Если компьютер заразился вирусом Win32.Sector 12 или 17



«Стандартный», или универсальный способ вылечивания системы от вирусов, предлагаемый на сайте антивируса Доктор Вэб, требует от пользователя перезагрузки системы Windows в безопасный режим и проведения полной проверки системы свежей версией бесплатной утилиты «Доктор Вэб Cureit!». Но рассматриваемый вирус таким способом излечить не удается из-за специфичности его действий на систему. Вирус отключает через реестр возможность загрузки безопасного режима, а заодно и запрещает через тот же реестр доступ к нему стандартного редактора реестра (regedit.exe). Таким образом, для неопытного пользователя данная ситуация становится критической, и решаемой переустановкой системы после предварительной очистки диска от всех (вместе с зараженными) файлов. Этот способ восстановления работоспособности компьютера зачастую, если под рукой не оказывается диска-«реаниматора» или других подобных приспособлений, приносит непредвиденные потери важных файлов и данных. Кроме того, вирус во время своей активности заражает доступные файлы-приложения, dll-библиотеки и scr-файлы, которые при излечении редко приобретают изначальный вид и размер, становятся бесполезными.



Известен он под разными именами, например: PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded.Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12.



При наличии подключения к Интернету блокирует доступ к сайтам, где содержится название:
“kaspersky”, ”eset.com” , “f-secure”, ”mcafee” , “symantec”, “etrust.com”, “trendmicro”, ”sophos”, “virustotal” , “agnitum”, “pandasoftware” , “bitdefender”, “spywareguide”, “windowsecurity”, “virusscan”, “ewido”, “spywareinfo”, ”onlinescan”, ”drweb”, ”cureit”.

Кроме того, удаляет файлы *.vdb, *.avc, drw*.key.
Завершает приложения, окна которых содержат подстроки “dr.web” и “cureit”.

В случае, если ваш компьютер все-таки заразился этим вирусом, рекомендуется немедленно завершить на зараженной системе работу, загрузить Live-CD Доктор Вэб (или любой другой Live-CD с антивирусом с обновленными базами) и запустить полную проверку жесткого диска.


После успешной проверки диска антивирусом остается исправить последствия действия зловредной программы в реестре системы.

В этом прекрасно поможет утилита rrtri.exe (редактор реестра, отличный от встроенного в Windows, также может быть и плагин Total Commander или любая другая подходящая программа).



Для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System / DisableTaskMgr



Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001

Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot

Удаляем ключ в реестре, где вирус устраивает лагерь резервной копии своих настроек:
HKEY_CURRENT_USER\Software\<имя пользователя>914