Win32.Sector (WIN32.Sality)

Win32.Sector (WIN32.Sality) - файловый вирус, заражает exe-ники системных служб, автоазгрузку и проги, которые юзер часто ипользует)

Cимптомы Win32.Sector (WIN32.Sality)
1. блокируеться "Диспетчер задач" taskmgr.exe и редактор реестра regedit
(при попытке запустить - выпадает окошко мол заблокировано сисадмином)
2. вирус генерирует бешеный трафик (постоянно идет обмен пакетами с сетью)
3. (!)при попытке програмно отключить сетевое соединение - система перезагружаеться/блюскрин
4. (!)при попытке загрузиться в "безопасном режиме" - блюскрин
5. весь софт кроме антивирусного ПО работает нормально,
6. (!)при попытке запустить любой антивирус - они тут же закрываються
7. блокируеться доступ к сайтам антивирусных компаний
8. если это 28682-й сектор то при загрузке системы слетают все драйвера устройств (в "Диспечтере устройств" напротив железок - желтые знаки восклицания: "драйвер покоцан и не может быть подгружен в оперативку..."; в результате - не работает ни сеть, ни юсб, разрешение 800х600, 8 бит)

инструменты для лечения Win32.Sector (WIN32.Sality)

- WinPE на CD/USB (необходимо проверить все файлы из-под другой системы)
- Dr.Web CureIt обязательно с актуальными (читай: свежими) базами
- Trojan Remover (сначала лечим зараженые екзешники Вебом, потом добиваем ремувером)
- AVZ или рег-файлы (необходимы для снятия блокирующих политик)
- установочный диск с дистрибом ОС (понадобиться для проверки сис. файлов на целосность)

инструкция по лечению Win32.Sector (WIN32.Sality)
1. необходимо как можно быстрее выдернуть сетевой кабель из компа
(т.к. при попытке програмно отключить сеть через "Сетевые подключения" вирус будет перезагружать ОС")

2. устанавливаем Unlocker и Process Explorer, запускаем Process Explorer и киляем 5-7 штук просесов cmd

3. даем доступ текущему юзверю к папкам SystemVolumeInformation, разблокируем их Unlocker`ом и киляем

4. чистим темпа юзера (Пуск -> Выполнить -> %temp% [Enter])

5. чистим папку временных файлов IE (C:\Documents and Settings\имя_учетки\Local Settings\Temporary Internet Files)

6. перезагружаемся, грузимся с лайвСД WinPE и запускаем CureIT
(необходима полная проверка всех файлов. большинство из них - запускные файлы прогам антивирь исцелит)

7. после лечения - грузимся в обычном режиме (безопасный досих пор заблокирован "левыми" ключами в рееестре) и проверяемся Trojan Remover`ом

8. делаем проверку файлов винды на целосность (Пуск -> Выполнить -> sfc /scannow)
*незабываем скормить сидюку компакт с дистрибом

9. после этого перезагружаем систему, чистим рееср (CCleaner/RegOrganizer/голова+regedit)

10. применяем твики реестра для устранения "побочных" ефектов вируса:

11. навешиваем нормальную защиту (антивирь с актуальными базами + фаервол + антишпион)

Дата створення/оновлення: 25.05.2018