Замечание

Утилита Sality_Off.exe, которая приведена в данной статье ниже по тексту, позволяет детектировать и вылечить только следующие модификации Sality:

o Virus.Win32.Sality.y
o Virus.Win32.Sality.z
o Virus.Win32.Sality.aa

Для того чтобы вылечить компьютер от вируса Virus.Win32.Sality (y/z/aa) проделайте следующее:

Если зараженные компьютеры находятся в локальной сети под управлением домена

Шаг 1. Подготовка к лечению:

* скачайте файл Sality_off.rar
* распакуйте файл Sality_off.rar
* запустите файл Sality_off.exe с ключом -m поочередно на компьютерах (например, с помощью комплекса Administration Kit, групповой политики сервера)
1. на всех компьютерах, на которых может регистрироваться и работать доменный администратор
ВниманиеВ процессе лечения группы таких компьютеров не производите вход под доменным администратором на любых других компьютерах в сети во избежании распространения заражения остальных компьютеров
2. на всех остальных компьютерах

Внимание

Не прерывайте работу утилиты пока не будет завершено лечение всех компьютеров в сети

Шаг 2. Алгоритм лечения компьютеров: В первую очередь лечение необходимо проводить на компьютерах, на которых выполнен вход с правами доменного администратора. После лечения таковых Вы можете приступать к лечению остальных компьютеров в Вашей сети.

* запустите повторно на зараженных компьютеров утилиту sality_off.exe (В данном случае никаких дополнительных команд для запуска утилиты не требуется)
* удостоверьтесь, что значок антивируса в трее приобрел красный цвет и полностью работоспособен. В противном случае переустановите антивирус через Administration Kit
* обновите антивирусные базы (сигнатуры угроз) для продукта Лаборатории Касперского, который установлен на Вашем компьютере. При невозможности скачать базы (сигнатуры) через Интернет по каким-либо причинам воспользуйтесь обновлением из zip-архивов:
*
o для продуктов Лаборатории Касперского версии 5.0
o для продуктов Лаборатории Касперского версии 6.0
o для продуктов Лаборатории Касперского версии 7.0
* установите максимальные настройки полной проверки компьютера в интерфейсе продукта Лаборатории Касперского
* запустите полную проверку компьютера

Шаг 3. Признаки вылеченного компьютера:

* утилита sality_off.exe -m при повторном запуске не выявляет признаков заражения (отсутствие строки вида "infected thread terminated")
* антивирус касперского запущен и работает в штатном режиме
* полное сканирование компьютера не выявляет зараженных объектов на компьютере

Шаг 4. Очистка реестра зараженных компьютеров в доменной сети:

* скачайте файл Sality_RegKeys.zip
* распакуйте файл Sality_RegKeys.zip
* запустите файл Disable_autorun.reg из архива Sality_RegKeys.zip
* нажмите Да для подтверждения добавления информации в реестр
*
* после выполнения проверки запустите файл ключа реестра на Вашем компьютере из архива Sality_RegKeys.zip:
o для ОС Windows 2000 файл реестра SafeBootWin200.reg
o для ОС Windows XP файл реестра SafeBootWinXP.reg
o для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
o для ОС Windows Vista файл реестра SafebootVista.reg

Если зараженные компьютеры не находятся в сети

* отключите технологии iSwift и iChecker, если на Вашем компьютере установлен и запущен один из следующих продуктов
o Антивирус Касперского 7.0
o Kaspersky Internet Security 7.0
o Антивирус Касперского 6.0
o Kaspersky Internet Security 6.0
o Антивирус Касперского 6.0 для Windows Workstations
o Антивирус Касперского 6.0 SOS
o Антивирус Касперского 6.0 для Windows Servers
* скачайте файл Sality_off.rar
* распакуйте файл Sality_off.rar
* запустите файл Sality_off.exe
*

ЗамечаниеВ некоторых случаях при установленном продукте Лаборатории Касперского может появиться информационое окно, в котором необходимо разрешить любую активность процессу Sality_off.exe
o нажмите меню Пуск
o выберите пункт меню Все программы
o найдите и выберите меню Автозагрузка
o нажмите правой кнопкой на меню Автозагрузка
o выберите в контекстном меню Открыть

o щелкните правой кнопкой мыши в любом месте папки Автозагрузка
o выберите пункт меню Создать в контекстном меню
o выберите подпункт Ярлык
o нажмите кнопку Обзор
o выберите папку, в которую Вы распаковали файл Sality_off.exe ранее
o выделите файл Sality_off.exe
o нажмите кнопку ОК

o в поле Укажите размещение объекта допишите символы -m. Таким образом строка должна быть вида C:\Sality_off.exe -m
o нажмите кнопку Далее
o нажмите кнопку ОК

* скачайте файл Sality_RegKeys.zip
* распакуйте файл Sality_RegKeys.zip
* запустите файл Disable_autorun.reg из архива Sality_RegKeys.zip
* нажмите Да для подтверждения добавления информации в реестр

* обновите антивирусные базы (сигнатуры угроз) для продукта Лаборатории Касперского, который установлен на Вашем компьютере. При невозможности скачать базы (сигнатуры) через Интернет по каким-либо причинам воспользуйтесь обновлением из zip-архивов:
o для продуктов Лаборатории Касперского версии 5.0
o для продуктов Лаборатории Касперского версии 6.0
o для продуктов Лаборатории Касперского версии 7.0
* установите максимальные настройки полной проверки компьютера в интерфейсе продукта Лаборатории Касперского
* запустите полную проверку компьютера
* после выполнения проверки запустите файл ключа реестра на Вашем компьютере из архива Sality_RegKeys.zip:
o для ОС Windows 2000 файл реестра SafeBootWin200.reg
o для ОС Windows XP файл реестра SafeBootWinXP.reg
o для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
o для ОС Windows Vista файл реестра SafebootVista.reg