Вячеслав Качалкин Подготовка материала: Дебютант

Как уничтожить зловреда Win32.Sector.17?

«Вы не могли бы посмотреть компьютер? Там, кажется, вирус…» Отчего же не посмотреть, тем более что это моя работа и я даже знаю, какой там вирус — очень неприятный Win32.Sector.17.

Странно, что других нет, а только модификации этого. Зловредность последнего заключается в том, что, попав в систему, он отключает Безопасный режим, Диспетчер задач, Редактор реестра, заражает все .scr- и .exe-файлы на компьютере (многие программы после этого работают некорректно или вовсе не запускаются) и не дает запуститься антивирусу.

Известен он под разными именами, например: PE_SALITY.EK, Virus. Win32.Sality.aa, PE_SALITY.M, New Win32. s, New Malware. ew, Trojan.Agent.AINJ, Virus. Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus. Win32.Sality.kaka, W32/Sality, Virus. Win32.Sality.2, Win32.Sality.NX, Virus. Win32.Sality.z, Embedded. Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus: Win32/Sality.AM, W32/Sality.Y, Win32. Sector 12.

При наличии подключения к Интернету блокирует доступ к сайтам, где в названии содержится:

«kaspersky», «eset.com», «f-secure», «mcafee», «symantec», «etrust.com», «trendmicro», «sophos», «virustotal», «agnitum», «pandasoftware», «bitdefender», «spywareguide», «windowsecurity», «virusscan», «ewido», «spywareinfo», «onlinescan», «drweb», «cureit».

То есть он не дает возможности обновить антивирус и не дает себя уничтожить.

Кроме того, удаляет файлы *.vdb, *.avc, drw*.key.

Завершает приложения, окна которых содержат подстроки «dr.web» и «cureit».

Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.

Значит, остается одно — лечить.

Так как установленный антивирус не функционирует, пробуем загрузиться и побороться с помощью Dr. Web live-CD.

Доктор Веб отлично распознает этот вирус во всех его инкарнациях. Правда, мой эксперимент оказался неудачным, потому что в самый последний момент компьютер намертво завис, повторять загрузку не стал, но в этом случае, скорее всего, виновата старая CD-RW-болванка. Так что Dr. Web live-CD советую использовать.

В моей ситуации был удален установленный Аваст Антивирус и установлена триальная версия Dr. Web 5.

Этот антивирус хорош тем, что уже при инсталляции защищен и может устанавливаться и работать на уже зараженной системе.

Кстати, Касперскому, несмотря на все почтение, это не удалось. Потом компьютер был полностью просканирован и вирус удален. Остается исправить последствия действий паразита.

В этом прекрасно помогает утилита rrtri.exe.

С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System / DisableTaskMgr.
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVerson/Policies/System]
«DisableRegistryTools"=dword:00000001.

Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE/System/Current/ControlSet/Control/SafeBoot
HKEY_CURRENT_USER/System/Current/ControlSet/Control/SafeBoot

Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER/Software/имя пользователя/914

Остается добавить, что все это происходило на системе Windows XP, в школе. Вирус принесли на флешке, может из дома, а может, как утверждают учителя, из Отдела управления образованием…

P. S. Несколько часов назад вновь пришлось столкнуться с данной проблемой на ноутбуке с Вистой. На сей раз был установлен Norton Antivirus 2009 — специальная версия от журнала «Chip». Нортон отлично справился с проблемой, а при помощи утилиты rrtri. exe все функции системы были восстановлены.

Удачного вам избавления!

Статья опубликована в выпуске 2.10.2009
Обновлено 29.07.2014

Комментарии (10):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети:

  • Юлия Музычная Юлия Музычная Читатель 30 мая 2010 в 12:25 отредактирован 30 мая 2010 в 12:28

    А вот я почемуто не могу зайти в безопасный режим
    в regedit в папке Safe Boot (справа стоит запись :AlternateShell RZG_SZ cmd.exe
    М ожет это у меня раньше уже вирус сделал такую запись?
    Ос=XP 5.1.2600
    Вячеслав Качалкин,

  • Регина Шенкер Читатель 18 февраля 2010 в 02:40 отредактирован 23 мая 2018 в 12:08

    Поверьте, старая CD-RW болванка здесь совершенно не при чём. Dr.Web live-CD абсолютно бессилен против trojan.Win32 (проверено на личном опыте, по всем правилам записала диск, загрузилась с него и просканировала - не помогло).
    Что касается триальной версии Dr Web, то в ходе её установки требуется контакт с сайтом Dr Web'a (а этот процесс моментально обламывается - в силу того, что Win32 блокирует доступ к сайтам антивирусов).
    Не помогла также программа Spyware Terminator, интегрированная с ClamWin Antivirus.

    Сокрушительную, безоговорочную победу над trojan.Win32 одержал ESET NOD32 Antivirus (обновлённый предварительно с помощью инкрементного обновления).

    Правда, мой Win32 несколько отличался от описанного Вами случая. Он не отключил Безопасный режим и Диспетчер задач. Зато сайты антивирусов блокировал исправно. A NOD32 отрапортовал о присутствии в компе Win32 в 11 реинкарнациях) (после чего уничтожил их все).

  • Я пользовался многими антивирусами, сейчас доктор Web. Недавно побывал на одном сайте и когда попытался выключить комп у меня это не получилось, требовали ввести эсеемеску и отправить энную сумму денег Как под мостом:- давай деньги, или погибнешь Уже начал паниковать, лег спать, а утром
    удалось попасть на рабочий стол и удалить этого супостата. Наверное, фактор времени какой-то сыграл....В общем, пишу, чтоб не паниковали, форматировать - это сродни самоповешанию, спасибо за статью, будем осторожны...

  • Вика Каллен))) Читатель 14 октября 2009 в 14:24 отредактирован 23 мая 2018 в 08:29
    Мне нужна помощь

    Я пробую установить антивирусы,но у меня не получается.Мне пишет ,,програма не является win32".Я не знаю что мне делать.В компьютерах я разбираюсь не очень хорошо.
    Нужно вызывать мастера,или я могу справится сама????!!!Помогите пожалуйста!!!!!!

    • Марианна Власова Марианна Власова Бывший главный редактор 14 октября 2009 в 17:57

      Вика Каллен, Ваш вопрос не имеет отношения к теме статьи, Вы могли написать его в своем блоге или личным сообщением автору.

      Прошу тех, кто решит разобраться в проблеме, отвечать Вике личным сообщением.

  • Спкасибо Вячеслав. Статья интересная и полезная для начинающих особенно. Ставлю 5.

    Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.
    Вот здесь позвольте с Вами не согласиться. Я, обычно, если устанавливаю систему с чистого диска то отключаю все остальные логические диски Партишенем или акронисом, затем ставлю систему, ставлю антивирь и спецпрограмму для обнаружения всяких каков.
    Использую NOD32, IObit Security 360 и до кучи ещё avz.
    Интернет у меня постоянно включён, у меня безлимитка, и тьфу, тфу пока ничего нет.
    Правда когда полазишь по социальным сетям или по рекламным сайтам мои сторожа иногда начинают ругаться, Nod сразу же блокирует подозрительный файл, иногда его приходится убеждать что это свой, хороший файл, а IObit Security 360 спрашивает разрешить или нет этому файлу присутствовать.
    Так что имея комплекс защитных мер на своём компе можно, конечно не на 100%, быть уверенным что аппарат защищён.

  • Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.
    Что это за фантазмы? Если запускать с других дисков оставшиеся зараженными файлы, тогда конечно. Но это и ежу понятно.