Как уничтожить зловреда needhack.ru?

«Вы не могли бы посмотреть компьютер? Там, кажется, вирус…» Отчего же не посмотреть, тем более что это моя работа и я даже знаю, какой там вирус — очень неприятный Win32. Sector. 17.

Странно, что других нет, а только модификации этого. Зловредность последнего заключается в том, что, попав в систему, он отключает Безопасный режим, Диспетчер задач, Редактор реестра, заражает все . scr- и . exe-файлы на компьютере (многие программы после этого работают некорректно или вовсе не запускаются) и не дает запуститься антивирусу.

Известен он под разными именами, например: PE_SALITY. EK, Virus. Win32. Sality. aa, PE_SALITY. M, New Win32. s, New Malware. ew, Trojan. Agent. AINJ, Virus. Win32. Sality. y, Win32. Sality. OE, PE_SALITY. EN, Win32. Sality. OG, Virus. Win32. Sality. kaka, W32/Sality, Virus. Win32. Sality. 2, Win32. Sality. NX, Virus. Win32. Sality. z, Embedded. Win32. Trojan-Downloader. Sality. kaka, Mal_Sality, Win32/Tanatos. A, Win32/Sality. AM, Virus: Win32/Sality. AM, W32/Sality. Y, Win32. Sector 12.

При наличии подключения к Интернету блокирует доступ к сайтам, где в названии содержится:

«kaspersky», «eset. com», «f-secure», «mcafee», «symantec», «etrust. com», «trendmicro», «sophos», «virustotal», «agnitum», «pandasoftware», «bitdefender», «spywareguide», «windowsecurity», «virusscan», «ewido», «spywareinfo», «onlinescan», «drweb», «cureit».

То есть он не дает возможности обновить антивирус и не дает себя уничтожить.

Кроме того, удаляет файлы *. vdb, *. avc, drw*. key.

Завершает приложения, окна которых содержат подстроки «dr. web» и «cureit».

Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.

Значит, остается одно — лечить.

Так как установленный антивирус не функционирует, пробуем загрузиться и побороться с помощью Dr. Web live-CD.

Доктор Веб отлично распознает этот вирус во всех его инкарнациях. Правда, мой эксперимент оказался неудачным, потому что в самый последний момент компьютер намертво завис, повторять загрузку не стал, но в этом случае, скорее всего, виновата старая CD-RW-болванка. Так что Dr. Web live-CD советую использовать.

В моей ситуации был удален установленный Аваст Антивирус и установлена триальная версия Dr. Web 5.

Этот антивирус хорош тем, что уже при инсталляции защищен и может устанавливаться и работать на уже зараженной системе.

Кстати, Касперскому, несмотря на все почтение, это не удалось. Потом компьютер был полностью просканирован и вирус удален. Остается исправить последствия действий паразита.

В этом прекрасно помогает утилита rrtri. exe.

С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System / DisableTaskMgr. Редактор реестра разрешить можно так: меняем единицу на ноль в ветке [HKCU/SOFTWARE/Microsoft/Windows/CurrentVerson/Policies/System] «DisableRegistryTools"=dword:00000001.

Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме: HKEY_LOCAL_MACHINE/System/Current/ControlSet/Control/SafeBoot HKEY_CURRENT_USER/System/Current/ControlSet/Control/SafeBoot

Удаляем ключ в реестре, где вирус прописывает свои настройки: HKEY_CURRENT_USER/Software/имя пользователя/914

Остается добавить, что все это происходило на системе Windows XP, в школе. Вирус принесли на флешке, может из дома, а может, как утверждают учителя, из Отдела управления образованием…

P. S. Несколько часов назад вновь пришлось столкнуться с данной проблемой на ноутбуке с Вистой. На сей раз был установлен Norton Antivirus 2009 — специальная версия от журнала «Chip». Нортон отлично справился с проблемой, а при помощи утилиты rrtri. exe все функции системы были восстановлены.

Удачного вам избавления!




Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки: