Главная » 2009 » Октябрь » 5 » Как уничтожить зловреда Win32.Sector.17?
11:55 Как уничтожить зловреда Win32.Sector.17? | |
«Вы не могли бы посмотреть компьютер? Там, кажется, вирус...» Отчего же не посмотреть, тем более что это моя работа и я даже знаю, какой там вирус – очень неприятный Win32.Sector.17. Странно, что других нет, а только модификации этого. Зловредность последнего заключается в том, что, попав в систему, он отключает Безопасный режим, Диспетчер задач, Редактор реестра, заражает все .scr- и .exe-файлы на компьютере (многие программы после этого работают некорректно или вовсе не запускаются) и не дает запуститься антивирусу. Известен он под разными именами, например: PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded.Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12. При наличии подключения к Интернету блокирует доступ к сайтам, где в названии содержится: «kaspersky», «eset.com», «f-secure», «mcafee» , «symantec», «etrust.com», «trendmicro», «sophos», «virustotal», «agnitum», «pandasoftware», «bitdefender», «spywareguide», «windowsecurity», «virusscan», «ewido», «spywareinfo», «onlinescan», «drweb», «cureit». То есть он не дает возможности обновить антивирус и не дает себя уничтожить. Кроме того, удаляет файлы *.vdb, *.avc, drw*.key. Завершает приложения, окна которых содержат подстроки «dr.web» и «cureit». Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему. Значит, остается одно – лечить. Так как установленный антивирус не функционирует, пробуем загрузиться и побороться с помощью Dr.Web live-CD. Доктор Веб отлично распознает этот вирус во всех его инкарнациях. Правда, мой эксперимент оказался неудачным, потому что в самый последний момент компьютер намертво завис, повторять загрузку не стал, но в этом случае, скорее всего, виновата старая CD-RW-болванка. Так что Dr.Web live-CD советую использовать. В моей ситуации был удален установленный Аваст Антивирус и установлена триальная версия Dr.Web 5. Этот антивирус хорош тем, что уже при инсталляции защищен и может устанавливаться и работать на уже зараженной системе. Кстати, Касперскому, несмотря на все почтение, это не удалось. Потом компьютер был полностью просканирован и вирус удален. Остается исправить последствия действий паразита. В этом прекрасно помогает утилита rrtri.exe. С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра: Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме: Удаляем ключ в реестре, где вирус прописывает свои настройки: Остается добавить, что все это происходило на системе Windows XP, в школе. Вирус принесли на флешке, может из дома, а может, как утверждают учителя, из Отдела Управления Образованием... P.S. Несколько часов назад вновь пришлось столкнуться с данной проблемой на ноутбуке с Вистой. На сей раз был установлен Norton Antivirus 2009 – специальная версия от журнала «Chip». Нортон отлично справился с проблемой, а при помощи утилиты rrtri.exe все функции системы были восстановлены. | |
|