Тест S5 Box

Вот примерно так работает модуль в реале...

ВирусWin32.sector.21

Win32.Sector. Удаляем вирус и последствия

Сегодня пришел на работу и пожалел, что вовремя не запретил своим "дорогим" сотрудникам скачивать и устанавливать что попало на рабочий компьютер. Меня не было всего 4 дня, и за эти дни 4 компьютера в сети были заражены вирусом, который который Kaspersky определяет как VIRUS.WIN32.Sality.z, а Dr. Web – win32.sector.5, win32.sector.7

На компьютерах зараженных этим вирусом не было с первого взгляда видно что что-то не так. Итак симптомы:

Симптомы

  1. Большинство программ перестают работать и «вылетают» с критической ошибкой;
  2. Загрузка в безопасном режиме невозможна – вирус портит ветки реестра;
  3. Сайты kaspersky.ru, drweb.ru, viruslist.ru и пр. не загружаются (но не всегда);
  4. Значительно снижается производительность компьютера;
  5. Не запускается диспетчер задачь (Окно с сообщением "Диспечтер задачь отключен администратором");
  6. Не запускается редактор реестра (Окно с сообщением "Редактирование реестра запрещено администратором системы").
  7. Завершает приложения, окна которых содержат подстроки "dr.web", "Avira", "Nod32", "Avast", "Kaspersky" и подобные.;
Более подробно о возможностях вируса можно почитать на сайте DrWeb!

Лечение

Лечение компьютеров далось с разными успехоми. Итак начну с того, что на мой взгляд нужно сделать в первую очередь;

  1. Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN – любые сетевые подключения. Просто выдергиваем кабель;
  2. Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном возможно не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой – дабы вирус не мог испортить программу. Если испортит – вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX;
  3. Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр. Это должно вернуть Безопасный режим к жизни.;
  4. Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен «Безопасный режим»;
  5. Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера;
  6. Перезагружаемся в обычном режиме;
  7. Вновь проводим полную проверку;
  8. Восстанавливаем доступ к реестру, как описано в этой статье;
  9. Восстанавливаем доступ к Диспетчеру задачь, как описано в этой статье;
  10. Устанавливаем нормальный антивирус со свежими базами. 

Если лечение не помогает

Указанным выше способом удалось полечить два из четырех компьютеров. Два оставшиеся после проверки CureIt снова были заражены, видимо вирус засел очень плотно. Для таких случаев не могу найти более подходящего способа, как снять жесткий диск и подсоеденить к компьютеру имеющему хорошую антивирусную программу с последними обновлениями базы данных о вирусах. Таким компьютером стал мой домашник ПК с антивирусом AVAST на борту.

Самое главное при таком способе лечения не открывать зараженный жесткий диск пока он полность не будет проверен антивирусной программой.

Далее после лечения файлов и удаления не вылеченных, остается только вернуть диск на место и проделать все пункты по восстановлению реестра и настроек.

P.S. "Проверьте и если нужно исправьте эти ветки реестра"

Исправляем последствия действий вируса:

Меняем 1 на 0 в ветке реестра:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System /DisableTaskMgr.

Устанавливаем 0 в ветке реестра:
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVerson/Policies/System]
«DisableRegistryTools»=dword:00000001.

Восстанавливаем ветки реестра для возможности загрузки в «Безопасном режиме»:
HKEY_LOCAL_MACHINE/System/Current/ControlSet/Control/SafeBoot
HKEY_CURRENT_USER/System/Current/ControlSet/Control/SafeBoot

Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER/Software/Имя пользователя/914

О других последствиях действий этого вируса и как от них избавиться читайте в следующих статьях.

Удачи ! {odnaknopka}

cs-nsk

Добавить комментарий

Пожалуйста, старайтесь оставлять комментарии согласно выбранной статьи...


Защитный код
Обновить

Последние комментарии

Теги ...

Опрос: iOS или Android ?

Какой ОС вы чаще пользуетесь?

iOS - 0%
Android - 60%
Windows Mobile - 20%
Tizen - 0%
Другая. - 20%

Всего голосов: 5
Голосование в этом опросе закончено в: 01 Янв 2017 - 00:00
Яндекс.Метрика Анализ сайта Рейтинг@Mail.ru