Перейти к содержимому


Фото
- - - - -

Win32.sector22, подскажите способ уничтожения


  • Please log in to reply
2 ответов в этой теме

#1 Dartline

Dartline

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 16 Май 2011 - 22:06

После кровопролитной борьбы удалось локализовать Win32.Sector22. Машина была заражена полностью. Загрузился с ERD Cmmander, отключил на всех дисках автозагрузку и убрал автозапуск исполняемых файлов. Просканировал Cureit-ом всю систему, после перезагрузки смог установить DrWeb. Теперь вирус как бы в спячке. После загрузки молчит, хотя по замыслу вирусописателя он должен сразу прописывать в корне диска С: файлы autorun.inf и файл [что-то там].exe, при этом в папке \пользователь\Local Settings\temp\ создавался файл с телом вируса. Но что самое интересное, за всё это отвечает файл hfhjrn.sys, который DrWeb определяет как Trojan.NtRootKit.6725. Вот здесь у меня и загвоздка. Удаляю все упоминания на этот файл в реестре, отключаю автозагрузку, сканирую систему - всё чисто, но он упорно появляется из ниоткуда как только запустишь в системе исполняемый файл.
Подскажите как бороться дальше?
Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль

#2 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 16 Май 2011 - 22:43

Я, к сожалению, не помню - у какого-то из Секторов есть драйвер. :D То ли это сабж, то ли Сектор.19, но это неважно - пока в системе будет хоть один зараженный Сектором файл, это будет Феникс. Вроде просканировал, вроде нашел и убил, но он всё равно откуда-то запустится. Вывод: нужно запустить полное сканирование всего винта и всех флешек и сканировать до тех пор, пока не перестанет детектиться.
С уважением,
Борис А. Чертенко aka Borka.

#3 Dartline

Dartline

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 17 Май 2011 - 07:10

Вроде просканировал, вроде нашел и убил, но он всё равно откуда-то запустится.

Да, так и есть. Сейчас попробую прочесать с помощью drwebliveusb. Посмотрим что получится..
Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых