Когда Win32.Sector.17 проникает в операционную систему, то в первую очередь он отключает встроенную систему безопасности (Безопасный режим), Редактор реестра, Диспетчер задач. В дальнейшем происходит заражение всех файлов с расширением *.scr и *.exe, после чего большинство программ перестают работать корректно, а то и вовсе не запускаются. Так же происходит отключение антивирусных программ. Еще одной особенностью вирусного кода является то, что он полностью блокирует доступ к сайтам, которые содержат в своем названии слова «spywareinfo», «windowsecurity», «onlinescan», «eset.com», «kaspersky», «drweb», «virustotal» и другим антивирусным ресурсам. Таким образом, он полностью лишает обновления антивирусную программу, не позволяет последней себя выявить и уничтожить. А еще он стирает файлы ключей и антивирусных баз.
Данная вирусная программа может иметь множество имен. Она может называться и PE_SALITY.EK, PE_SALITY.M, PE_SALITY.EN, и Trojan.Agent.AINJ, Win32.Sality.y, Win32.Sality.NX, Sality.kaka, Win32/Tanatos.A, Win32/Sality.AM и тому подобное.
Если подобная зараза проникает в систему, которая имеет два и более логических диска, то даже полное форматирование системного диска и дальнейшая переустановка операционной системы, может оказаться бессмысленной. Этот вирус способен с легкостью перебраться с любого локального диска в только что установленную ОС.
Уж, коль вы невзначай подцепили этого зловреда, то выход только один – лечение.
Для изгнания нам будет нужен диск Live-CD с Dr.Web, который желательно всегда иметь под рукой. Создать оный можно и самому, скачав образ с официального сайта и записав его на любой подходящий CD, DVD.
Паучок (Dr.Web) прекрасно справляется с определением данного вирусного кода в любых его видах. Собственно, сам Доктор Веб нужен нам для выявления и лечения, но для восстановления всех функций системы понадобится специальная утилита rrtri.exe. Именно последняя и поможет включить Диспетчер задач и всего остального.
Утилита позволяет получить непосредственный доступ к системному реестру, а еще даст возможность изменить модифицированные вирусом значения.
Для начала нужно зайти в KEY_CURRENT_USER, далее Software +Microsoft+Windows+CurrentVersion+Policies+System+DisableTaskMgr. Собственно, последний пункт и есть наш отключенный Диспетчер задач. Вирусный код меняет значение на 1, нам же нужно изменить на 0. Запуск редактора реестра разрешаем заменой значения параметра DisableRegistryTools, который в выключенном состоянии имеет вид dword:00000001. Вместо единицы в конце прописываем ноль.
Весьма важно удалить в системном реестре ключик, в котором вирусом были прописаны его настройки. Этот ключ находится в ветке HKEY_CURRENT_USER+Software+имя пользователя+914. Вот собственно и все.
Главное, чтобы у вас всегда имелся в наличии диск с антивирусной программой, который можно запустить как в зараженной системе, так и самостоятельно. Лично я отдаю предпочтение DR WEB, хоть он и тяжеловат для слабых ПК, но находит практически все. А вот Касперский проморгал Win32.Sector.17.
Пример, как на практике лечить подобную заразу:
Загрузились с Live CD, запустили Curelt’a от DR Web, который пролечит все файлы с расширением *.exe, и не только на диске с ОС. Перегрузить систему и удаляем из раздела реестра HKCU\Software\914. Все разделы, где дописано «914″ подлежат удалению.
В конце восстановить Safe Mode, и все.