icon-star icon-cart icon-close icon-heart icon-info icon-pause icon-play icon-podcast icon-question icon-refresh icon-tile icon-users icon-user icon-search icon-lock icon-comment icon-like icon-not-like icon-plus article-placeholder article-plus-notepad article-star man-404 icon-danger icon-checked icon-article-edit icon-pen icon-fb icon-vk icon-tw icon-google
Александр Куц
Техника и Интернет

Как уничтожить зловреда Win32.Sector.17?

  • 2013
  • 5

Как уничтожить зловреда Win32.Sector.17?

В
Вопрос достаточно актуальный. Давайте разберемся, как же нам избавиться от этой компьютерной заразы. Тем более что данный вирус в «чистом» виде практически не встречается, а заражение программного обеспечения ПК происходит в основном его модификациями.

Когда Win32.Sector.17 проникает в операционную систему, то в первую очередь он отключает встроенную систему безопасности (Безопасный режим), Редактор реестра, Диспетчер задач. В дальнейшем происходит заражение всех файлов с расширением *.scr и *.exe, после чего большинство программ перестают работать корректно, а то и вовсе не запускаются. Так же происходит отключение антивирусных программ. Еще одной особенностью вирусного кода является то, что он полностью блокирует доступ к сайтам, которые содержат в своем названии слова «spywareinfo», «windowsecurity», «onlinescan», «eset.com», «kaspersky», «drweb», «virustotal» и другим антивирусным ресурсам. Таким образом, он полностью лишает обновления антивирусную программу, не позволяет последней себя выявить и уничтожить. А еще он стирает файлы ключей и антивирусных баз.

Данная вирусная программа может иметь множество имен. Она может называться и PE_SALITY.EK, PE_SALITY.M, PE_SALITY.EN, и Trojan.Agent.AINJ, Win32.Sality.y, Win32.Sality.NX, Sality.kaka, Win32/Tanatos.A, Win32/Sality.AM и тому подобное.

Если подобная зараза проникает в систему, которая имеет два и более логических диска, то даже полное форматирование системного диска и дальнейшая переустановка операционной системы, может оказаться бессмысленной. Этот вирус способен с легкостью перебраться с любого локального диска в только что установленную ОС.

Уж, коль вы невзначай подцепили этого зловреда, то выход только один – лечение.

Для изгнания нам будет нужен диск Live-CD с Dr.Web, который желательно всегда иметь под рукой. Создать оный можно и самому, скачав образ с официального сайта и записав его на любой подходящий CD, DVD.

Паучок (Dr.Web) прекрасно справляется с определением данного вирусного кода в любых его видах. Собственно, сам Доктор Веб нужен нам для выявления и лечения, но для восстановления всех функций системы понадобится специальная утилита rrtri.exe. Именно последняя и поможет включить Диспетчер задач и всего остального.

Утилита позволяет получить непосредственный доступ к системному реестру, а еще даст возможность изменить модифицированные вирусом значения.

Для начала нужно зайти в KEY_CURRENT_USER, далее Software +Microsoft+Windows+CurrentVersion+Policies+System+DisableTaskMgr. Собственно, последний пункт и есть наш отключенный Диспетчер задач. Вирусный код меняет значение на 1, нам же нужно изменить на 0. Запуск редактора реестра разрешаем заменой значения параметра DisableRegistryTools, который в выключенном состоянии имеет вид dword:00000001. Вместо единицы в конце прописываем ноль.

Весьма важно удалить в системном реестре ключик, в котором вирусом были прописаны его настройки. Этот ключ находится в ветке HKEY_CURRENT_USER+Software+имя пользователя+914. Вот собственно и все.

Главное, чтобы у вас всегда имелся в наличии диск с антивирусной программой, который можно запустить как в зараженной системе, так и самостоятельно. Лично я отдаю предпочтение DR WEB, хоть он и тяжеловат для слабых ПК, но находит практически все. А вот Касперский проморгал Win32.Sector.17.

Пример, как на практике лечить подобную заразу:

Загрузились с Live CD, запустили Curelt’a от DR Web, который пролечит все файлы с расширением *.exe, и не только на диске с ОС. Перегрузить систему и удаляем из раздела реестра HKCU\Software\914. Все разделы, где дописано «914″ подлежат удалению.

В конце восстановить Safe Mode, и все.

deb
Вероника Голубева

Кошмарная жуткость, дорогая редакция! Хорошо способ лечения, все-таки есть, и Вы нам о нем на всякий пожарный случай поведали. Спасибо и +
Опечатка только в первом предложении четвертого абзаца "...то даже полное форматированиЯ системного диска..." ("я" вместо "е")

deb
Александр Куц

Спасибо, уже исправил :) Да, печатать надо с утра по-раньше :)

Вам необходимо или зарегистрироваться, чтобы оставлять комментарии
выбор читателя

Выбор читателя

16+