Як вилікувати комп'ютер від вірусу Virus.Win32.Sality?

Наведені нижче рекомендації з лікування комп'ютера від Virus.Win32.Sality слід застосовувати у випадках, якщо на зараженому комп'ютері не встановлено ні один з продуктів Лабораторії Касперського, і / або комп'ютер уже заражений і встановити продукт Лабораторії Касперського штатними засобами не представляється можливим. Фахівці Лабораторії Касперського так само рекомендують користуватися Аварійним диском для лікування зараженого комп'ютера.

Утиліта SalityKiller.exe, яка приведена в даній статті нижче по тексту, дозволяє детектувати і вилікувати Virus.Win32.Sality.aa, Virus.Win32.Sality.ag.

Якщо заражені комп'ютери знаходяться в локальній мережі під управлінням домену

Крок 1. Підготовка до лікування:

• скачайте файл SalityKiller.zip
• розпакуйте файл SalityKiller.zip, використовуючи програму - архіватор, наприклад, WinZip
• запустіть файл SalityKiller.exe черзі на комп'ютерах (наприклад, за допомогою комплексу Administration Kit, груповий політики сервера)

1. на всіх комп'ютерах, на яких може реєструватися і працювати доменний адміністратор
   В процесі лікування групи таких комп'ютерів не робите вхід під доменним адміністратором на будь-яких інших комп'ютерах в мережі в уникненні поширення зараження інших комп'ютерів
2. на всіх інших комп'ютерах

Не завершуйте роботу утиліти поки не буде завершено лікування всіх комп'ютерів в мережі

Крок 2. Алгоритм лікування комп'ютерів: В першу чергу лікування необхідно проводити на комп'ютерах, на яких виконано вхід з правами доменного адміністратора. Після лікування таких ви можете приступати до лікування інших комп'ютерів у вашій мережі.

• запустіть повторно на заражених комп'ютерах утиліту SalityKiller.exe (В даному випадку ніяких додаткових команд для запуску утиліти не потрібно)
• упевніться, що значок антивірусу в треї придбав червоний колір і повністю працездатний. В іншому випадку повторно антивірус через Administration Kit
• поновіть антивірусні бази (сигнатури погроз) для продукту Лабораторії Касперського, який встановлений на Вашому комп'ютері. При неможливості завантажити бази (сигнатури) через Інтернет з яких-небудь причин скористайтеся оновленням з zip-архівів:

• встановіть максимальні налаштування повної перевірки комп'ютера в інтерфейсі продукту Лабораторії Касперського
• запустіть повну перевірку комп'ютера

Крок 3. Ознаки вилікуваного комп'ютера:

• антивірус Касперського запущений і працює в штатному режимі
• повне сканування комп'ютера, не виявляє заражених об'єктів на комп'ютері

Крок 4. Очищення реєстру заражених комп'ютерів в доменній мережі:

• після виконання перевірки запустіть файл ключа реєстру на Вашому комп'ютері з архіву Sality_RegKeys.zip:
• для ОС Windows 2000 файл реєстру SafeBootWin200.reg
• для ОС Windows XP файл реєстру SafeBootWinXP.reg
• для ОС Windows 2003 файл реєстру SafeBootWinServer2003.reg
• для ОС Windows Vista файл реєстру SafebootVista.reg

Якщо заражені комп'ютери не знаходяться в мережі

• відключіть технології iSwift і iChecker , Якщо на Вашому комп'ютері встановлено і запущено один з наступних продуктів
• Антивірус Касперського 7.0
• Kaspersky Internet Security 7.0
• Антивірус Касперського 6.0
• Kaspersky Internet Security 6.0
• Антивірус Касперського 2009
• Kaspersky Internet Security 2009
• Антивірус Касперського 2010
• Kaspersky Internet Security 2010
• Антивірус Касперського 6.0 для Windows Workstations
• Антивірус Касперського 6.0 SOS
• Антивірус Касперського 6.0 для Windows Servers
• скачайте файл SalityKiller.zip
• розпакуйте файл SalityKiller.zip, використовуючи програму-архіватор (наприклад, WinZip)
• запустіть файл SalityKiller.exe

• У деяких випадках при встановленому продукті Лабораторії Касперського може з'явитися інформаційно вікно, в якому необхідно вирішити будь-яку активність процесу SalityKiller.exe

  • натисніть меню Пуск
  • виберіть пункт меню Всі програми
  • знайдіть і виберіть меню Автозавантаження
  • натисніть правою кнопкою на меню Автозавантаження
  • виберіть в контекстному меню Відкрити

  

  • клацніть правою кнопкою миші в будь-якому місці папки Автозавантаження
  • виберіть пункт меню Створити в контекстному меню
  • виберіть підпункт Ярлик
  • натисніть кнопку Огляд
  • виберіть папку, в яку Ви розпакували файл SalityKiller.exe раніше
  • виділіть файл SalityKiller.exe
  • натисніть кнопку ОК
  • натисніть кнопку Далі
  • натисніть кнопку ОК

• скачайте файл Sality_RegKeys.zip
• розпакуйте файл Sality_RegKeys.zip, використовуючи програму-архіватор (наприклад, WinZip)
• запустіть файл Disable_autorun.reg з архіву Sality_RegKeys.zip
  Також відключити автозапуск з усіх носіїв можна, запустивши утиліту SalityKiller.exe з ключем -a.
  
• натисніть Так, щоб підтвердити додавання інформації до реєстру
  
  
• поновіть антивірусні бази (сигнатури погроз) для продукту Лабораторії Касперського, який встановлений на Вашому комп'ютері. При неможливості завантажити бази (сигнатури) через Інтернет з яких-небудь причин скористайтеся оновленням з zip-архівів:
• встановіть максимальні налаштування повної перевірки комп'ютера в інтерфейсі продукту Лабораторії Касперського
• запустіть повну перевірку комп'ютера
• після виконання перевірки запустіть файл ключа реєстру на Вашому комп'ютері з архіву Sality_RegKeys.zip:
• для ОС Windows 2000 файл реєстру SafeBootWin200.reg
• для ОС Windows XP файл реєстру SafeBootWinXP.reg
• для ОС Windows 2003 файл реєстру SafeBootWinServer2003.reg
• для ОС Windows Vista файл реєстру SafebootVista.reg

Відновити гілка реєстру SafeBoot, без якої комп'ютер не буде завантажуватися в безпечному режимі, також можна за допомогою SalityKiller.exe з ключем -j.

Додаткові ключі для роботи з SalityKiller.exe з командного рядка:

-p <path> - сканувати певний каталог;
-n - сканувати мережеві диски;
-r - сканувати flash-накопичувачі, переносні жорсткі диски, що підключаються через USB і FireWire;
-y - закриття вікна після закінчення роботи утиліти;
-s - перевірка в "тихому" режимі (без виведення консольного вікна);
-l <ім'я файлу> - запис звіту в файл;
-v - ведення докладного звіту (необхідно вводити разом з параметром -l);
-x - відновлення можливості показу прихованих і системних файлів;
-a - відключення автозапуску з усіх носіїв;
-j - відновлення гілки реєстру SafeBoot (при її видаленні комп'ютер не може завантажитися в безпечному режимі);
-m - режим моніторингу для захисту від зараження системи;
-q - сканування системи, після закінчення утиліта переходить в режим моніторингу;
-k - сканування всіх дисків, розпізнавання на них файлу autorun.inf (створений вірусом Virus.Win32.Sality) і видалення autorun.inf. Так само видаляється виконуваний файл, на який посилається autorun.inf, навіть якщо цей файл вже проліковано і паче не заражений вірусом.