Cómo eliminar el virus Virus.Win32.Sality

Esta sección contiene la descripción de varios métodos de eliminación de malware en situaciones cuando Kaspersky Lab software no puede eliminarlo en modo estándar y se requieren unas acciones adicionales por parte del usuario. Tales como modificación del Registro de MS Windows, o ejecución de alguna utilidad adicional.

Éste artículo contiene las recomendaciones para curar las máquinas infectadas por Virus.Win32.Sality. Ayudan curar maquinas que no tienen instalado ningún producto de Kaspersky Lab y/o cando es imposible instalar un producto de Kaspersky Lab por medios comunes debido a una infección.

La herramienta SalityKiller.exe permite detectar y eliminar Virus.Win32.Sality.aa, Virus.Win32.Sality.ag, Virus.Win32.Sality.bh.
Si las máquinas infectadas están en una red con un dominio


Paso 1. Preparación para la desinfección:

* descargar el archivo SalityKiller.zip
* extraer el archivo SalityKiller.zip por medio de una aplicación como WinZip
* lanzar el archivo SalityKiller.exe en los equipos (por ejemplo, a través de Kaspersky Administration Kit, una directiva de grupo del servidor)
1 - en todos los equipos donde puede entrar y trabajar el administrador de dominio
Mientras está desinfectando tales equipos, evite iniciar sesiones bajo la cuenta del administrador de dominio en cualquier otro equipo en la red para prevenir la distribución de la infección.
2 - en todos los demás equipos
Es importante no interrumpir la ejecución de la herramienta antes de desinfectar todos los equipos en la red


Paso 2. El algoritmo de desinfección de equipos:

En primer lugar es necesario desinfectar los equipos donde está activa una sesión del usuario que tiene los permisos del administrador de dominio. Después de desinfectarlos puede empezar desinfectar los demás equipos en la red.
* lanzar una vez más la herramienta SalityKiller.exe en los equipos infectados (en éste caso no se requiere utilizar ningunos comandos adicionales para lanzar la herramienta)
* se puede necesitar un reinicio del equipo después de la desinfección
* asegurarse de que el antivirus funciona completamente y su icono está rojo. En el caso contrario reinstalar el antivirus a través de Kaspersky Administration Kit
* actualizar las bases antivirus del producto de Kaspersky Lab que tiene instalado. Los productos de Kaspersky Lab versión 5.0-7.0 soportan actualización desde unos archivos .zip cuando es imposible descargar las bases antivirus de Internet por algún razón
* activar el nivel máximo de la tarea de análisis completo en el GUI del producto de Kaspersky Lab
* ejecutar la tarea de análisis completo


Paso 3. Un equipo desinfectado con éxito:

* tiene Kaspersky Anti-Virus activado y funcionando normalmente
* la tarea de análisis completo no detecta ningunos objetos infectados en el equipo


Paso 4. Limpieza del registro de Windows en los equipos infectados en una red con dominio:

* descargar el archivo Sality_RegKeys.zip
* extraer el contenido del archivo Sality_RegKeys.zip con un programa como WinZip
* lanzar el fichero Disable_autorun.reg

También puede desactivar la función de inicio automático en todos los dispositivos por lanzar la herramienta SalityKiller.exe con el argumento -a.

* confirmar la entrada de la información al registro

Cómo eliminar el virus Virus.Win32.Sality

* al terminar el escaneo, ejecutar la entrada de registro en el equipo desde la carpeta con el extraído archivo Sality_RegKeys.zip según el sistema operativo:

* Windows 2000 - SafeBootWin200.reg
* Windows XP - SafeBootWinXP.reg
* Windows 2003 - SafeBootWinServer2003.reg
* Windows Vista / 2008 - SafebootVista.reg
* Windows 7 / 2008 R2 - SafebootWin7.reg


Si los equipos infectados están fuera de la red
* desactivar las tecnologías iSwift y iChecker, si un de los siguientes productos está instalado y activado:

* Kaspersky Anti-Virus 7.0
* Kaspersky Internet Security 7.0
* Kaspersky Anti-Virus 6.0
* Kaspersky Internet Security 6.0
* Kaspersky Anti-Virus 2009
* Kaspersky Internet Security 2009
* Kaspersky Anti-Virus 2010
* Kaspersky Internet Security 2010
* Kaspersky Anti-Virus 2011
* Kaspersky Internet Security 2011
* Kaspersky PURE
* Kaspersky Anti-Virus 6.0 for Windows Workstations
* Kaspersky Anti-Virus6.0 SOS
* Kaspersky Anti-Virus 6.0 for Windows Servers

* descargar el archivo SalityKiller.zip (mismo archivo del paso 1)
* extraer el archivo SalityKiller.zip por medio de una aplicación como WinZip
* lanzar el archivo SalityKiller.exe
* se puede necesitar un reinicio del equipo después de la desinfección.

Si tiene un producto de Kaspersky Lab instalado, a veces puede recibir una solicitud para permitir toda la actividad al proceso SalityKiller.exe

* vaya a Inicio > Todos lo programas y haga un clic derecho en el menú Inicio
* seleccione la opción Abrir

Virus.Win32.Sality.aa

* haga un clic derecho dentro de la carpeta Inicio
* seleccione Nuevo > Acceso directo
* haga clic en Examinar
* seleccione la carpeta con el archivo SalityKiller.exe extraido
* seleccione el archivo SalityKiller.exe
* haga clic en Aceptar > Siguiente > Aceptar

* descargar el archivo Sality_RegKeys.zip (mismo archivo del paso 4)
* extraer el contenido del archivo Sality_RegKeys.zip con un programa como WinZip
* lanzar el fichero Disable_autorun.reg

También puede desactivar la función de inicio automático en todos los dispositivos por lanzar la herramienta SalityKiller.exe con le argumento -a.

* confirmar la entrada de la información al registro

virus sality

* actualizar las bases antivirus del producto de Kaspersky Lab que tiene instalado. Los productos de Kaspersky Lab versión 5.0-7.0 soportan actualización desde unos archivos .zip cuando es imposible descargar las bases antivirus de Internet por algún razón
* activar el nivel máximo de la tarea de análisis completo en el GUI del producto de Kaspersky Lab
* ejecutar la tarea de análisis completo
* al terminar el escaneo, ejecutar la entrada de registro en el equipo desde la carpeta con el extraído archivo Sality_RegKeys.zip según el sistema operativo:

* Windows 2000 - SafeBootWin200.reg
* Windows XP - SafeBootWinXP.reg
* Windows 2003 - SafeBootWinServer2003.reg
* Windows Vista / 2008 - SafebootVista.reg
* Windows 7 / 2008 R2 - SafebootWin7.reg

También es posible restaurar la clave SafeBoot (el equipo no se arranque en el modo seguro sin esta clave) por lanzar la herramienta SalityKiller.exe con argumento -j.

Los argumentos para lanzar la herramienta SalityKiller.exe desde la línea de comandos:

-p <ruta> - escanear la carpeta especificada;
-n – escanear los volúmenes de red;
-r – escanear los dispositivos flash y los discos duros externos USB y FireWire;
-y – cerrar la ventana de la herramienta al terminar;
-s – escanear en “modo silencioso” (sin abrir la ventana de consola);
-l <nombre_del_archivo> - guardar el archivo log;
-v – guardar un log detallado (utilizar junto con el argumento -l);
-x – restaurar la posibilidad de mostrar los archivos ocultos y de sistema;
-a – desactivar el inicio automático de todos los dispositivos;
-j - restaurar la clave de registro SafeBoot (el equipo no se arranque en el modo seguro sin esta clave);
-m – el modo de monitorización para proteger el sistema contra una infección;
-q – escanear el sistema; al terminar la herramienta pasa al modo de monitorización;
-k – escanear todos los discos, encontrar y eliminar los archivos autorun.inf (creados por Virus.Win32.Sality). El ejecutable vinculado al archivo autorun.inf será eliminado también aún haya sido curado y desinfectado.