Здраствуйте. Сколько всего перечитал, но так и не нашел 100% способа вылечиться от этой заразы. У меня в сети 30 компов были с этой заразой поэтому способ нашел сам...
Расказываю.

Скачиваем файл Sality_off.rar распаковываем и записываем его на CD-R(RW).
Поправка - скачиваем с чистого компа, а то эта зараза блокирует сайты антивирусных компаний
Тогда прописываем эту утилиту в автозапуск: Пуск ->Программы ->Автозагрузка

* щелкните правой кнопкой мыши в любом месте папки Автозагрузка
* выберите пункт меню Создать в контекстном меню
* выберите подпункт Ярлык
* нажмите кнопку Обзор
* выберите папку на компакт-диске где Вы записали файл Sality_off.exe
* выделите файл Sality_off.exe
* нажмите кнопку ОК
* в поле Укажите размещение объекта допишите символы -m. Таким образом строка должна быть вида F:\Sality_off.exe -m
* нажмите кнопку Далее
* нажмите кнопку ОК

Для верности вытягиваем (отключаем) сетевой (от ЛАН-сети, а не от розетки 220В ;-))) шнур...
Перегружаем комп - и у нас должен запустится монитор Sality_off.exe .(Я так понимаю что с ключом -м эта утилита работает как резидентный монитор который не дает заражать новые exe-файлы)
Теперь запускаем с диска еще одну копию Sality_off.exe - эта будет уже лечить... Теперь ждем, пока не полечится...
Иногда НАДО два раза перегрузить комп, тоесть повторить вышеописанное дважды (бывало, что за первым разом некоторые системные файлы не лечились).
Тогда включаем возможность запуска редактора реестра:
– нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;
– переключите (при необходимости) раскладку клавиатуры на EN;
– после приглашения системы C:\Documents and Settings\Администратор>
введите REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools
– нажмите <Enter>;
– на появившийся запрос системы Delete the registry value DisableRegistryTools (Y/N)? введите y (что означает yes), нажмите <Enter>;
– появится сообщение Операция успешно завершена;

После этого включаем возможность запуска Диспетчера задач:
– нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;
– переключите (при необходимости) раскладку клавиатуры на EN;
– после приглашения системы C:\Documents and Settings\Администратор>
введите REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
– нажмите <Enter>;
– на появившийся запрос системы Delete the registry value DisableTaskMgr (Y/N)? введите y (что означает yes), нажмите <Enter>;
– появится сообщение Операция успешно завершена;
Теперь включаем безопасный режим и оключаем автозапуск дисков и флешек (надо, надо в теперешние тяжелые времена ;-))) Для этого скачиваем Sality_RegKeys.zip
распаковываем, запускаем файл Disable_autorun.reg, после вопроса - жмем ДА или ОК...
и запускаем файл ключа реестра из этого же архива:

* для ОС Windows 2000 файл реестра SafeBootWin200.reg
* для ОС Windows XP файл реестра SafeBootWinXP.reg
* для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
* для ОС Windows Vista файл реестра SafebootVista.reg
После этого должно заработать использование безопасного режима...
ВАЖНО: Во время всех этих танцев с бубном должен быть запущен Sality_off.exe -m чтобы эта зараза не вернулась (прям фильм ужасов какой-то ;-))
Теперь можна ставить Каспера или Куреит, НО Sality_off.exe -m из автозагрузки пока что не выключать
После установки Каспера обновляем базы, даем макс. защиту, выклюаем технологии iSwift , iChecker и включаем полную проверку компа.
После полной проверки каспером включаем сеть и уже тогда удаляем из автозагрузки Sality_off.exe -m

P.S.
Это был первый вирус, которого я не смог ручками выковырять
Обидно, что 100% описания нигде нет, поэтому сам написал, во благо другим, т.к. сегодня день Святого Николая-Чудотворца...
Сильно не бейте, так как лучшего способа не нашел (кроме как снять винт и подключить к другому компу через переходник SATA/IDE to USB)

Dr Web CureIt под защитой AVZ Guard не пробовали использовать?

"ручками" - имелось ввиду без антивирусов...
Честно, AVZ еще никогда не пробовал... надо бы посмотреть...

100% способа и нет, это как повезёт, что и подтверждает эта http://forum.kaspersky.com/index.php?showtopic=78922 самая популярная, без основания закрытая "вирусная" тема.

Такие инструкции должны писать сотрудники лаборатории антивируса, а не пользователи, которым порой днями, а то и неделями приходиться бороться с разного рода инновационными вирусами!!! А лучше всего сделать антивирус таким, чтобы не требовались более никакие сторонние программы для удаления нечести!!!

Valium респект и уважуха!

Valium, вы не подумали о том, что если вирус сдетектирован и о нем во всю говорят антивирусные разработчики, то и его сигнатура уже добавлена в обновления антивирусных баз?
Как-то один чел, между прочим, компьютерным гением себя считает, хаил наш продукт, типа не видит заразу Касперский, я спросил: Базы обновлял? В ответ: А для чего?
VXK, в той закрытой теме автору за не имением лицензионного антивирусного решения, было предложено бесплатное антивирусное решение - DR. WEB CureIt, ибо вручную вытащить код вируса из файла ручками точно не получится, поэтому хелперы сразу сказали, что логи делать бесполезно.
Вывод: Ребята, мне кажется, вы не обладаете еще достаточными знаниями о компьютерных вирусах, троянских программах и других видах вредоносного ПО. Поэтому рано вам еще делать выводы...

Ummitium, Вы не думали, что если компютер заражен этим вирусом, никакой антивирус не ставится на компьютер, у вас заблокрован диспетчер задач, редактор реестра, безопасный режим, в интернете блокируются сайты антивирусных компаний, поэтому любой чайник без вышеописанной инструкции говорит что все антивирусы - лажа. Поэтому не надо тут умничать и что-то рекламировать.

ummit87, Вы неправы. Это совершенно нормальная инструкция для тех, кто не понимает, что происходит.

Valium, Вполне нормальная инструкция. Только при наличии админкита все эти действия можно сделать с него. И даже максимально незаметно для пользователей.

VXK, Виновник закрытия той темы - вы. Вы начали там флудить и оффтопить. Жалко, что вы не озвучили свое мнение по поводу того, какой антивирус "готов" к лечению этой заразы.

PS. Считаю, что с этой заразой ни один чайник не справится даже при наличии подробных инструкций. Но именно для этого есть админы и эникейщики.

forum.kaspersky.com - конечно, все чайники, у которых заблокированы сайты антивирусных компаний придут сюда, посмотрят на вашу тему, и вылечат свои компьютеры.
Я же говорю, не надо делать выводы.

admin77, а от вас в любой теме, где бы вы не появились, одни беспочвенные "наезды".
Та инструкция из первого поста - громоздка и непонятна, с зараженного компьютера на этот форум не зайти.
Чайнику нужно:
Достать AVZ и Dr. Web CureIt (попросить знакомых скачать и записать на CD), запустить AVZ с диска, включить AVZ Guard (в результате AVZ не даст вредоносу изменять процессы и параметры в системе). Если блокируется запуск авз, то переименовать файл avz.exe в game.pif (на диск записать исполняемый файл avz в двух вариантах (exe и pif))
Затем из AVZ: Файл - Восстановление системы и поставить галки для восстановления работы диспетчера задач, редактора реестра...
Sality.aa - файловый вирус, ручками вылечить не получится!
Теперь из AVZ: AVZGuard - Запустить приложение как доверенное и указать на исполняемый файл Dr. Web CureIt и лечить.

Ummit, посмотрите сколько зарегистрировано аккаунтов на форуме (112418). Или вы считаете, что все они - это приглашенные эксперты?
Данный топик создан не для экспертов, а для гостей форума.


Способ Valium основан на этой статье: Как вылечить компьютер от вируса Virus.Win32.Sality?
Вполне нормальный способ для лечения как одного компьютера, так и, при незначительной модификации инструкции - локальной сети.

PS. Я дал прочитать вашу инструкцию моей сестре (отнюдь не чайнику, а уверенному пользователю), что удивительно, у нее возникло очень много вопросов. Напишите подробную инструкцию, как у Valium (со скриншотами), а потом сравним.

PPS. Ummitium, будьте сдержанее. Это вы начали холивар раздувать.

пользователь, forum.kaspersky.com - я не спроста выделил... Наш форум может восприниматься, как сайт антивирусной компании.
Я подробной инструкции не создавал, я продемонстрировал, что эти громоздкие советы по разблокировке реестра, ДЗ, которые описаны в первом сообщении, уже реализованы в утилите AVZ:
Запускаем AVZ, далее включаем AVZ Guard (в этом режиме всем процессам заблокирована возможность менять параметры системы, внедряться в процессы, не смогут запуститься другие процессы - нейтрализация вредоноса )
Click to view attachment

Теперь запускаем актуальную утилиту лечения от Dr. Web, как доверенное приложение, для этого нажимаем по соответствующей вкладке:
Click to view attachment
Тут указываем на расположение Dr. Web CureIt:
Click to view attachment
Вредонос уже не сможет помешать запуску лечащей утилиты, так как AVZGuard не даст этого сделать.
Теперь лечим/удаляем!
Диспетчер задач и редактор реестра восстанавливаются также с помощью AVZ:
Файл - Восстановление системы, далее поставить галки где необходимо:
Click to view attachment

Ummitium, если вы считаете http://forum.kaspersky.com/ сайтом антивирусной компании, то вы должны понимать - какой.

Valium написал свою инструкцию, на основе статьи с сайта техподдержки Лаборатории Касперского.
Я настойчиво рекомендую Вам ознакомиться с этой инструкцией: Как вылечить компьютер от вируса Virus.Win32.Sality?

Я искренне не понимаю, чем статья саппорта Лаборатории Касперского, хуже, чем предложенный вами способ. По размеру необходимых для лечения программ и файлов способ с http://support.kaspersky.ru/ - лучше.

PS. Вы можете и дальше рекламировать CureIt и AVZ.

PPS. Пользуясь случаем хочу выразить признательность сотруднику ЛК Олегу Зайцеву и компании Dr. Web за отличные утилиты.

Есть некоторое предположение по поводу данного вируса, а именно:

Есть два файла - каждый по себе вирусом не идентифицируются, но каждый качает близнеца через нет и вместе начинают всё гадить, то есть антивирус удаляет одного засранца и всё.

Если присутствуют все части вируса, то обнаруживается антивирусным ПО. По отдельности - нет. Но по отдельности и нет активности. Т.е. Загружается часть 1 идет проверка на наличие части 2, если ее нет - подгружается по запросу с сайта какого-то. Далее - вместе несут вредоносную активность. Удалили часть 1 - часть 2 проверяет ее нет - догружает имеем опять активность. И т.д. Т.е. удаляется полностью только при удалении обеих частей. Так удалять умеют не все антивирусы...

Поправьте, если я не прав

VXK, советую поискать в google по ключ. слову dac970nt

Я гвоорю про конкретный вирус, а именно про Sality !!! Если есть вирусные аналитики здесь, то подтвердите или опровергните мои домыслы по этому зверю, набирающему обороты...

Я не вирусный аналитик, но эксперименты с салити проводил. Ваше предположение - фигня полная.

Вирусные аналитики здесь редко появляются, у них работы своей хватает. Имхо, вирус win32.sality.а модифицирует некоторые файлы, такие как ctfmon.exe, устанавливает свой драйвер dac970nt (бывают и другие, напр. asc3360pr), в system32\drivers появляется файл random_name.sys - по классификации это уже другой зловред, который пытается скрыть присутствие вируса, заблокировать антивирус и возможность загрузки в безопасном режиме, если удалить драйвер, но не излечить exe файлы, драйвер восстанавливается, именно поэтому лечение с помощью AVZ можно применять только после излечения exe файлов, на случай, если драйвер остался в системе. Подтверждение того, что драйвер умеет скачивать тело зловреда из интернета, я не нашел (это не означает ,что такого не может быть), у кого есть желание, могут проверить, установив драйвер на чистую систему или излечив всё exe файлы и оставив работающий драйвер.

По поводу вируса: вылечил только после разделения Акронисом системного диска на диск 19 ГБ и огрызок около одного гигабайта. Каким образом это помогло, не знаю. После упомянутой манипуляции и установки операционной системы установил с битого этим же вирусом дистрибутива KIS, он сразу заявил, что файловый антивирус повреждён и надо его восстановить, после моего согласия как-то сам восстановился, потом я его обновил и поубивал вирусы (до разделения диска Sality.aa не давал запуститься ему вообще). Потом снова переставил систему, антивирус и для профилактики ещё рас просканировал компьютер, но ничего не нашёл. Другие программы тоже ничего не нашли.

To Valium: Спасибо вам за столь замечательное описание лечения Sality.
Мы вчера легко и без напрягов вылечили все зараженные компы.
Сначала запускали Sqlity_off, им удаляли вирус из памяти, потом ключики ваши накладывали для включения безопасного режима, затем уже в безопасном режиме Cureit-ом вирус удаляли с диска. Теперь чистота и уют у нас в сети живут

в-общем сделал так...прописал в автозагрузку салитиоф после чего перезагрузился...запустился монитор салитиоф...появился доступ к регедитам и мсконфигам после чего я запуцстил ещё раз салитиоф и пошла проверка но везде пишет что типо занято другим процессом...что это значит?объясните пожалуйста как это понимать

Valium благодарю!!! Действенный способ. Делаем все как оговаривается в сообщении. После первого этапа появляется возможность скачать Dr.Web. Curelt. Устанавливаем и запускаем полную проверку. Вирус злой, но легко излечим. Не слушайте лузеров, которые лечат переустановкой винды. Я не программер, но понимаю, что это такая крайность.... Действуйте указаному и ваша машина будет здорова. Что касаеться вируса, то это проделки програмеров от Dr.Web: создаем вирусняк, а потом выбрасываем лекарство от своего антивируса, обычная реклама.

2 Ummitium
AVZ юзаю давно, но столкнулся с такой проблемой - Диспетчер задач, редактор реестра, установка любого антивирусного ПО и запуск AVZ блокируются вирусом Safity.aa
Именно по этой причине мне помог способ, приведенный здесь автором темы, за что ему респект, а не ваш с курайтом и авз...