Приведенные ниже рекомендации по лечению компьютера от Virus.Win32.Sality следует применять в случаях, если на зараженном компьютере не установлен ни один из продуктов Лаборатории Касперского, и/или компьютер уже заражен и установить продукт Лаборатории Касперского штатными средствами не представляется возможным. Специалисты Лаборатории Касперского так же рекомендуют пользоваться Аварийным диском для лечения зараженного компьютера.

Утилита Sality_Off.exe, которая приведена в данной статье ниже по тексту, позволяет детектировать и вылечить только следующие модификации Sality:

• Virus.Win32.Sality.y
• Virus.Win32.Sality.z
• Virus.Win32.Sality.aa

Для того чтобы вылечить компьютер от вируса Virus.Win32.Sality (y/z/aa) проделайте следующее:

Если зараженные компьютеры находятся в локальной сети под управлением домена

Шаг 1. Подготовка к лечению:

• скачайте файл Sality_off.zip
• распакуйте файл Sality_off.zip, используя программу - архиватор, например, WinZip
• запустите файл Sality_off.exe с ключом -m поочередно на компьютерах (например, с помощью комплекса Administration Kit, групповой политики сервера)
1. на всех компьютерах, на которых может регистрироваться и работать доменный администратор
   В процессе лечения группы таких компьютеров не производите вход под доменным администратором на любых других компьютерах в сети во избежании распространения заражения остальных компьютеров
2. на всех остальных компьютерах

Не прерывайте работу утилиты пока не будет завершено лечение всех компьютеров в сети

Шаг 2. Алгоритм лечения компьютеров: В первую очередь лечение необходимо проводить на компьютерах, на которых выполнен вход с правами доменного администратора. После лечения таковых Вы можете приступать к лечению остальных компьютеров в Вашей сети.

• запустите повторно на зараженных компьютеров утилиту sality_off.exe (В данном случае никаких дополнительных команд для запуска утилиты не требуется)
• удостоверьтесь, что значок антивируса в трее приобрел красный цвет и полностью работоспособен. В противном случае переустановите антивирус через Administration Kit
• обновите антивирусные базы (сигнатуры угроз) для продукта Лаборатории Касперского, который установлен на Вашем компьютере. При невозможности скачать базы (сигнатуры) через Интернет по каким-либо причинам воспользуйтесь обновлением из zip-архивов:
• • для продуктов Лаборатории Касперского версии 5.0
  • для продуктов Лаборатории Касперского версии 6.0
  • для продуктов Лаборатории Касперского версии 7.0
• установите максимальные настройки полной проверки компьютера в интерфейсе продукта Лаборатории Касперского
• запустите полную проверку компьютера

Шаг 3. Признаки вылеченного компьютера:

• утилита sality_off.exe -m при повторном запуске не выявляет признаков заражения (отсутствие строки вида "infected thread terminated")
• антивирус касперского запущен и работает в штатном режиме
• полное сканирование компьютера не выявляет зараженных объектов на компьютере

Шаг 4. Очистка реестра зараженных компьютеров в доменной сети:

• скачайте файл Sality_RegKeys.zip
• распакуйте файл Sality_RegKeys.zip
• запустите файл Disable_autorun.reg из архива Sality_RegKeys.zip
• нажмите Да для подтверждения добавления информации в реестр
  
• после выполнения проверки запустите файл ключа реестра на Вашем компьютере из архива Sality_RegKeys.zip:
• для ОС Windows 2000 файл реестра SafeBootWin200.reg
• для ОС Windows XP файл реестра SafeBootWinXP.reg
• для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
• для ОС Windows Vista файл реестра SafebootVista.reg

Если зараженные компьютеры не находятся в сети

• отключите технологии iSwift и iChecker, если на Вашем компьютере установлен и запущен один из следующих продуктов
• Антивирус Касперского 7.0
• Kaspersky Internet Security 7.0
• Антивирус Касперского 6.0
• Kaspersky Internet Security 6.0
• Антивирус Касперского 6.0 для Windows Workstations
• Антивирус Касперского 6.0 SOS
• Антивирус Касперского 6.0 для Windows Servers
• скачайте файл Sality_off.zip
• распакуйте файл Sality_off.rar
• запустите файл Sality_off.exe

• В некоторых случаях при установленном продукте Лаборатории Касперского может появиться информационое окно, в котором необходимо разрешить любую активность процессу Sality_off.exe

  • нажмите меню Пуск
  • выберите пункт меню Все программы
  • найдите и выберите меню Автозагрузка
  • нажмите правой кнопкой на меню Автозагрузка
  • выберите в контекстном меню Открыть

  

  • щелкните правой кнопкой мыши в любом месте папки Автозагрузка
  • выберите пункт меню Создать в контекстном меню
  • выберите подпункт Ярлык
  • нажмите кнопку Обзор
  • выберите папку, в которую Вы распаковали файл Sality_off.exe ранее
  • выделите файл Sality_off.exe
  • нажмите кнопку ОК
  • в поле Укажите размещение объекта допишите символы -m. Таким образом строка должна быть вида C:\Sality_off.exe -m
  • нажмите кнопку Далее
  • нажмите кнопку ОК

  

• скачайте файл Sality_RegKeys.zip
• распакуйте файл Sality_RegKeys.zip
• запустите файл Disable_autorun.reg из архива Sality_RegKeys.zip
• нажмите Да для подтверждения добавления информации в реестр
  
  
• обновите антивирусные базы (сигнатуры угроз) для продукта Лаборатории Касперского, который установлен на Вашем компьютере. При невозможности скачать базы (сигнатуры) через Интернет по каким-либо причинам воспользуйтесь обновлением из zip-архивов:
• для продуктов Лаборатории Касперского версии 5.0
• для продуктов Лаборатории Касперского версии 6.0
• для продуктов Лаборатории Касперского версии 7.0
• установите максимальные настройки полной проверки компьютера в интерфейсе продукта Лаборатории Касперского
• запустите полную проверку компьютера
• после выполнения проверки запустите файл ключа реестра на Вашем компьютере из архива Sality_RegKeys.zip:
• для ОС Windows 2000 файл реестра SafeBootWin200.reg
• для ОС Windows XP файл реестра SafeBootWinXP.reg
• для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
• для ОС Windows Vista файл реестра SafebootVista.reg