Virus Sality

mintak tlg semua..kom aku ni kena virus sality.then aku pakai KAV Removal untuk scan n dapat kesan dekat 400 virus sality tu pas2 bila cleankan still ada gak.So,aku gunakan sality remover ni..But dia macam tendang je la plak(maknanya bila scan sekejap die keluar balik)..mintak tlg eh sesiapa yg boleh bantu

Infected files can be healed by using of Win32/Sality removal tool.
Download the following three files ( rmsality.exe, rmsality.nt, rmsality.dos) and run the rmsality.exe file.
http://www.avg.com/filedir/util/avg_rem_sup.dir/rmsality/rmslt.exe
http://www.grisoft.cz/softw/70/filedir/util/avg_rem_sup.dir/rmsality/rmsality.nt
http://www.grisoft.cz/softw/70/filedir/util/avg_rem_sup.dir/rmsality/rmsality.dos


You can also specify the disks (or partitions) to heal as a command parameters, e.g.: "rmsality C: D:". If the command is used without parameters, it heals all disks (partitions) on computer.


*run ikut safe mode administrator.

aku try masuk safe mode tadi..sekejap dia loading pastu dia restart semula..cam ne eh?

Sality ni akan infect semua file executable (.exe), file screensaver (.scr) dan juga file web pages (.html dan .htm).
Walaubagaimanapun, disbbkn bug yg ade pada virus ni, file yg di infect tu mngkn akan corupt dan x bleh heal lg.
Cara paling berkesan ialah backup sume file anda dan reformat pc (jgn backup file exe, scr, html, atau htm atau file2 zip atau rar yg ade file2 yg disbtkn td sbb sality mampu infct file exe atau scr yg dh di compress).

Jika xnk format, bleh cube step yg ditunjukkn di sini:
http://www.istanto.net/8-step-to-remove-w32salityae.html

thanks johnburn but aku try cara yg kat bawah 2 still x leh gak..mybe kena format pulak la..

AVG nyer Sality Removal Tool karut jer, x leh remove pun .. hanya satu tool yang aku pernah guna dan terbukti berkesan dan mampu heal balik infected files, namanya Sality-Off dari Kaspersky.

e_sentinel wrote:AVG nyer Sality Removal Tool karut jer, x leh remove pun .. hanya satu tool yang aku pernah guna dan terbukti berkesan dan mampu heal balik infected files, namanya Sality-Off dari Kaspersky.

betul 2.. ko try Sality-Off dari Kaspersky insyallah berkesan..

ooo ye ke..ok aku try dulu..jap bro..aku cr dalam blog tu macam x ada je..boleh bg direct link ke post tu x bro?

Ahakss .. aku x buat review pun pasal sality kat blog tu, itu pasal x der .. hehe .. nie, direct link :- Sality-Off

tolong jangan buang dulu virus tu. aku nak.
ko simpan virus tu dan emel kat aku.
ok.

atau zipkan virus tu dan upload ke rapidshare.
thanks.

aku nak gak. aku suka virus ni...

ok..nanti aku zipkan untuk korang.. thanks semua..tapi ada 2 biji lagi kom aku yg kena virus yg sama..haha..berlebam mata nak buang plak..

tima kasih... he...he...he.
lepas ko upload ke RS, tolong bagi link yer.

aku x ada RS pny account..aku upload ke 4shared je la yer
http://www.4shared.com/file/107498094/83a3fd05/sample.html

Sality version baru akan drop satu driver dan file di %windir%\System32\drivers

pergi kat folder tu, kemudian carik 2 file ni kalau ada.. JANGAN buang dulu, just check kalau ada dan bagitahu kat sini..

asc3360pr.sys
abp470n5.sys

Kemudian pergi kat Start >> Run >> copy/paste system.ini >> Enter..

Satu textpad (system.ini) akan muncul kat Desktop.. Postkan kandungan system.ini kat sini..

Btw, kata johnburn tu betul.. The best way against Sality is to reformat.. Do NOT backup any .exe/.scr/.htm/.html/.xml files..

thanks baok on ur suggestion..unfortunately aku dh format semua PC yg ada kat umah aku nie balik..BTW thanks banyak2 kat korang..

ak pon kene virus nie...tah mane dtg...skali infected pendrive ak...habes file2 penting ak...hmmm
Virus nie virus baru ke???

akhibadak wrote:aku x ada RS pny account..aku upload ke 4shared je la yer
http://www.4shared.com/file/107498094/83a3fd05/sample.html

Aku dah download. ok thanks

ammartok wrote:ak pon kene virus nie...tah mane dtg...skali infected pendrive ak...habes file2 penting ak...hmmm
Virus nie virus baru ke???

rasa cam dh lama...thun lepas dh ada

Aku nak download tapi Avast aku detect pulak. Siot betul la. Baru nak test.

Nak tanya la, kalo kita masuk pendrive kat pc yg infected tu, dia effect kat fail exe dlm pendrive jugak ke?
Macam menarik je virus ni.. Hm...

dans kam wrote:Aku nak download tapi Avast aku detect pulak. Siot betul la. Baru nak test.

Nak tanya la, kalo kita masuk pendrive kat pc yg infected tu, dia effect kat fail exe dlm pendrive jugak ke?
Macam menarik je virus ni.. Hm...

yup...ak penah kne kt cc

nod32 mmg bagus.. clean tanpa corruptkan file tu

Aku nak download tapi Avast aku detect pulak. Siot betul la. Baru nak test.

Kalau guna Avira pun detect jugak, tapi ada option untuk ignore dan boleh dl fail tu.

nivi wrote:nod32 mmg bagus.. clean tanpa corruptkan file tu

setahu aku semua file yang tu akan corrupt...sbb ak guna bitdefend total secur. lepas scan cek file ade bole guna ade xxle...sebab sality ni keje die musnahkan file .exe xsilap la..

Salam bros Putra,

Aku dulu pernah kerja ngan Symantec, so aku nak bagi pendekatan 'ol skool la.. BTW, kalau tak tahu, banyak virus yang terbit awal 2000 - 2005 dulu, anak Mesia yang kerojekan lepas reverse engineer dan pelbagai, termasuk la berberapa kerat anak Melayu.. Virus dari Russia pon kita tak heran.. Heheh..

Secara basicnya, untuk membuang virus jenis dropper + random name generator (file nama ikut sedap bapak dia) nih, kita perlu keluar dari shell OS dan lihat struktur file tanpa invoke apa2 command Windows. Maknenya Safe Mode pon takleh ler.

Tak perlu tahu pun apa nama file, kalau kita dah biasa buat sebab file2 dropper nih kita akan kenal sebab ia bersifat anomaly (dari segi saiz, tarikh creation, dll.)

Ada banyak tool yang boleh kita guna untuk boot di luar Windows OS, time tuh Windows PE pun baru kot. Pakai USB stick pun buleh, janji dari BIOS kita enablekan boot optionnya, dan juga MBR USB stick tadi kita benarkan untuk loadkan .sys files yang berkenaan.

Aku pakai Recovery Disk untuk Ghost sebab memang nyaman sekali.

Mesti ramai tertanya2 kenapa lepas AV korang dah buang fail yang disabitkan Kanun Jenayah Cyber tuh, korang restart balik, tup2 terus ada ajer file tuh balek..

Asbab fasalnya adelah karena pencipta virus ini tidak membutuhkan korang mengeluarkan ancaman ini, jadi diletakkan 'dropper' yang amat licik untuk dikesan karena namanya tidak diblacklistkan oleh vault2 Eicar sedunia.

Dropper merangkap 'api dalam sekam', 'gunting dalam lipatan', 'ular dalam semak' ini yang harus dicari dan dimusnahkan persis Chin Peng yang mabuk darah gila brendi.

So, setelah PC korang diboot kedalam alam blue pill ala matrix nih, barulah kebenaran akan terbentang luas. Modus Operandinya adalah berkampong di dalam %system sebagai .dll munafiqin. Imbas tarikh virus mula dikesan, dan korang boleh agak2 la bila file yang pelbagai nama ni dicipta.

Jangan lupa delete sekali file yang AV korang kesan sebagai virus pemusnah bersekali dengan dropper nyer..

Insya'Allah, bukan setakat virus, apa mambang datang menjengah pun boleh diterjah dengan flying roundhouse kick tepat ke bahagian bernyawa (saper2 yg belajo silat le kan..).

Aku dah lama dah tak buat mende nih pasai aku berhijrah ke 'alam Ubuntu dah hypervisor..

Wallahu'Alam.