Не могу найти описание вируса
Подхватил заразу, запустил Dr.Web CureIt! Нашел кучу зараженных файлов. Вирус Win32.Sector.17 (в терминологии CureIt). В вирусной библиотеке описания данного вируса не нашел. Есть только Win32.Sector.5.
Собственно, меня интересует один единственный момент: если CureIt сказала, что вылечила файл, значит ли это, что он возвращен в изначальное состояние и не сбойнет при использовании. Дело в том, что для некоторых из зараженных программ у меня нет дистрибутивов, так что поиск оригинальных вариантов для переустановки затруднителен. Но если все же есть вероятность, что после лечения возможны сбои в работе, то я лучше попробую отыскать чистые варианты.
Есть еще дополнительный вопрос. В каталоге System Volume Information хранятся данные для восстановления системы (я сейчас восстановление отключил и больше включать никогда не буду, но файлы там остались). Там тоже куча зараженных файлов, но происходит сбой при попытке лечения некоторых из них. Я уже нашел информацию о том, как поступать в таких случаях, но мне, честно говоря, не хочется. Можно ли просто удалить все это безобразие? Не рухнет ли операционная система после этого?
#2 v.martyanov
Подхватил заразу, запустил Dr.Web CureIt! Нашел кучу зараженных файлов. Вирус Win32.Sector.17 (в терминологии CureIt). В вирусной библиотеке описания данного вируса не нашел. Есть только Win32.Sector.5.
Собственно, меня интересует один единственный момент: если CureIt сказала, что вылечила файл, значит ли это, что он возвращен в изначальное состояние и не сбойнет при использовании. Дело в том, что для некоторых из зараженных программ у меня нет дистрибутивов, так что поиск оригинальных вариантов для переустановки затруднителен. Но если все же есть вероятность, что после лечения возможны сбои в работе, то я лучше попробую отыскать чистые варианты.
Есть еще дополнительный вопрос. В каталоге System Volume Information хранятся данные для восстановления системы (я сейчас восстановление отключил и больше включать никогда не буду, но файлы там остались). Там тоже куча зараженных файлов, но происходит сбой при попытке лечения некоторых из них. Я уже нашел информацию о том, как поступать в таких случаях, но мне, честно говоря, не хочется. Можно ли просто удалить все это безобразие? Не рухнет ли операционная система после этого?
Sector.17 должен быть похож на 5-й. Восстановление файлов байт-в-байт при лечении в общем случае невозможно, но работоспособность должна сохраняться.
#3 SergM
В каталоге System Volume Information хранятся данные для восстановления системы (я сейчас восстановление отключил и больше включать никогда не буду, но файлы там остались). Там тоже куча зараженных файлов, но происходит сбой при попытке лечения некоторых из них. Я уже нашел информацию о том, как поступать в таких случаях, но мне, честно говоря, не хочется. Можно ли просто удалить все это безобразие? Не рухнет ли операционная система после этого?
#4 GeoJ
Просто удалить — это на самом деле отключить это самое Восстановление системы.
Я тоже так думал. Поэтому после того, как отключил восстановление перед сканированием, не стал проверять, осатлось там что-то или нет. И с удивлением хлопал глазами, когда CureIt начала мне выдавать в отчет один и те же зараженные файлы из разных каталогов внутри System Volume Information. В общем, я еще погляжу, что там внутри, потом уточню.
Sector.17 должен быть похож на 5-й. Восстановление файлов байт-в-байт при лечении в общем случае невозможно, но работоспособность должна сохраняться.
Сообщение было изменено GeoJ: 05 Июнь 2009 — 11:59
#5 Niko
Подхватил заразу, запустил Dr.Web CureIt! Нашел кучу зараженных файлов. Вирус Win32.Sector.17 (в терминологии CureIt). В вирусной библиотеке описания данного вируса не нашел. Есть только Win32.Sector.5.
Собственно, меня интересует один единственный момент: если CureIt сказала, что вылечила файл, значит ли это, что он возвращен в изначальное состояние и не сбойнет при использовании. Дело в том, что для некоторых из зараженных программ у меня нет дистрибутивов, так что поиск оригинальных вариантов для переустановки затруднителен. Но если все же есть вероятность, что после лечения возможны сбои в работе, то я лучше попробую отыскать чистые варианты.
Есть еще дополнительный вопрос. В каталоге System Volume Information хранятся данные для восстановления системы (я сейчас восстановление отключил и больше включать никогда не буду, но файлы там остались). Там тоже куча зараженных файлов, но происходит сбой при попытке лечения некоторых из них. Я уже нашел информацию о том, как поступать в таких случаях, но мне, честно говоря, не хочется. Можно ли просто удалить все это безобразие? Не рухнет ли операционная система после этого?
Sector.17 должен быть похож на 5-й. Восстановление файлов байт-в-байт при лечении в общем случае невозможно, но работоспособность должна сохраняться.
В прошлом году лечили Sector.5/7, в основном все системные exe ожили, намертво побиты оказались дистрибутивы (инсталляторы, драйвера), пришлось проверять все файловое хранилище на предмет живучисти дистрибов.
#6 GeoJ
В общем, я все равно Винду переставил. Так что критичным тоже оказалось повреждение после лечения нескольких дистрибутивов, которые я держал на винте.
Про System Volume Information вопрос остался. Дело в том, что я переставлял Винду на тот же диск без переформатирования (некуда было деть имеющиеся у меня материалы). При переустановке ОС содержимое каталога System Volume Information не очищается. Вот и думаю, убить мне его руками или пусть живет. Никто не подскажет, что должно быть в этом каталоге, если отключено восстановление системы?
Как уничтожить зловреда Win32.Sector.17?
«Вы не могли бы посмотреть компьютер? Там, кажется, вирус…» Отчего же не посмотреть, тем более что это моя работа и я даже знаю, какой там вирус — очень неприятный Win32.Sector.17.
Странно, что других нет, а только модификации этого. Зловредность последнего заключается в том, что, попав в систему, он отключает Безопасный режим, Диспетчер задач, Редактор реестра, заражает все .scr- и .exe-файлы на компьютере (многие программы после этого работают некорректно или вовсе не запускаются) и не дает запуститься антивирусу.
Известен он под разными именами, например: PE_SALITY.EK, Virus. Win32.Sality.aa, PE_SALITY.M, New Win32. s, New Malware. ew, Trojan.Agent.AINJ, Virus. Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus. Win32.Sality.kaka, W32/Sality, Virus. Win32.Sality.2, Win32.Sality.NX, Virus. Win32.Sality.z, Embedded. Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus: Win32/Sality.AM, W32/Sality.Y, Win32. Sector 12.
При наличии подключения к Интернету блокирует доступ к сайтам, где в названии содержится:
То есть он не дает возможности обновить антивирус и не дает себя уничтожить.
Кроме того, удаляет файлы *.vdb, *.avc, drw*.key.
Завершает приложения, окна которых содержат подстроки «dr.web» и «cureit».
Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.
Значит, остается одно — лечить.
Так как установленный антивирус не функционирует, пробуем загрузиться и побороться с помощью Dr. Web live-CD.
Доктор Веб отлично распознает этот вирус во всех его инкарнациях. Правда, мой эксперимент оказался неудачным, потому что в самый последний момент компьютер намертво завис, повторять загрузку не стал, но в этом случае, скорее всего, виновата старая CD-RW-болванка. Так что Dr. Web live-CD советую использовать.
В моей ситуации был удален установленный Аваст Антивирус и установлена триальная версия Dr. Web 5.
Этот антивирус хорош тем, что уже при инсталляции защищен и может устанавливаться и работать на уже зараженной системе.
Кстати, Касперскому, несмотря на все почтение, это не удалось. Потом компьютер был полностью просканирован и вирус удален. Остается исправить последствия действий паразита.
В этом прекрасно помогает утилита rrtri.exe.
С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System / DisableTaskMgr.
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVerson/Policies/System]
«DisableRegistryTools»=dword:00000001.
Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE/System/Current/ControlSet/Control/SafeBoot
HKEY_CURRENT_USER/System/Current/ControlSet/Control/SafeBoot
Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER/Software/имя пользователя/914
Остается добавить, что все это происходило на системе Windows XP, в школе. Вирус принесли на флешке, может из дома, а может, как утверждают учителя, из Отдела управления образованием…
Несколько часов назад вновь пришлось столкнуться с данной проблемой на ноутбуке с Вистой. На сей раз был установлен Norton Antivirus 2009 — специальная версия от журнала «Chip». Нортон отлично справился с проблемой, а при помощи утилиты rrtri. exe все функции системы были восстановлены.
Как уничтожить зловреда Win32.Sector.17?
Когда Win32.Sector.17 проникает в операционную систему, то в первую очередь он отключает встроенную систему безопасности (Безопасный режим), Редактор реестра, Диспетчер задач. В дальнейшем происходит заражение всех файлов с расширением *.scr и *.exe, после чего большинство программ перестают работать корректно, а то и вовсе не запускаются. Так же происходит отключение антивирусных программ. Еще одной особенностью вирусного кода является то, что он полностью блокирует доступ к сайтам, которые содержат в своем названии слова «spywareinfo», «windowsecurity», «onlinescan», «eset.com», «kaspersky», «drweb», «virustotal» и другим антивирусным ресурсам. Таким образом, он полностью лишает обновления антивирусную программу, не позволяет последней себя выявить и уничтожить. А еще он стирает файлы ключей и антивирусных баз.
Данная вирусная программа может иметь множество имен. Она может называться и PE_SALITY.EK, PE_SALITY.M, PE_SALITY.EN, и Trojan.Agent.AINJ, Win32.Sality.y, Win32.Sality.NX, Sality.kaka, Win32/Tanatos.A, Win32/Sality.AM и тому подобное.
Если подобная зараза проникает в систему, которая имеет два и более логических диска, то даже полное форматирование системного диска и дальнейшая переустановка операционной системы, может оказаться бессмысленной. Этот вирус способен с легкостью перебраться с любого локального диска в только что установленную ОС.
Уж, коль вы невзначай подцепили этого зловреда, то выход только один – лечение.
Для изгнания нам будет нужен диск Live-CD с Dr.Web, который желательно всегда иметь под рукой. Создать оный можно и самому, скачав образ с официального сайта и записав его на любой подходящий CD, DVD.
Паучок (Dr.Web) прекрасно справляется с определением данного вирусного кода в любых его видах. Собственно, сам Доктор Веб нужен нам для выявления и лечения, но для восстановления всех функций системы понадобится специальная утилита rrtri.exe. Именно последняя и поможет включить Диспетчер задач и всего остального.
Утилита позволяет получить непосредственный доступ к системному реестру, а еще даст возможность изменить модифицированные вирусом значения.
Для начала нужно зайти в KEY_CURRENT_USER, далее Software +Microsoft+Windows+CurrentVersion+Policies+System+DisableTaskMgr. Собственно, последний пункт и есть наш отключенный Диспетчер задач. Вирусный код меняет значение на 1, нам же нужно изменить на 0. Запуск редактора реестра разрешаем заменой значения параметра DisableRegistryTools, который в выключенном состоянии имеет вид dword:00000001. Вместо единицы в конце прописываем ноль.
Весьма важно удалить в системном реестре ключик, в котором вирусом были прописаны его настройки. Этот ключ находится в ветке HKEY_CURRENT_USER+Software+имя пользователя+914. Вот собственно и все.
Главное, чтобы у вас всегда имелся в наличии диск с антивирусной программой, который можно запустить как в зараженной системе, так и самостоятельно. Лично я отдаю предпочтение DR WEB, хоть он и тяжеловат для слабых ПК, но находит практически все. А вот Касперский проморгал Win32.Sector.17.
Пример, как на практике лечить подобную заразу:
Загрузились с Live CD, запустили Curelt’a от DR Web, который пролечит все файлы с расширением *.exe, и не только на диске с ОС. Перегрузить систему и удаляем из раздела реестра HKCU\Software\914. Все разделы, где дописано «914″ подлежат удалению.
Win32 sector 17 что за вирус
Войти
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Очень популярный вирус и средства его уничтожения. Проверено на себе
Win32.Sector.17 — довольно мерзкая штука, скажу я вам.
Как говорится, вензаболеваниями болеют две категории. 1 — пользователи с беспорядочными связями. 2 — пользователи, излишне доверчивые к категории 1. Я — из излишне доверчивых.
Зараза эта имеет массу имен:
PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded.Win32.Trojan-Downloader.Sality.k aka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12.
- блокирует от имени администратора доступ к Диспетчеру задач,
- блокирует безопасный режим,
- блокирует доступ к реестру,
- блокирует все антивирусные программы,
- блокирует напрочь доступ ко всем возможным антивирусным ресурсам сети (сайтам, ftp и т.д.),
- поражает все ехе-файлы, до которых может дотянуться, в реузльтате чего программы глючат, система сбоит и виснет. У меня сначала вис ИЭ, потом перстали сохраняться любые картинки, потом стал виснуть комп при попытке открыть какую-либо папку.
Прежде всего находим чистый и непорочный компьютер с интернетом, через него скачиваем
- утилиту Dr.Web Сureit!
- утилиту sality_off от Касперского
- программу — редактор реестра rrtri.exe
Суем диск в свой завирусованный комп, отключаем его от интернета и запускаем Dr.Web Сureit! — сначала предварительную, а потом полную проверку. Все ехе-файлы лечим.
После того как Dr.Web Сureit! выполнит свою работу (а она это делает хорошо), запускаем утилиту sality_off — она добивает то, чего недосмотрел Dr.Web Сureit!
Когда обе утилиты отстреляют все вирусы, устанавливаем и запускаем редактор реестра rrtri.exe
С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Policies\System / DisableTaskMgr
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001
Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE\System\CurrentControl Set\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlS et\Control\SafeBoot
Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER\Software\<имя пользователя>914.
Это важно: У каждого пользователя в реестре создаётся раздел в HKCU\Software\914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей. Раздел с допиской “914″ уничтожить. Иначе вирус возродится аки Феникс из пепла.
Win32 sector 17 что за вирус
Войти
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Очень популярный вирус и средства его уничтожения. Проверено на себе
Win32.Sector.17 — довольно мерзкая штука, скажу я вам.
Как говорится, вензаболеваниями болеют две категории. 1 — пользователи с беспорядочными связями. 2 — пользователи, излишне доверчивые к категории 1. Я — из излишне доверчивых.
Зараза эта имеет массу имен:
PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded.Win32.Trojan-Downloader.Sality.k aka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12.
- блокирует от имени администратора доступ к Диспетчеру задач,
- блокирует безопасный режим,
- блокирует доступ к реестру,
- блокирует все антивирусные программы,
- блокирует напрочь доступ ко всем возможным антивирусным ресурсам сети (сайтам, ftp и т.д.),
- поражает все ехе-файлы, до которых может дотянуться, в реузльтате чего программы глючат, система сбоит и виснет. У меня сначала вис ИЭ, потом перстали сохраняться любые картинки, потом стал виснуть комп при попытке открыть какую-либо папку.
Прежде всего находим чистый и непорочный компьютер с интернетом, через него скачиваем
- утилиту Dr.Web Сureit!
- утилиту sality_off от Касперского
- программу — редактор реестра rrtri.exe
Суем диск в свой завирусованный комп, отключаем его от интернета и запускаем Dr.Web Сureit! — сначала предварительную, а потом полную проверку. Все ехе-файлы лечим.
После того как Dr.Web Сureit! выполнит свою работу (а она это делает хорошо), запускаем утилиту sality_off — она добивает то, чего недосмотрел Dr.Web Сureit!
Когда обе утилиты отстреляют все вирусы, устанавливаем и запускаем редактор реестра rrtri.exe
С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Policies\System / DisableTaskMgr
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001
Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE\System\CurrentControl Set\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlS et\Control\SafeBoot
Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER\Software\<имя пользователя>914.
Это важно: У каждого пользователя в реестре создаётся раздел в HKCU\Software\914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей. Раздел с допиской “914″ уничтожить. Иначе вирус возродится аки Феникс из пепла.
Не могу найти описание вируса
Подхватил заразу, запустил Dr.Web CureIt! Нашел кучу зараженных файлов. Вирус Win32.Sector.17 (в терминологии CureIt). В вирусной библиотеке описания данного вируса не нашел. Есть только Win32.Sector.5.
Собственно, меня интересует один единственный момент: если CureIt сказала, что вылечила файл, значит ли это, что он возвращен в изначальное состояние и не сбойнет при использовании. Дело в том, что для некоторых из зараженных программ у меня нет дистрибутивов, так что поиск оригинальных вариантов для переустановки затруднителен. Но если все же есть вероятность, что после лечения возможны сбои в работе, то я лучше попробую отыскать чистые варианты.
Есть еще дополнительный вопрос. В каталоге System Volume Information хранятся данные для восстановления системы (я сейчас восстановление отключил и больше включать никогда не буду, но файлы там остались). Там тоже куча зараженных файлов, но происходит сбой при попытке лечения некоторых из них. Я уже нашел информацию о том, как поступать в таких случаях, но мне, честно говоря, не хочется. Можно ли просто удалить все это безобразие? Не рухнет ли операционная система после этого?
#2 v.martyanov
Подхватил заразу, запустил Dr.Web CureIt! Нашел кучу зараженных файлов. Вирус Win32.Sector.17 (в терминологии CureIt). В вирусной библиотеке описания данного вируса не нашел. Есть только Win32.Sector.5.
Собственно, меня интересует один единственный момент: если CureIt сказала, что вылечила файл, значит ли это, что он возвращен в изначальное состояние и не сбойнет при использовании. Дело в том, что для некоторых из зараженных программ у меня нет дистрибутивов, так что поиск оригинальных вариантов для переустановки затруднителен. Но если все же есть вероятность, что после лечения возможны сбои в работе, то я лучше попробую отыскать чистые варианты.
Есть еще дополнительный вопрос. В каталоге System Volume Information хранятся данные для восстановления системы (я сейчас восстановление отключил и больше включать никогда не буду, но файлы там остались). Там тоже куча зараженных файлов, но происходит сбой при попытке лечения некоторых из них. Я уже нашел информацию о том, как поступать в таких случаях, но мне, честно говоря, не хочется. Можно ли просто удалить все это безобразие? Не рухнет ли операционная система после этого?
Sector.17 должен быть похож на 5-й. Восстановление файлов байт-в-байт при лечении в общем случае невозможно, но работоспособность должна сохраняться.
#3 SergM
В каталоге System Volume Information хранятся данные для восстановления системы (я сейчас восстановление отключил и больше включать никогда не буду, но файлы там остались). Там тоже куча зараженных файлов, но происходит сбой при попытке лечения некоторых из них. Я уже нашел информацию о том, как поступать в таких случаях, но мне, честно говоря, не хочется. Можно ли просто удалить все это безобразие? Не рухнет ли операционная система после этого?
#4 GeoJ
Просто удалить — это на самом деле отключить это самое Восстановление системы.
Я тоже так думал. Поэтому после того, как отключил восстановление перед сканированием, не стал проверять, осатлось там что-то или нет. И с удивлением хлопал глазами, когда CureIt начала мне выдавать в отчет один и те же зараженные файлы из разных каталогов внутри System Volume Information. В общем, я еще погляжу, что там внутри, потом уточню.
Sector.17 должен быть похож на 5-й. Восстановление файлов байт-в-байт при лечении в общем случае невозможно, но работоспособность должна сохраняться.
Сообщение было изменено GeoJ: 05 Июнь 2009 — 11:59
#5 Niko
Подхватил заразу, запустил Dr.Web CureIt! Нашел кучу зараженных файлов. Вирус Win32.Sector.17 (в терминологии CureIt). В вирусной библиотеке описания данного вируса не нашел. Есть только Win32.Sector.5.
Собственно, меня интересует один единственный момент: если CureIt сказала, что вылечила файл, значит ли это, что он возвращен в изначальное состояние и не сбойнет при использовании. Дело в том, что для некоторых из зараженных программ у меня нет дистрибутивов, так что поиск оригинальных вариантов для переустановки затруднителен. Но если все же есть вероятность, что после лечения возможны сбои в работе, то я лучше попробую отыскать чистые варианты.
Есть еще дополнительный вопрос. В каталоге System Volume Information хранятся данные для восстановления системы (я сейчас восстановление отключил и больше включать никогда не буду, но файлы там остались). Там тоже куча зараженных файлов, но происходит сбой при попытке лечения некоторых из них. Я уже нашел информацию о том, как поступать в таких случаях, но мне, честно говоря, не хочется. Можно ли просто удалить все это безобразие? Не рухнет ли операционная система после этого?
Sector.17 должен быть похож на 5-й. Восстановление файлов байт-в-байт при лечении в общем случае невозможно, но работоспособность должна сохраняться.
В прошлом году лечили Sector.5/7, в основном все системные exe ожили, намертво побиты оказались дистрибутивы (инсталляторы, драйвера), пришлось проверять все файловое хранилище на предмет живучисти дистрибов.
#6 GeoJ
В общем, я все равно Винду переставил. Так что критичным тоже оказалось повреждение после лечения нескольких дистрибутивов, которые я держал на винте.
Про System Volume Information вопрос остался. Дело в том, что я переставлял Винду на тот же диск без переформатирования (некуда было деть имеющиеся у меня материалы). При переустановке ОС содержимое каталога System Volume Information не очищается. Вот и думаю, убить мне его руками или пусть живет. Никто не подскажет, что должно быть в этом каталоге, если отключено восстановление системы?
Как уничтожить зловреда Win32.Sector.17?
«Вы не могли бы посмотреть компьютер? Там, кажется, вирус…» Отчего же не посмотреть, тем более что это моя работа и я даже знаю, какой там вирус — очень неприятный Win32.Sector.17.
Странно, что других нет, а только модификации этого. Зловредность последнего заключается в том, что, попав в систему, он отключает Безопасный режим, Диспетчер задач, Редактор реестра, заражает все .scr- и .exe-файлы на компьютере (многие программы после этого работают некорректно или вовсе не запускаются) и не дает запуститься антивирусу.
Известен он под разными именами, например: PE_SALITY.EK, Virus. Win32.Sality.aa, PE_SALITY.M, New Win32. s, New Malware. ew, Trojan.Agent.AINJ, Virus. Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus. Win32.Sality.kaka, W32/Sality, Virus. Win32.Sality.2, Win32.Sality.NX, Virus. Win32.Sality.z, Embedded. Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus: Win32/Sality.AM, W32/Sality.Y, Win32. Sector 12.
При наличии подключения к Интернету блокирует доступ к сайтам, где в названии содержится:
То есть он не дает возможности обновить антивирус и не дает себя уничтожить.
Кроме того, удаляет файлы *.vdb, *.avc, drw*.key.
Завершает приложения, окна которых содержат подстроки «dr.web» и «cureit».
Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.
Значит, остается одно — лечить.
Так как установленный антивирус не функционирует, пробуем загрузиться и побороться с помощью Dr. Web live-CD.
Доктор Веб отлично распознает этот вирус во всех его инкарнациях. Правда, мой эксперимент оказался неудачным, потому что в самый последний момент компьютер намертво завис, повторять загрузку не стал, но в этом случае, скорее всего, виновата старая CD-RW-болванка. Так что Dr. Web live-CD советую использовать.
В моей ситуации был удален установленный Аваст Антивирус и установлена триальная версия Dr. Web 5.
Этот антивирус хорош тем, что уже при инсталляции защищен и может устанавливаться и работать на уже зараженной системе.
Кстати, Касперскому, несмотря на все почтение, это не удалось. Потом компьютер был полностью просканирован и вирус удален. Остается исправить последствия действий паразита.
В этом прекрасно помогает утилита rrtri.exe.
С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System / DisableTaskMgr.
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVerson/Policies/System]
«DisableRegistryTools»=dword:00000001.
Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE/System/Current/ControlSet/Control/SafeBoot
HKEY_CURRENT_USER/System/Current/ControlSet/Control/SafeBoot
Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER/Software/имя пользователя/914
Остается добавить, что все это происходило на системе Windows XP, в школе. Вирус принесли на флешке, может из дома, а может, как утверждают учителя, из Отдела управления образованием…
Несколько часов назад вновь пришлось столкнуться с данной проблемой на ноутбуке с Вистой. На сей раз был установлен Norton Antivirus 2009 — специальная версия от журнала «Chip». Нортон отлично справился с проблемой, а при помощи утилиты rrtri. exe все функции системы были восстановлены.
Как уничтожить зловреда Win32.Sector.17?
Когда Win32.Sector.17 проникает в операционную систему, то в первую очередь он отключает встроенную систему безопасности (Безопасный режим), Редактор реестра, Диспетчер задач. В дальнейшем происходит заражение всех файлов с расширением *.scr и *.exe, после чего большинство программ перестают работать корректно, а то и вовсе не запускаются. Так же происходит отключение антивирусных программ. Еще одной особенностью вирусного кода является то, что он полностью блокирует доступ к сайтам, которые содержат в своем названии слова «spywareinfo», «windowsecurity», «onlinescan», «eset.com», «kaspersky», «drweb», «virustotal» и другим антивирусным ресурсам. Таким образом, он полностью лишает обновления антивирусную программу, не позволяет последней себя выявить и уничтожить. А еще он стирает файлы ключей и антивирусных баз.
Данная вирусная программа может иметь множество имен. Она может называться и PE_SALITY.EK, PE_SALITY.M, PE_SALITY.EN, и Trojan.Agent.AINJ, Win32.Sality.y, Win32.Sality.NX, Sality.kaka, Win32/Tanatos.A, Win32/Sality.AM и тому подобное.
Если подобная зараза проникает в систему, которая имеет два и более логических диска, то даже полное форматирование системного диска и дальнейшая переустановка операционной системы, может оказаться бессмысленной. Этот вирус способен с легкостью перебраться с любого локального диска в только что установленную ОС.
Уж, коль вы невзначай подцепили этого зловреда, то выход только один – лечение.
Для изгнания нам будет нужен диск Live-CD с Dr.Web, который желательно всегда иметь под рукой. Создать оный можно и самому, скачав образ с официального сайта и записав его на любой подходящий CD, DVD.
Паучок (Dr.Web) прекрасно справляется с определением данного вирусного кода в любых его видах. Собственно, сам Доктор Веб нужен нам для выявления и лечения, но для восстановления всех функций системы понадобится специальная утилита rrtri.exe. Именно последняя и поможет включить Диспетчер задач и всего остального.
Утилита позволяет получить непосредственный доступ к системному реестру, а еще даст возможность изменить модифицированные вирусом значения.
Для начала нужно зайти в KEY_CURRENT_USER, далее Software +Microsoft+Windows+CurrentVersion+Policies+System+DisableTaskMgr. Собственно, последний пункт и есть наш отключенный Диспетчер задач. Вирусный код меняет значение на 1, нам же нужно изменить на 0. Запуск редактора реестра разрешаем заменой значения параметра DisableRegistryTools, который в выключенном состоянии имеет вид dword:00000001. Вместо единицы в конце прописываем ноль.
Весьма важно удалить в системном реестре ключик, в котором вирусом были прописаны его настройки. Этот ключ находится в ветке HKEY_CURRENT_USER+Software+имя пользователя+914. Вот собственно и все.
Главное, чтобы у вас всегда имелся в наличии диск с антивирусной программой, который можно запустить как в зараженной системе, так и самостоятельно. Лично я отдаю предпочтение DR WEB, хоть он и тяжеловат для слабых ПК, но находит практически все. А вот Касперский проморгал Win32.Sector.17.
Пример, как на практике лечить подобную заразу:
Загрузились с Live CD, запустили Curelt’a от DR Web, который пролечит все файлы с расширением *.exe, и не только на диске с ОС. Перегрузить систему и удаляем из раздела реестра HKCU\Software\914. Все разделы, где дописано «914″ подлежат удалению.