Утилита SalityKiller.exe, которая приведена в данной статье ниже по тексту, позволяет детектировать и вылечить Virus.Win32.Sality.aa, Virus.Win32.Sality.ag.

Если зараженные компьютеры находятся в локальной сети под управлением домена

Шаг 1. Подготовка к лечению:

• скачайте файл SalityKiller.zip
• распакуйте файл SalityKiller.zip, используя программу - архиватор, например, WinZip
• запустите файл SalityKiller.exe поочередно на компьютерах (например, с помощью комплекса Administration Kit, групповой политики сервера)
1. на всех компьютерах, на которых может регистрироваться и работать доменный администратор
   В процессе лечения группы таких компьютеров не производите вход под доменным администратором на любых других компьютерах в сети во избежании распространения заражения остальных компьютеров
2. на всех остальных компьютерах

Не прерывайте работу утилиты пока не будет завершено лечение всех компьютеров в сети

Шаг 2. Алгоритм лечения компьютеров: В первую очередь лечение необходимо проводить на компьютерах, на которых выполнен вход с правами доменного администратора. После лечения таковых вы можете приступать к лечению остальных компьютеров в вашей сети.

• запустите повторно на зараженных компьютерах утилиту SalityKiller.exe (В данном случае никаких дополнительных команд для запуска утилиты не требуется)
• удостоверьтесь, что значок антивируса в трее приобрел красный цвет и полностью работоспособен. В противном случае переустановите антивирус через Administration Kit
• обновите антивирусные базы (сигнатуры угроз) для продукта Лаборатории Касперского, который установлен на Вашем компьютере. При невозможности скачать базы (сигнатуры) через Интернет по каким-либо причинам воспользуйтесь обновлением из zip-архивов:
• для продуктов Лаборатории Касперского версии 5.0
• для продуктов Лаборатории Касперского версии 6.0
• для продуктов Лаборатории Касперского версии 7.0

• установите максимальные настройки полной проверки компьютера в интерфейсе продукта Лаборатории Касперского
• запустите полную проверку компьютера

Шаг 3. Признаки вылеченного компьютера:

• антивирус касперского запущен и работает в штатном режиме
• полное сканирование компьютера не выявляет зараженных объектов на компьютере

Шаг 4. Очистка реестра зараженных компьютеров в доменной сети:

• скачайте файл Sality_RegKeys.zip
• распакуйте файл Sality_RegKeys.zip, используя программу-архиватор (например, WinZip)
• запустите файл Disable_autorun.reg из архива Sality_RegKeys.zip
  
  Также отключить автозапуск со всех носителей можно, запустив утилиту SalityKiller с ключом -a.
  
• нажмите Да для подтверждения добавления информации в реестр
  
  

• после выполнения проверки запустите файл ключа реестра на Вашем компьютере из архива Sality_RegKeys.zip:
• для ОС Windows 2000 файл реестра SafeBootWin200.reg
• для ОС Windows XP файл реестра SafeBootWinXP.reg
• для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
• для ОС Windows Vista файл реестра SafebootVista.reg

Если зараженные компьютеры не находятся в сети

• отключите технологии iSwift и iChecker, если на Вашем компьютере установлен и запущен один из следующих продуктов
• Антивирус Касперского 7.0
• Kaspersky Internet Security 7.0
• Антивирус Касперского 6.0
• Kaspersky Internet Security 6.0
• Антивирус Касперского 2009
• Kaspersky Internet Security 2009
• Антивирус Касперского 2010
• Kaspersky Internet Security 2010
• Антивирус Касперского 6.0 для Windows Workstations
• Антивирус Касперского 6.0 SOS
• Антивирус Касперского 6.0 для Windows Servers
• скачайте файл SalityKiller.zip
• распакуйте файл SalityKiller.zip, используя программу-архиватор (например, WinZip)
• запустите файл SalityKiller.exe

• В некоторых случаях при установленном продукте Лаборатории Касперского может появиться информационое окно, в котором необходимо разрешить любую активность процессу SalityKiller.exe

  • нажмите меню Пуск
  • выберите пункт меню Все программы
  • найдите и выберите меню Автозагрузка
  • нажмите правой кнопкой на меню Автозагрузка
  • выберите в контекстном меню Открыть

  

  • щелкните правой кнопкой мыши в любом месте папки Автозагрузка
  • выберите пункт меню Создать в контекстном меню
  • выберите подпункт Ярлык
  • нажмите кнопку Обзор
  • выберите папку, в которую Вы распаковали файл SalityKiller.exe ранее
  • выделите файл SalityKiller.exe
  • нажмите кнопку ОК
  • нажмите кнопку Далее
  • нажмите кнопку ОК

   

• скачайте файл Sality_RegKeys.zip
• распакуйте файл Sality_RegKeys.zip, используя программу-архиватор (например, WinZip)
• запустите файл Disable_autorun.reg из архива Sality_RegKeys.zip
  
  Также отключить автозапуск со всех носителей можно, запустив утилиту SalityKiller.exe с ключом -a.
  
• нажмите Да для подтверждения добавления информации в реестр
  
  
  
• обновите антивирусные базы (сигнатуры угроз) для продукта Лаборатории Касперского, который установлен на Вашем компьютере. При невозможности скачать базы (сигнатуры) через Интернет по каким-либо причинам воспользуйтесь обновлением из zip-архивов:
• для продуктов Лаборатории Касперского версии 5.0
• для продуктов Лаборатории Касперского версии 6.0
• для продуктов Лаборатории Касперского версии 7.0
• установите максимальные настройки полной проверки компьютера в интерфейсе продукта Лаборатории Касперского
• запустите полную проверку компьютера
• после выполнения проверки запустите файл ключа реестра на Вашем компьютере из архива Sality_RegKeys.zip:
• для ОС Windows 2000 файл реестра SafeBootWin200.reg
• для ОС Windows XP файл реестра SafeBootWinXP.reg
• для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
• для ОС Windows Vista файл реестра SafebootVista.reg

Восстановить ветвь реестра SafeBoot, без которой компьютер не будет грузиться в безопасном режиме, также можно с помощью SalityKiller.exe с ключом -j.

Дополнительные ключи для работы с SalityKiller.exe из командной строки:

-p <path> - сканировать определённый каталог;
-n - сканировать сетевые диски;
-r - сканировать flash-накопители, переносные жесткие диски, подключаемые через USB и FireWire;
-y - закрытие окна по окончании работы утилиты;
-s - проверка в "тихом" режиме (без вывода консольного окна);
-l <имя_файла> - запись отчета в файл;
-v - ведение подробного отчета (необходимо вводить вместе с параметром -l);
-x - восстановление возможности показа скрытых и системных файлов;
-a - отключение автозапуска со всех носителей;
-j - восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме);
-m - режим мониторинга для защиты от заражения системы;
-q - сканирование системы, по окончании утилита переходит в режим мониторинга;
-k - сканирование всех дисков, распознавание на них файла autorun.inf (созданный вирусом Virus.Win32.Sality) и удаление autorun.inf. Так же удаляется исполняемый файл, на который ссылается autorun.inf, даже если этот файл уже пролечен и более не заражён вирусом.