Як вилікувати комп'ютер від вірусу Virus.Win32.Sality?
Як вилікувати комп'ютер від вірусу Virus.Win32.Sality?
Наведені нижче рекомендації з лікування комп'ютера від Virus.Win32.Sality слід застосовувати у випадках, якщо на зараженому комп'ютері не встановлено ні один з продуктів Лабораторії Касперського, і / або комп'ютер уже заражений і встановити продукт Лабораторії Касперського штатними засобами не представляється можливим. Фахівці Лабораторії Касперського так само рекомендують користуватися Аварійним диском для лікування зараженого комп'ютера.
Утиліта SalityKiller.exe, яка приведена в даній статті нижче по тексту, дозволяє детектувати і вилікувати Virus.Win32.Sality.aa, Virus.Win32.Sality.ag.
Якщо заражені комп'ютери знаходяться в локальній мережі під управлінням домену
Крок 1. Підготовка до лікування:
- скачайте файл SalityKiller.zip
- розпакуйте файл SalityKiller.zip, використовуючи програму - архіватор, наприклад, WinZip
- запустіть файл SalityKiller.exe черзі на комп'ютерах (наприклад, за допомогою комплексу Administration Kit, груповий політики сервера)
- на всіх комп'ютерах, на яких може реєструватися і працювати доменний адміністратор
В процесі лікування групи таких комп'ютерів не робите вхід під доменним адміністратором на будь-яких інших комп'ютерах в мережі в уникненні поширення зараження інших комп'ютерів - на всіх інших комп'ютерах
Не завершуйте роботу утиліти поки не буде завершено лікування всіх комп'ютерів в мережі
Крок 2. Алгоритм лікування комп'ютерів: В першу чергу лікування необхідно проводити на комп'ютерах, на яких виконано вхід з правами доменного адміністратора. Після лікування таких ви можете приступати до лікування інших комп'ютерів у вашій мережі.
- запустіть повторно на заражених комп'ютерах утиліту SalityKiller.exe (В даному випадку ніяких додаткових команд для запуску утиліти не потрібно)
- упевніться, що значок антивірусу в треї придбав червоний колір і повністю працездатний. В іншому випадку повторно антивірус через Administration Kit
- поновіть антивірусні бази (сигнатури погроз) для продукту Лабораторії Касперського, який встановлений на Вашому комп'ютері. При неможливості завантажити бази (сигнатури) через Інтернет з яких-небудь причин скористайтеся оновленням з zip-архівів:
- встановіть максимальні налаштування повної перевірки комп'ютера в інтерфейсі продукту Лабораторії Касперського
- запустіть повну перевірку комп'ютера
Крок 3. Ознаки вилікуваного комп'ютера:
- антивірус Касперського запущений і працює в штатному режимі
- повне сканування комп'ютера, не виявляє заражених об'єктів на комп'ютері
Крок 4. Очищення реєстру заражених комп'ютерів в доменній мережі:
- після виконання перевірки запустіть файл ключа реєстру на Вашому комп'ютері з архіву Sality_RegKeys.zip:
- для ОС Windows 2000 файл реєстру SafeBootWin200.reg
- для ОС Windows XP файл реєстру SafeBootWinXP.reg
- для ОС Windows 2003 файл реєстру SafeBootWinServer2003.reg
- для ОС Windows Vista файл реєстру SafebootVista.reg
Якщо заражені комп'ютери не знаходяться в мережі
- відключіть технології iSwift і iChecker , Якщо на Вашому комп'ютері встановлено і запущено один з наступних продуктів
- Антивірус Касперського 7.0
- Kaspersky Internet Security 7.0
- Антивірус Касперського 6.0
- Kaspersky Internet Security 6.0
- Антивірус Касперського 2009
- Kaspersky Internet Security 2009
- Антивірус Касперського 2010
- Kaspersky Internet Security 2010
- Антивірус Касперського 6.0 для Windows Workstations
- Антивірус Касперського 6.0 SOS
- Антивірус Касперського 6.0 для Windows Servers
- скачайте файл SalityKiller.zip
- розпакуйте файл SalityKiller.zip, використовуючи програму-архіватор (наприклад, WinZip)
- запустіть файл SalityKiller.exe
У деяких випадках при встановленому продукті Лабораторії Касперського може з'явитися інформаційно вікно, в якому необхідно вирішити будь-яку активність процесу SalityKiller.exe
- натисніть меню Пуск
- виберіть пункт меню Всі програми
- знайдіть і виберіть меню Автозавантаження
- натисніть правою кнопкою на меню Автозавантаження
- виберіть в контекстному меню Відкрити
- клацніть правою кнопкою миші в будь-якому місці папки Автозавантаження
- виберіть пункт меню Створити в контекстному меню
- виберіть підпункт Ярлик
- натисніть кнопку Огляд
- виберіть папку, в яку Ви розпакували файл SalityKiller.exe раніше
- виділіть файл SalityKiller.exe
- натисніть кнопку ОК
- натисніть кнопку Далі
- натисніть кнопку ОК
- скачайте файл Sality_RegKeys.zip
- розпакуйте файл Sality_RegKeys.zip, використовуючи програму-архіватор (наприклад, WinZip)
- запустіть файл Disable_autorun.reg з архіву Sality_RegKeys.zip
Також відключити автозапуск з усіх носіїв можна, запустивши утиліту SalityKiller.exe з ключем -a. - натисніть Так, щоб підтвердити додавання інформації до реєстру
- поновіть антивірусні бази (сигнатури погроз) для продукту Лабораторії Касперського, який встановлений на Вашому комп'ютері. При неможливості завантажити бази (сигнатури) через Інтернет з яких-небудь причин скористайтеся оновленням з zip-архівів:
- встановіть максимальні налаштування повної перевірки комп'ютера в інтерфейсі продукту Лабораторії Касперського
- запустіть повну перевірку комп'ютера
- після виконання перевірки запустіть файл ключа реєстру на Вашому комп'ютері з архіву Sality_RegKeys.zip:
- для ОС Windows 2000 файл реєстру SafeBootWin200.reg
- для ОС Windows XP файл реєстру SafeBootWinXP.reg
- для ОС Windows 2003 файл реєстру SafeBootWinServer2003.reg
- для ОС Windows Vista файл реєстру SafebootVista.reg
Відновити гілка реєстру SafeBoot, без якої комп'ютер не буде завантажуватися в безпечному режимі, також можна за допомогою SalityKiller.exe з ключем -j.
Додаткові ключі для роботи з SalityKiller.exe з командного рядка:
-p <path> - сканувати певний каталог;
-n - сканувати мережеві диски;
-r - сканувати flash-накопичувачі, переносні жорсткі диски, що підключаються через USB і FireWire;
-y - закриття вікна після закінчення роботи утиліти;
-s - перевірка в "тихому" режимі (без виведення консольного вікна);
-l <ім'я файлу> - запис звіту в файл;
-v - ведення докладного звіту (необхідно вводити разом з параметром -l);
-x - відновлення можливості показу прихованих і системних файлів;
-a - відключення автозапуску з усіх носіїв;
-j - відновлення гілки реєстру SafeBoot (при її видаленні комп'ютер не може завантажитися в безпечному режимі);
-m - режим моніторингу для захисту від зараження системи;
-q - сканування системи, після закінчення утиліта переходить в режим моніторингу;
-k - сканування всіх дисків, розпізнавання на них файлу autorun.inf (створений вірусом Virus.Win32.Sality) і видалення autorun.inf. Так само видаляється виконуваний файл, на який посилається autorun.inf, навіть якщо цей файл вже проліковано і паче не заражений вірусом.