Win32.Sector.17 - довольно мерзкая штука, скажу я
вам.
Как говорится, вензаболеваниями болеют две категории. 1 - пользователи с
беспорядочными связями. 2 - пользователи, излишне доверчивые к категории 1. Я -
из излишне доверчивых.
Зараза эта имеет массу имен:
PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New
Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y,
Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka,
W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z,
Embedded.Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A,
Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12.
Но при всем богатстве поименований работает эта тварь очень характерно.
А именно:
- блокирует от имени администратора доступ к
Диспетчеру задач,
- блокирует безопасный режим,
- блокирует доступ к реестру,
- блокирует все антивирусные программы,
- блокирует напрочь доступ ко всем возможным
антивирусным ресурсам сети (сайтам, ftp и т.д.),
- поражает все ехе-файлы, до которых может
дотянуться, в реузльтате чего программы глючат, система сбоит и виснет. У
меня сначала вис ИЭ, потом перстали сохраняться любые картинки, потом стал
виснуть комп при попытке открыть какую-либо папку.
Прежде всего находим чистый и непорочный компьютер с интернетом, через него
скачиваем
Записываем это дело на болванку (которая, в отличие от
флешки, вирусу подвластна не будет)
Суем диск в свой завирусованный комп, отключаем его от интернета и запускаем Dr.Web
Сureit! - сначала предварительную, а потом полную проверку. Все ехе-файлы
лечим.
После того как Dr.Web Сureit! выполнит свою работу (а она это делает хорошо),
запускаем утилиту sality_off - она добивает то, чего недосмотрел Dr.Web
Сureit!
Когда обе утилиты отстреляют все вирусы, устанавливаем и запускаем редактор
реестра rrtri.exe
С ее помощью для включения
Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
/ DisableTaskMgr
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
"DisableRegistryTools”=dword:00000001
Восстанавливаем ветки реестра
для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
Удаляем ключ в реестре, где вирус
прописывает свои настройки:
HKEY_CURRENT_USER\Software\<имя пользователя>914.
Это важно: У каждого пользователя в реестре создаётся раздел в HKCU\Software\914
в котором вирус хранит своё тело в зашифрованном виде в виде
шестнадцатиричных ключей. Раздел с допиской "914″ уничтожить!!! Иначе вирус
возродится аки Феникс из пепла.
Вот, собсно, и все.
Если интересно, откуда я такой умный, то вот отсюда: http://charmlab.ru/2009/03/15/borba-s-virusom-win32sector17/
И отсюда: http://helplamer.ru/?p=244
|