao término, clique em "Arquivo" e salve o relatório no desktop
*Feche o DrWebCureIt e reinicie o PC
*A ferramenta de monitoramento (passo 1) será fechada automaticamente.
4.
*Baixe o arquivo Sality_regkeys em http://rapidshare.com/files/261061778/Sality_regkeys.rar salve-o no desktop
*Extraia o conteúdo de Sality_RegKeys.zip para o desktop
*Na pasta SalityRegKeys dê duplo clique no arquivo Disable_autorun.reg e aceite a entrada no registro
*Na mesma pasta dê duplo clique no arquivo, segundo a versão do seu SO, e aceite a entrada no registro:
SafeBootWinXP.reg => para Windows XP
SafeBootWin200.reg => para Windows 2000
SafeBootWinServer2003.reg => para Windows Server 2003
SafebootVista.reg => para Windows Vista
*Localize o arquivo Disable autorun.reg , dê duplo clique nele e aceite a entrada no registro
*Reinicie o PC
Obs:
Caso você receba a mensagem "A edição do registro foi desativada pelo administrador" ao tentar fazer o passo 4 faça o seguinte procedimento:
Citação:
*Clique em [Iniciar] > [Executar] > digite: gpedit.msc
*Clique em Configurações do usuário > Modelos administrativos > Sistema
*Do lado direito, clique em: "Impedir acesso a ferramentas de edição do registro"
*Selecione "Desativado"
*Agora repita o passo 4 conforme descrito.
5.
*Faça um scan online para confirmar a remoção.
6.
*Não havendo nada, desinstale o programa Dr.WebCureIt e todos os programas utilizados na remoção.
*Delete a pasta C:\Documents and Settings\Usuário\DoctorWeb se ainda existir.
7.
*Desative a Restauração do Sistema e ative-a novamente a seguir.
Uma dica importante para não pegar esse virus pelo pendrive é desativar a execuçao automatica. No Vista e seven basta abrir icone reprodução automática no painel de controle e desmarcar a opção usar reprodução automática em todas as mídias e dispositivos. No windows XP vc pode desativala indo em Iniciar > Executar > digite: gpedit.msc, clique em modelos administrativos, sistema, desativar auto executar, clique em ativado e marque a opçao todas as unidades, clique em ok e feche a janela.
Lembrando que o sality tem várias versões, certa vez vi uma em que ele ocultava as pastas do pendrive e criava virus com icones de pastas e com os mesmos nomes das pastas ocultadas. Ao clicar no virus pensando que eram as suas pastas elas nao abriam, isso fez com que a pessoa saisse colocando o pendrive em vários micros querendo abrir as pastas que continham seus arquivos, disseminando assim a praga nos computadores de parentes e amigos.
0 comentários:
Postar um comentário