Як вилікувати комп'ютерний вірус Virus.Win32.Sality.XXX, Embedded.Win32.Trojan-Downloader.Sality.kaka, Win32.Sector 12, Win32.Sector 17?

Якщо комп'ютер заразився вірусом Win32.Sector 12 або 17

«Стандартний», або універсальний спосіб виліковування системи від вірусів, пропонований на сайті антивіруса Доктор Веб, вимагає від користувача перезавантаження системи Windows в безпечний режим і проведення повної перевірки системи свіжою версією безкоштовної утиліти «Доктор Веб Cureit!». Але розглянутий вірус таким способом вилікувати не вдається через специфічність його дій на систему. Вірус відключає через реєстр можливість завантаження безпечного режиму, а заодно і забороняє через той же реєстр доступ до нього стандартного редактора реєстру (regedit.exe). Таким чином, для недосвідченого користувача дана ситуація стає критичною, і розв'язуваної перевстановлення системи після попередньої очистки диска від усіх (разом із зараженими) файлів. Цей спосіб відновлення працездатності комп'ютера найчастіше, якщо під рукою не виявляється диска-«реаніматора» або інших подібних пристосувань, приносить непередбачені втрати важливих файлів і даних. Крім того, вірус під час своєї активності заражає доступні файли-додатки, dll-бібліотеки і scr-файли, які при лікуванні рідко набувають початковий вигляд і розмір, стають даремними.

Відомий він під різними іменами, наприклад: PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32. Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded. Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus: Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12.

При наявності підключення до Інтернету блокує доступ до сайтів, де міститься назва:
"Kaspersky", "eset.com", "f-secure", "mcafee", "symantec", "etrust.com", "trendmicro", "sophos", "virustotal", "agnitum", "pandasoftware", "bitdefender", "spywareguide", "windowsecurity", "virusscan", "ewido", "spywareinfo", "onlinescan", "drweb", "cureit".

Крім того, видаляє файли *. Vdb, *. Avc, drw *. Key.
Завершує додатки, вікна яких містять підрядка "dr.web" і "cureit".

У випадку, якщо ваш комп'ютер таки заразився цим вірусом, рекомендується негайно завершити на зараженій системі роботу, завантажити Live-CD Доктор Веб (або будь-який інший Live-CD з антивірусом з оновленими базами) і запустити повну перевірку жорсткого диска.

Після успішної перевірки диска антивірусом залишається виправити наслідки дії шкідливої програми в реєстрі системи.

У цьому чудово допоможе утиліта rrtri.exe (редактор реєстру, відмінний від вбудованого в Windows, також може бути і плагін Total Commander або будь-яка інша підходяща програма).

Для включення Диспетчера завдань ставимо нуль (вірус поставив туди 1) у гілці реєстру:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / DisableTaskMgr

Редактор реєстру дозволити можна так: міняємо одиницю на нуль в гілці
[HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVerson \ Policies \ System]
"DisableRegistryTools" = dword: 00000001

Відновлюємо гілки реєстру для можливості завантаження в безпечному режимі:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SafeBoot
HKEY_CURRENT_USER \ System \ CurrentControlSet \ Control \ SafeBoot

Видаляємо ключ в реєстрі, де вірус влаштовує табір резервної копії своїх налаштувань:
HKEY_CURRENT_USER \ Software \ 914

Додаткова інформація:

  • free.drweb.com – завантажити утиліту Dr.Web CureIt!
  • free.drweb.com – завантажити Dr.Web LiveCD
  • helplamer.ru – скачати rrtri.exe редактор реєстру
  • helplamer.ru – знайти і знищити Win32.Sector.17
  • mikedi.ru – історія про Sality: Win32.Sector.17

Додатково на Vidpo.net:

  • Де можна безкоштовно перевірити окремий файл або весь комп'ютер антивірусом онлайн (online)?
  • Як вибрати антивірус?
  • Як увійти на сайт Вконтакте без відправлення СМС?
  • Як видалити вікно порно-інформера в браузері?

Category: Медицина і здоров'я

Comments (Прокоментуй!)

There are no comments yet. Why not be the first to speak your mind.

Leave a Reply