Подскажите пожалуйста такую вещь. На днях антивирус (DrWeb ESS 11) выдал сообщение о том, что найден файл (exe-шник одной программы), зараженный Win32.Sector.30. Файл естественно был помещен в карантин (хотя физически он остался на месте, но заблокирован). Вопросов 2:
2. как я писал выше, зараженный файл был определен антивирусом и заблокирован. Т. е. с ним ничего не получается сделать, ни удалить, ни переименовать. Каким образом можно его разблокировать, чтобы заменить на здоровый файл?
Насколько я помню, exe-шники от сектора мы должны пролечивать до работоспособности. Логи скажут правду.
Насколько я помню, exe-шники от сектора мы должны пролечивать до работоспособности.
Ну я тоже вообще так думал, на прошлой работе была у нас прям эпидемия этого сектора, все exe-шники побил (а было их очень много, на сервере раздел с дистрибутивами разными был). Так доктор вылечил все без проблем, а было это ох как давно. Но вот на текущей работе когда сектор в прошлый раз прилетел, доктор тупо все зараженные файлы в карантин похерил, пришлось из бэкапов доставать.
Сисинфо со станций с сусликом.
> Но вот на текущей работе когда сектор в прошлый раз прилетел, доктор тупо все зараженные файлы в карантин похерил, пришлось из бэкапов доставать.
Сэмпл для такого случая надо в вирлаб, мб исправимо.
Afalin, Вот отчет с сервера, где собственно и установлено приложение.
(файловый вирус, заражает exe-ники системных служб, автоазгрузку и проги, которые юзер часто ипользует)
— WinPE на CD/USB (необходимо проверить все файлы из-под другой системы) — Dr.Web CureIt обязательно с актуальными (читай: свежими) базами — Trojan Remover (сначала лечим зараженые екзешники Вебом, потом добиваем ремувером) — AVZ или рег-файлы (необходимы для снятия блокирующих политик) — установочный диск с дистрибом ОС (понадобиться для проверки сис. файлов на целосность)
инструкция по лечению 1. необходимо как можно быстрее выдернуть сетевой кабель из компа (т.к. при попытке програмно отключить сеть через «Сетевые подключения» вирус будет перезагружать ОС»)
2. устанавливаем Unlocker и Process Explorer, запускаем Process Explorer и киляем 5-7 штук просесов cmd
3. даем доступ текущему юзверю к папкам SystemVolumeInformation, разблокируем их Unlocker`ом и киляем
5. чистим папку временных файлов IE (C:\Documents and Settings\имя_учетки\Local Settings\Temporary Internet Files)
9. после этого перезагружаем систему, чистим рееср (CCleaner/RegOrganizer/голова+regedit)
Как вылечить компьютер от вируса Win32.Sector (WIN32.Sality)
Статья для компьютерных новичков: Ликбез для “чайников”: как вылечить компьютер от вируса Win32.Sector (WIN32.Sality) (симптомы заражения и пошаговый алгоритм лечения)
Здравствуйте, дорогие друзья!
Начнем с того, что представляет из себя мерзопакость по имени Win32.Sector (WIN32.Sality). Это такой вирус, который заражает и блокирует пусковые файлы (“экзешники”, от англ. exe) системных служб, а также блокирует автозагрузку и массу программ, которые использует пользователь ПК. Как проявляет себя сей монстр?
Вот основные пункты:
Вот таков основной перечень признаков того, что Win32.Sector присутствует на вашем компьютере. А теперь переходим к лечению компьютера. Итак!
Вам понадобятся следующие ингредиенты:
Теперь делаете так
Как только вы видите проявление вышеперечисленных симптомов заражения, то первое, что вы должны сделать – это отключить сетевой кабель Интернета! Не удивляйтесь: дело в том, что при попытке отключить Интернет-соединение через функцию “сетевые подключения” ваш компьютер будет постоянно перезагружаться или плеваться “Синим экраном”.
Далее, запускаем программу Dr.Web Curelt и ждем, пока программа отыщет всю дрянь, которая есть в системе. После этого удаляем все найденные вирусы. А затем, запускаем утилиту Trojan Remover и проходим проводим процесс поиска. Эта утилита нацелена, в основном, именно на “трояны”. Она обязательно отыщет “троян”-блокиратор! Ну, а дальше, как говорил Лёлик из “Бриллиантовой руки” – дело техники (то есть – просто удаляем найденный троян).
Но это ещё не всё: осталось сделать, так сказать, “контрольный выстрел”, то есть использовать программу AVZ. Как пользоваться сей программой я объяснять не буду, поскольку об этом можно узнать, введя в любой поисковик запрос, типа “как пользоваться программой AVZ” и получите подробное руководство к использованию. После всех процедур перезагрузите компьютер и наслаждайтесь чистотой его работы!
Прежде всего находим чистый и непорочный компьютер с интернетом, через него скачиваем
Когда обе утилиты отстреляют все вирусы, устанавливаем и запускаем редактор реестра rrtri.exe
С ее помощью для включения Диспетчера задач ставим ноль (вирус поставил туда 1) в ветке реестра: HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Policies\System / DisableTaskMgr Редактор реестра разрешить можно так: меняем единицу на ноль в ветке [HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System] “DisableRegistryTools”=dword:00000001
Восстанавливаем ветки реестра для возможности загрузки в Безопасном режиме: HKEY_LOCAL_MACHINE\System\CurrentControl Set\Control\SafeBoot HKEY_CURRENT_USER\System\CurrentControlS et\Control\SafeBoot
Удаляем ключ в реестре, где вирус прописывает свои настройки: HKEY_CURRENT_USER\Software\ 914. Это важно: У каждого пользователя в реестре создаётся раздел в HKCU\Software\914 в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей. Раздел с допиской “914″ уничтожить. Иначе вирус возродится аки Феникс из пепла.
