icon-star icon-cart icon-close icon-heart icon-info icon-pause icon-play icon-podcast icon-question icon-refresh icon-tile icon-users icon-user icon-search icon-lock icon-comment icon-like icon-not-like icon-plus article-placeholder article-plus-notepad article-star man-404 icon-danger icon-checked icon-article-edit icon-pen icon-fb icon-vk icon-tw icon-google
јлександр  уц
“ехника и »нтернет

 ак уничтожить зловреда Win32.Sector.17?

  • 2297
  • 5

 ак уничтожить зловреда Win32.Sector.17?

¬
¬опрос достаточно актуальный. ƒавайте разберемс€, как же нам избавитьс€ от этой компьютерной заразы. “ем более что данный вирус в Ђчистомї виде практически не встречаетс€, а заражение программного обеспечени€ ѕ  происходит в основном его модификаци€ми.

 огда Win32.Sector.17 проникает в операционную систему, то в первую очередь он отключает встроенную систему безопасности (Ѕезопасный режим), –едактор реестра, ƒиспетчер задач. ¬ дальнейшем происходит заражение всех файлов с расширением *.scr и *.exe, после чего большинство программ перестают работать корректно, а то и вовсе не запускаютс€. “ак же происходит отключение антивирусных программ. ≈ще одной особенностью вирусного кода €вл€етс€ то, что он полностью блокирует доступ к сайтам, которые содержат в своем названии слова Ђspywareinfoї, Ђwindowsecurityї, Ђonlinescanї, Ђeset.comї, Ђkasperskyї, Ђdrwebї, Ђvirustotalї и другим антивирусным ресурсам. “аким образом, он полностью лишает обновлени€ антивирусную программу, не позвол€ет последней себ€ вы€вить и уничтожить. ј еще он стирает файлы ключей и антивирусных баз.

ƒанна€ вирусна€ программа может иметь множество имен. ќна может называтьс€ и PE_SALITY.EK, PE_SALITY.M, PE_SALITY.EN, и Trojan.Agent.AINJ, Win32.Sality.y, Win32.Sality.NX, Sality.kaka, Win32/Tanatos.A, Win32/Sality.AM и тому подобное.

≈сли подобна€ зараза проникает в систему, котора€ имеет два и более логических диска, то даже полное форматирование системного диска и дальнейша€ переустановка операционной системы, может оказатьс€ бессмысленной. Ётот вирус способен с легкостью перебратьс€ с любого локального диска в только что установленную ќ—.

”ж, коль вы невзначай подцепили этого зловреда, то выход только один Ц лечение.

ƒл€ изгнани€ нам будет нужен диск Live-CD с Dr.Web, который желательно всегда иметь под рукой. —оздать оный можно и самому, скачав образ с официального сайта и записав его на любой подход€щий CD, DVD.

ѕаучок (Dr.Web) прекрасно справл€етс€ с определением данного вирусного кода в любых его видах. —обственно, сам ƒоктор ¬еб нужен нам дл€ вы€влени€ и лечени€, но дл€ восстановлени€ всех функций системы понадобитс€ специальна€ утилита rrtri.exe. »менно последн€€ и поможет включить ƒиспетчер задач и всего остального.

”тилита позвол€ет получить непосредственный доступ к системному реестру, а еще даст возможность изменить модифицированные вирусом значени€.

ƒл€ начала нужно зайти в KEY_CURRENT_USER, далее Software +Microsoft+Windows+CurrentVersion+Policies+System+DisableTaskMgr. —обственно, последний пункт и есть наш отключенный ƒиспетчер задач. ¬ирусный код мен€ет значение на 1, нам же нужно изменить на 0. «апуск редактора реестра разрешаем заменой значени€ параметра DisableRegistryTools, который в выключенном состо€нии имеет вид dword:00000001. ¬место единицы в конце прописываем ноль.

¬есьма важно удалить в системном реестре ключик, в котором вирусом были прописаны его настройки. Ётот ключ находитс€ в ветке HKEY_CURRENT_USER+Software+им€ пользовател€+914. ¬от собственно и все.

√лавное, чтобы у вас всегда имелс€ в наличии диск с антивирусной программой, который можно запустить как в зараженной системе, так и самосто€тельно. Ћично € отдаю предпочтение DR WEB, хоть он и т€желоват дл€ слабых ѕ , но находит практически все. ј вот  асперский проморгал Win32.Sector.17.

ѕример, как на практике лечить подобную заразу:

«агрузились с Live CD, запустили CureltТa от DR Web, который пролечит все файлы с расширением *.exe, и не только на диске с ќ—. ѕерегрузить систему и удал€ем из раздела реестра HKCU\Software\914. ¬се разделы, где дописано Ђ914″ подлежат удалению.

¬ конце восстановить Safe Mode, и все.


deb
¬ероника √олубева

 ошмарна€ жуткость, дорога€ редакци€! ’орошо способ лечени€, все-таки есть, и ¬ы нам о нем на вс€кий пожарный случай поведали. —пасибо и +
ќпечатка только в первом предложении четвертого абзаца "...то даже полное форматирования системного диска..." ("€" вместо "е")

deb
јлександр  уц

—пасибо, уже исправил :) ƒа, печатать надо с утра по-раньше :)

¬ам необходимо или зарегистрироватьс€, чтобы оставл€ть комментарии
выбор читател€

¬ыбор читател€

16+