Як знищити зловреда Win32.Sector.17?
«Ви не могли б подивитися комп'ютер? Там, здається, вірус ... »Чому ж не подивитися, тим більше що це моя робота і я навіть знаю, який там вірус - Дуже неприємний Win32.Sector.17.
Дивно, що інших немає, а тільки модифікації цього. Злочинність останнього полягає в тому, що, потрапивши в систему, він відключає Безпечний режим, Диспетчер завдань, Редактор реєстру, заражає всі .scr- і .exe-файли на комп'ютері (багато програм після цього працюють некоректно або зовсім не запускаються) і не дає запуститися антивірусу.
Відомий він під різними іменами, наприклад: PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32. Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32 / Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded. Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32 / Tanatos.A, Win32 / Sality.AM, Virus: Win32 / Sality.AM, W32 / Sality.Y, Win32.Sector 12.
При наявності підключення до Інтернету блокує доступ до сайтів, де в назві міститься:
«Kaspersky», «eset.com», «f-secure», «mcafee», «symantec», «etrust.com», «trendmicro», «sophos», «virustotal», «agnitum», «pandasoftware», «bitdefender», «spywareguide», «windowsecurity», «virusscan», «ewido», «spywareinfo», «onlinescan», «drweb», «cureit».
Тобто він не дає можливості відновити антивірус і не дає себе знищити.
Крім того, видаляє файли * .vdb, * .avc, drw * .key.
Завершує додатки, вікна яких містять підрядка «dr.web» і «cureit».
Перевстановлення системи з форматуванням диска С не допомагає, вірус тут же вправно перебирається з інших локальних дисків в свіжовстановленому систему.
Отже, залишається одне - лікувати.
Так як встановлений антивірус не функціонує, пробуємо завантажитися і поборотися за допомогою Dr.Web live-CD.
Доктор Веб відмінно розпізнає цей вірус у всіх його інкарнація. Правда, мій експеримент виявився невдалим, тому що в самий останній момент комп'ютер намертво завис, повторювати завантаження не став, але в цьому випадку, швидше за все, винна стара CD-RW-болванка. Так що Dr.Web live-CD раджу використовувати.
У моїй ситуації був видалений встановлений Аваст Антивірус і встановлена тріальна версія Dr.Web 5.
Цей антивірус хороший тим, що вже при інсталяції захищений і може встановлюватися і працювати на вже зараженій системі.
До речі, Касперському, незважаючи на всі повагу, це не вдалося. Потім комп'ютер був повністю просканований і вірус видалений. Залишається виправити наслідки дій паразита.
У цьому чудово допомагає утиліта rrtri.exe.
З її допомогою для включення Диспетчера завдань ставимо нуль (вірус поставив туди 1) в гілці реєстру:
HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Policies / System / DisableTaskMgr.
Редактор реєстру дозволити можна так: міняємо одиницю на нуль в гілці
[HKCU / SOFTWARE / Microsoft / Windows / CurrentVerson / Policies / System]
«DisableRegistryTools» = dword: 00000001.
Відновлюємо гілки реєстру для можливості завантаження в безпечному режимі:
HKEY_LOCAL_MACHINE / System / Current / ControlSet / Control / SafeBoot
HKEY_CURRENT_USER / System / Current / ControlSet / Control / SafeBoot
Видаляємо ключ в реєстрі, де вірус прописує свої налаштування:
HKEY_CURRENT_USER / Software / ім'я користувача / 914
Залишається додати, що все це відбувалося на системі Windows XP, в школі. Вірус принесли на флешці, може з дому, а може, як стверджують вчителі, з Відділу управління освітою ...
P.S. Кілька годин тому знову довелося зіткнутися з даною проблемою на ноутбуці з Вистой. Цього разу був встановлений Norton Antivirus 2009 - спеціальна версія від журналу «Chip». Нортон відмінно впорався з проблемою, а за допомогою утиліти rrtri.exe всі функції системи були відновлені.
Вдалого вам позбавлення!
