«Вы не могли бы посмотреть компьютер? Там, кажется, вирус...» Отчего же не посмотреть, тем более что это моя работа и я даже знаю, какой там вирус – очень неприятный Win32.Sector.17. Странно, что других нет, а только модификации этого. Зловредность последнего заключается в том, что, попав в систему, он отключает Безопасный режим, Диспетчер задач, Редактор реестра, заражает все .scr- и .exe-файлы на компьютере (многие программы после этого работают некорректно или вовсе не запускаются) и не дает запуститься антивирусу.
Известен он под разными именами, например: PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded.Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y, Win32.Sector 12.
При наличии подключения к Интернету блокирует доступ к сайтам, где в названии содержится:
«kaspersky», «eset.com», «f-secure», «mcafee» , «symantec», «etrust.com», «trendmicro», «sophos», «virustotal», «agnitum», «pandasoftware», «bitdefender», «spywareguide», «windowsecurity», «virusscan», «ewido», «spywareinfo», «onlinescan», «drweb», «cureit».
То есть он не дает возможности обновить антивирус и не дает себя уничтожить.
Кроме того, удаляет файлы *.vdb, *.avc, drw*.key.
Завершает приложения, окна которых содержат подстроки «dr.web» и «cureit».
Переустановка системы с форматированием диска С не помогает, вирус тут же ловко перебирается с других локальных дисков в свежеустановленную систему.
Значит, остается одно – лечить.
Так как установленный антивирус не функционирует, пробуем загрузиться и побороться с помощью Dr.Web live-CD.
Доктор Веб отлично распознает этот вирус во всех его инкарнациях. Правда, мой эксперимент оказался неудачным, потому что в самый последний момент компьютер намертво завис, повторять загрузку не стал, но в этом случае, скорее всего, виновата старая CD-RW-болванка. Так что Dr.Web live-CD советую использовать.
В моей ситуации был удален установленный Аваст Антивирус и установлена триальная версия Dr.Web 5.
Этот антивирус хорош тем, что уже при инсталляции защищен и может устанавливаться и работать на уже зараженной системе.
Кстати, Касперскому, несмотря на все почтение, это не удалось. Потом компьютер был полностью просканирован и вирус удален. Остается исправить последствия действий паразита.
В этом прекрасно помогает утилита rrtri.exe.
С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System / DisableTaskMgr.
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVerson/Policies/System]
«DisableRegistryTools»=dword:00000001.
Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме:
HKEY_LOCAL_MACHINE/System/Current/ControlSet/Control/SafeBoot
HKEY_CURRENT_USER/System/Current/ControlSet/Control/SafeBoot
Удаляем ключ в реестре, где вирус прописывает свои настройки:
HKEY_CURRENT_USER/Software/имя пользователя/914
Остается добавить, что все это происходило на системе Windows XP, в школе. Вирус принесли на флешке, может из дома, а может, как утверждают учителя, из Отдела Управления Образованием...
P.S. Несколько часов назад вновь пришлось столкнуться с данной проблемой на ноутбуке с Вистой. На сей раз был установлен Norton Antivirus 2009 – специальная версия от журнала «Chip». Нортон отлично справился с проблемой, а при помощи утилиты rrtri.exe все функции системы были восстановлены.