Как вылечить компьютер от вируса Virus.Win32.Sality

Приведенные ниже рекомендации по лечению компьютера от Virus.Win32.Sality следует применять в случаях, если на зараженном компьютере не установлен ни один из продуктов Лаборатории Касперского, и/или компьютер уже заражен и установить продукт Лаборатории Касперского штатными средствами не представляется возможным. Специалисты Лаборатории Касперского также рекомендуют пользоваться Аварийным диском для лечения зараженного компьютера.

Чтобы вылечить зараженную систему от Virus.Win32.Sality.aa, Virus.Win32.Sality.ae, Virus.Win32.Sality.ag, Virus.Win32.Sality.bh используйте утилиту SalityKiller.

1. Лечение компьютеров, находящихся в локальной сети под управлением домена
Шаг 1. Подготовка к лечению.

Скачайте файл SalityKiller.exe. Информацию о том, как скачать файл, вы можете найти на следующих страницах.
Для пользователей ОС Windows 8
Для пользователей ОС Windows 7
Для пользователей ОС Windows Vista
Запустите файл SalityKiller.exe поочередно на компьютерах (например, с помощью комплекса Administration Kit или Kaspersky Security Center, групповой политики сервера):

На всех компьютерах, на которых может регистрироваться и работать доменный администратор.
В процессе лечения группы таких компьютеров не выполняйте вход под доменным администратором на любых других компьютерах в сети во избежании распространения заражения остальных компьютеров!

На всех остальных компьютерах.
Не прерывайте работу утилиты пока не будет завершено лечение всех компьютеров в сети!

Шаг 2. Алгоритм лечения компьютеров. В первую очередь лечение проводите на компьютерах, на которых выполнен вход с правами доменного администратора. После лечения таковых вы можете приступать к лечению остальных компьютеров в вашей сети.

Запустите повторно на зараженных компьютерах утилиту SalityKiller.exe. После лечения может потребоваться перезагрузка.
Убедитесь, что значок антивируса на панели задач приобрел красный цвет и полностью работоспособен. В противном случае переустановите антивирус через Administration Kit или Kaspersky Security Center.
Обновите антивирусные базы (сигнатуры угроз) для продукта Лаборатории Касперского, который установлен на компьютере. При невозможности скачать базы (сигнатуры) через интернет по каким-либо причинам воспользуйтесь утилитой обновления Kaspersky Updater Utility 2.0.
Установите максимальные настройки полной проверки компьютера в продукте Лаборатории Касперского.
Запустите полную проверку компьютера.
Шаг 3. Признаки вылеченного компьютера.

Продукт Лаборатории Касперского запущен и работает в штатном режиме.
Полное сканирование компьютера не выявляет зараженных объектов на компьютере.
Шаг 4. Очистка реестра зараженных компьютеров в доменной сети.

Скачайте файл Sality_RegKeys.zip. Информацию о том, как скачать файл, вы можете найти на следующих страницах.
Для пользователей ОС Windows 8
Для пользователей ОС Windows 7
Для пользователей ОС Windows Vista
Распакуйте файл Sality_RegKeys.zip (например, при помощи программы-архиватора WinZip).
Запустите файл Disable autorun.reg из архива Sality_RegKeys.zip.

Также отключить автозапуск со всех носителей можно, запустив утилиту SalityKiller с ключом -a.
В окне Редактор реестра нажмите на кнопку Да для подтверждения добавления информации в реестр.

После выполнения проверки запустите файл ключа реестра на компьютере из архива Sality_RegKeys.zip:
для ОС Windows XP файл реестра SafeBootWinXP.reg.
для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg.
для ОС Windows Vista / 2008 файл реестра SafebootVista.reg.
для ОС Windows 7 / 2008 R2 файл реестра SafebootWin7.reg.
для ОС Windows 8 файл реестра SafebootWin8.reg.

2. Лечение компьютеров, не находящихся в сети
Чтобы вылечить компьютеры, не находящиеся в сети, выполните следующие действия:

Отключите технологии iSwift и iChecker, если на вашем компьютере установлен и запущен один из следующих продуктов:
Антивирус Касперского 2012/2013/2014
Kaspersky Internet Security 2012/2013/2014
Kaspersky Crystal 2.0/3.0
Скачайте файл SalityKiller.exe. Информацию о том, как скачать файл, вы можете найти на следующих страницах.
Для пользователей ОС Windows 8
Для пользователей ОС Windows 7
Для пользователей ОС Windows Vista

Запустите файл SalityKiller.exe
После лечения может потребоваться перезагрузка.
В некоторых случаях при установленном продукте Лаборатории Касперского может появиться информационное окно, в котором требуется разрешить любую активность процессу SalityKiller.exe. Для этого выполните следующие действия:

В нижней левой части экрана выберите Пуск -> (Все) Программы -> Автозагрузка.
Нажмите правой кнопкой на меню Автозагрузка и выберите в контекстном меню Открыть.

Нажмите правой кнопкой мыши в любом месте папки Автозагрузка и в контекстном меню выберите Создать -> Ярлык.

Нажмите на кнопку Обзор.
Выберите папку, в которую вы распаковали файл SalityKiller.exe ранее.
Выделите файл SalityKiller.exe.
Нажмите на кнопку ОК.
Нажмите на кнопку Далее.
Нажмите на кнопку ОК.
Скачайте файл Sality_RegKeys.zip. Информацию о том, как скачать файл, вы можете найти на следующих страницах.
Для пользователей ОС Windows 8
Для пользователей ОС Windows 7
Для пользователей ОС Windows Vista
Распакуйте файл Sality_RegKeys.zip, используя программу-архиватор (например, WinZip).
Запустите файл Disable autorun.reg из архива Sality_RegKeys.zip. Также отключить автозапуск со всех носителей можно, запустив утилиту SalityKiller.exe с ключом -a.
В окне Редактор реестра нажмите на кнопку Да для подтверждения добавления информации в реестр.

Обновите антивирусные базы (сигнатуры угроз) в продукте Лаборатории Касперского, установленном на компьютере. При невозможности скачать базы (сигнатуры) через интернет по каким-либо причинам воспользуйтесь утилитой обновления Kaspersky Update Utility 2.0.
Установите максимальные настройки полной проверки компьютера в продукте Лаборатории Касперского.
Запустите полную проверку компьютера.
После выполнения проверки запустите файл ключа реестра на компьютере из архива Sality_RegKeys.zip:
Для ОС Windows XP файл реестра SafeBootWinXP.reg;
Для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg;
Для ОС Windows Vista / 2008 файл реестра SafebootVista.reg;
Для ОС Windows 7 / 2008 R2 файл реестра SafebootWin7.reg.
Для ОС Windows 8 файл реестра SafebootWin8.reg.
Восстановить ветвь реестра SafeBoot, без которой компьютер не будет загружаться в Безопасном режиме, также можно с помощью SalityKiller.exe с ключом -j.

3. Дополнительные ключи для работы с утилитой из командной строки
-p <path> – сканировать определённый каталог.
-n – сканировать сетевые диски.
-r – сканировать flash-накопители, переносные жесткие диски, подключаемые через USB и FireWire.
-y – закрытие окна по окончании работы утилиты.
-s – проверка в «тихом» режиме (без вывода консольного окна).
-l <имя_файла> – запись отчета в файл.
-v – ведение подробного отчета (необходимо вводить вместе с параметром -l).
-x – восстановление возможности показа скрытых и системных файлов.
-a – отключение автозапуска со всех носителей.
-j – восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме).
-m – режим мониторинга для защиты от заражения системы.
-q – сканирование системы, по окончании утилита переходит в режим мониторинга.
-k – сканирование всех дисков, распознавание на них файла autorun.inf (созданный вирусом Virus.Win32.Sality) и удаление autorun.inf. Так же удаляется исполняемый файл, на который ссылается autorun.inf, даже если этот файл уже пролечен и более не заражён вирусом.