Як знищити зловредів Win32.Sector.17?

Питання досить актуальне. Давайте розберемося, як же нам позбутися цієї комп’ютерної зарази. Тим більше що даний вірус в «чистому» вигляді практично не зустрічається, а зараження програмного забезпечення ПК відбувається в основному його модифікаціями.

Коли Win32.Sector.17 проникає в операційну систему, то в першу чергу він відключає вбудовану систему безпеки (Безпечний режим), Редактор реєстру, Диспетчер завдань. Надалі відбувається зараження всіх файлів з розширенням *. Scr і *. Exe, після чого більшість програм перестають працювати коректно, а то й зовсім не запускаються. Так само відбувається відключення антивірусних програм. Ще однією особливістю вірусного коду є те, що він повністю блокує доступ до сайтів, які містять у своїй назві слова «spywareinfo», «windowsecurity», «onlinescan», «eset.com», «kaspersky», «drweb», «virustotal »і іншим антивірусним ресурсів. Таким чином, він повністю позбавляє поновлення антивірусну програму, не дозволяє останній себе виявити і знищити. А ще він стирає файли ключів і антивірусних баз.

Дана вірусна програма може мати безліч імен. Вона може називатися і PE_SALITY.EK, PE_SALITY.M, PE_SALITY.EN, і Trojan.Agent.AINJ, Win32.Sality.y, Win32.Sality.NX, Sality.kaka, Win32/Tanatos.A, Win32/Sality.AM і тому подібне.

Якщо подібна зараза проникає в систему, яка має два і більше логічних диска, то навіть повне форматування системного диска і подальша переустановка операційної системи, може виявитися безглуздою. Цей вірус здатний з легкістю перебратися з будь-якого локального диска в тільки що встановлену ОС.

Уж, коль ви ненароком підчепили цього зловреда, то вихід тільки один – лікування.

Для вигнання нам буде потрібен диск Live-CD з Dr.Web, який бажано завжди мати під рукою. Створити оний можна і самому, скачавши образ з офіційного сайту і записавши його на будь-який підходящий CD, DVD.

Павучок (Dr.Web) прекрасно справляється з визначенням даного вірусного коду в будь-яких його видах. Власне, сам Доктор Веб потрібен нам для виявлення і лікування, але для відновлення всіх функцій системи знадобиться спеціальна утиліта rrtri.exe. Саме остання і допоможе включити Диспетчер завдань і всього іншого.

Утиліта дозволяє отримати безпосередній доступ до системного реєстру, а ще дасть можливість змінити модифіковані вірусом значення.

Для початку потрібно зайти в KEY_CURRENT_USER, далі Software + Microsoft + Windows + CurrentVersion + Policies + System + DisableTaskMgr. Власне, останній пункт і є наш відключений Диспетчер завдань. Вірусний код змінює значення на 1, нам же потрібно змінити на 0. Запуск редактора реєстру дозволяємо заміною значення параметра DisableRegistryTools, який у вимкненому стані має вигляд dword: 00000001. Замість одиниці в кінці прописуємо нуль.

Вельми важливо видалити в системному реєстрі ключик, в якому вірусом були прописані його налаштування. Цей ключ знаходиться в гілці HKEY_CURRENT_USER + Software + ім’я користувача +914. Ось власне і все.

Головне, щоб у вас завжди був в наявності диск з антивірусною програмою, який можна запустити як в зараженій системі, так і самостійно. Особисто я віддаю перевагу DR WEB, хоч він і важкуватий для слабких ПК, але знаходить практично всі. А ось Касперський проморгав Win32.Sector.17.

Приклад, як на практиці лікувати подібну заразу:

Завантажилися з Live CD, запустили Curelt’a від DR Web, який пролікувати всі файли з розширенням *. Exe, і не тільки на диску з ОС. Перевантажити систему і видаляємо з розділу реєстру HKCU \ Software \ 914. Всі розділи, де дописано «914″ підлягають видаленню.

В кінці відновити Safe Mode, і все.