Вступление
Попался мне в руки файл формата pif. Это ярлык к программе MS-DOS, как описывает его сама Windows. Название он имел такое же, как и название папки, в которой лежал. Поскольку папка была получена через Яндекс.диск от знакомого (у него, как и у меня антивирус на системе не установлен), я, ничего не заподозрив, а точнее — не успев разглядеть как следует этот объект файловой системы, случайно запустил его. Когда понял, что запустил, было уже поздно. Я запаковал эту папку в zip-архив и отправил на сканирование на VirusTotal. Вот результат.
Симптомы, вызываемые вирусом
- 1. Создание в папках System32, Windows и пользовательской папки темпа (%tmp%) своих файлов;
- 2. Запуск этих файлов;
- 3. Создание в корнях всех имеющихся дисков своих файлов;
- 4. Запрет на редактирование реестра;
- 5. Запрет на отображение скрытых файлов и папок;
- 6. Создание во всех сетевых папках всех компьютеров, которые он найдет по сети исполняемых файлов и rar-архивов с названием родительской папки;
- 7. Непрерывный спам темповыми файлами (Имеющими расширение «tmp») в те же сетевые папки.
Вполне возможно, что здесь приведён неполный список симптомов. Если вы знаете ещё, пожалуйста, дополняйте в комментариях.
Уничтожение вируса
Перед началом этой части статьи хотел бы обратить внимание на то, что все дальнейшие действия по удалению файлов и завершению процессов вы совершаете абсолютно на свой страх и риск. Убедительная просьба: если вы не уверены в том, подозрительный ли это файл, поищите сперва его название в поисковой системе, чтобы случайно не удалить системный файл, такой как «ctfmon.exe», «csrss.exe» или «lsass.exe».
Хоть опыт по удалению такого вируса у меня уже имелся (знакомый заразил им свой компьютер чуть ранее), все же я пошёл в Яндекс, чтобы посмотреть, как уничтожает его народ. Названий у этого вируса оказалось, как всегда, очень много. Вот как называют его самые известные антивирусы:
- AVG — Generic_r.TT;
- Ad-Aware — Trojan.Dropper.VIO;
- Agnitum — Trojan.MulDrop!4ElCgmJSsOY;
- Avast — Win32:Chydo [Drp];
- Comodo — Worm.Win32.AutoRunAgent.TV2;
- DrWeb — Trojan.MulDrop5.14836;
- ESET-NOD32 — Win32/AutoRun.Agent.TV;
- Kaspersky — Worm.Win32.AutoRun.iea;
- Microsoft — TrojanDropper:Win32/Pykspa.A...
Остальные названия вы сможете увидеть, перейдя по ссылке на VirusTotal, указанной в первой части статьи. Введя в поиске Яндекса поочерёдно то одно, то другое название и просматривая результаты поиска, я так и не нашел описания нормального способа избавления от этого вируса, поэтому решил написать эту статью.
Перейдём к делу. Для начала откроем диспетчер задач и отыщем в процессах файлы этого вируса. Файлы его имеют бесподобные названия, состоящие из некоторого количества букв английского алфавита, расположенных в абсолютно случайном порядке. Например: «aekswdk.exe», «ufqwfvjecot.exe», «zmbsfvlbtndtaojc.exe» и так далее. Понятно, что стандартно в операционной системе нет так странно названных файлов, и вряд ли какая нормальная программа будет такие файлы создавать. Таких подозрительных процессов может быть два, а может быть и три. Они мониторят друг за другом, то есть, при завершении одного — второй тут же его обратно запускает; при завершении второго — его молниеносно запускает первый — и так далее. Следовательно, передо мной стала задача одновременно завершить все эти зловредные процессы, чтобы они не запускали друг друга и дали себя нормально удалить. В этом мне помогла утилита «KillProc» от, к сожалению, неизвестного автора. Взять её можно здесь или при желании и умении программировать написать самостоятельно. Она состоит всего из двух файлов: исполняемого и текстового. В текстовом на каждой строке отдельно прописывается название процесса, а исполняемый при запуске завершает все эти процессы в порядке их следования в текстовом файле. Я прописал каждый процесс на всякий случай раза по три, расположив названия в случайном порядке и запустил утилиту. Поскольку утилита работает довольно быстро, процессы были мигом завершены, не успев запустить друг друга. После чего, казалось бы, надо почистить автозагрузку, но не тут-то было. Поскольку редактирование реестра этот зловред нам запретил, мы должны сперва его разрешить. Для этого заходим в пуск и выбираем команду «Выполнить» или нажимаем сочетание клавиш Windows+r, где набираем «gpedit.msc» и нажимаем энтер. Мы находимся в окне редактирования групповой политики. Там открываем последовательно конфигурацию пользователя, административные шаблоны, пункт «Система» и в списке параметров находим пункт «Сделать недоступными средства редактирования реестра». Жмём правую кнопку мыши и выбираем «Свойства», после чего меняем положение радиокнопки на «Отключить» и применяем сделанные изменения. Далее совершенно спокойно открываем реестр (Жмём Windows+r и вводим «regedit» без ковычек), в нем перемещаемся по пути HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun и в списке параметров также ищем файлы с названием, состоящим из непонятного набора английских букв. Подозрительные подвергаем удалению. После того, как почистили автозагрузку, восстанавливаем показ в системе скрытых файлов и папок. Для этого идем в реестре по пути HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced и ищем в списке параметр «Hidden». Делаем на нем правый клик, жмём пункт «Изменить» и прописываем единицу. Далее идем по ещё одному пути реестра: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL и находим параметр «CheckedValue», значение которого тоже меняем на единицу. После редактор реестра можем закрывать свободно и идти в панель управления и параметры папок, где на вкладке «вид» отмечаем показ скрытых файлов и папок, а также защищённых системных файлов. Далее прочищаем корни всех своих дисков от файлов «autorun.inf» и bat-файлов с названиями вроде «ralyhtfrfvht.bat», «rcpepdrfvnbpug.bat» и так далее. Также нужно прочистить папку темп, открыть которую можно введя в уже знакомом нам окне «Выполнить» "%tmp%" и удалить в папках Windows и System32 те файлы, пути к которым вы удаляли из автозагрузки и те, процессы которых вы завершали.
Используемые источники
- wecrasoft.narod.ru/soft/KillProc.zip — Маленькая, но полезная утилита KillProc;
- vindavoz.ru/win_obwee/409-vosstanovit-pokazyvat-skrytye-fayly-i-papki.html — О том, как восстановить показ скрытых файлов и папок;
- roadvictory.ru/blockreestr.html — О том, как восстановить редактирование реестра, если оно запрещено администратором системы.
Автор: MIDNSK
