Вирус - Win32.Sector.17 - Вирусы - Защита - Каталог статей

Вирус - Win32.Sector.17

Недавно устроился админом в одну контору – дак там просто засилье зловреда win32.sector.17. Видимо, зловред писался с душой, ибо проблем он доставил прилично. Дело осложнялось тем, что в сети практически нет его описания – только описания его более ранних вариантов win32.sector.5 и win32.sector.7
Началось все с того, что вирь отключил диспетчер задач, редактор реестра и безопасный режим. Далее – не дает запустить антивирус, а также заражает все exe’шники на компе. Собственно, с вирями у меня разговор простой – выкачиваю последний DR. WEB LiveCD и проверяюсь им. Но вот незадача – этот зловред блокирует сайты антивирей! Я просто не смог зайти на www.freedrweb.ru. Пришлось сканировать систему старой версией. Старая версия вирус нашла, но вылечить отказалась, предложив удалить все нафиг. В общем, пришлось качать новый антивирь из дома и лечится на следующий день. Вылечил я его удачно, однако диспетчер задач и редактор реестра по-прежнему были заблокированы. Помогла прога rrtri.exe. С помощью нее для включения диспетчера задач:
ставим ноль (вирус поставил туда 1) в ветке реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
"DisableRegistryTools”=dword:00000001

С сайта касперского – http://support.kaspersky.ru/faq/?qid=208636131
скачайте файл Sality_off.rar
распакуйте файл Sality_off.rar
запустите файл Sality_off.exe с ключом -m поочередно на компьютерах (например, с помощью комплекса Administration Kit, групповой политики сервера)
на всех компьютерах, на которых может регистрироваться и работать доменный администратор
В процессе лечения группы таких компьютеров не производите вход под доменным администратором на любых других компьютерах в сети во избежании распространения заражения остальных компьютеров
на всех остальных компьютерах
Не прерывайте работу утилиты пока не будет завершено лечение всех компьютеров в сети.

Грузитесь с Live CD, любого. Я юзаю Infra CD, все отлично. Из-под нее запускаю Web’овского Curelt’a, он чистит все экзешники на всех хардах (не только системном, Сектор лезет везде!). Далее грузимся под админом (если машина заразилась под юзером – для Сектора нет разницы, какие права у локального пользователя, он все равно заражает машину на ура), чистишь ветки реестра:

У каждого (!) пользователя в реестре создаётся раздел в HKCU\Software\914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей. Раздел с допиской «914″ сносим!

В файл system.ini вирус прописывает значения на указатели реестра где находится код тела примерно вот в таком виде.
[MCIDRV_VER]
DEVICEMB=127446824460
[MCI_DPI32]
DRV_VER=0A34224648

Удаляем.

Затем восстанавливаем Safe Mod. Все.

Категория: Вирусы | Добавил: P@vel (06.02.2010)

Просмотров: 4265 | Рейтинг: 1.0/1

Всего комментариев: 0

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]