Вступление
Попался мне в руки файл формата pif. Это ярлык к программе MS-DOS, как описывает его сама Windows. Название он имел такое же, как и название папки, в которой лежал. Поскольку папка была получена через Яндекс.диск от знакомого (у него, как и у меня антивирус на системе не установлен), я, ничего не заподозрив, а точнее — не успев разглядеть как следует этот объект файловой системы, случайно запустил его. Когда понял, что запустил, было уже поздно. Я запаковал эту папку в zip-архив и отправил на сканирование на VirusTotal. Вот результат.
Симптомы, вызываемые вирусом
- 1. Создание в папках System32, Windows и пользовательской папки темпа (%tmp%) своих файлов;
- 2. Запуск этих файлов;
- 3. Создание в корнях всех имеющихся дисков своих файлов;
- 4. Запрет на редактирование реестра;
- 5. Запрет на отображение скрытых файлов и папок;
- 6. Создание во всех сетевых папках всех компьютеров, которые он найдет по сети исполняемых файлов и rar-архивов с названием родительской папки;
- 7. Непрерывный спам темповыми файлами (Имеющими расширение «tmp») в те же сетевые папки.
Вполне возможно, что здесь приведён неполный список симптомов. Если вы знаете ещё, пожалуйста, дополняйте в комментариях.
Уничтожение вируса
Перед началом этой части статьи хотел бы обратить внимание на то, что все дальнейшие действия по удалению файлов и завершению процессов вы совершаете абсолютно на свой страх и риск. Убедительная просьба: если вы не уверены в том, подозрительный ли это файл, поищите сперва его название в поисковой системе, чтобы случайно не удалить системный файл, такой как «ctfmon.exe», «csrss.exe» или «lsass.exe».
Хоть опыт по удалению такого вируса у меня уже имелся (знакомый заразил им свой компьютер чуть ранее), все же я пошёл в Яндекс, чтобы посмотреть, как уничтожает его народ. Названий у этого вируса оказалось, как всегда, очень много. Вот как называют его самые известные антивирусы:
- AVG — Generic_r.TT;
- Ad-Aware — Trojan.Dropper.VIO;
- Agnitum — Trojan.MulDrop!4ElCgmJSsOY;
- Avast — Win32:Chydo [Drp];
- Comodo — Worm.Win32.AutoRunAgent.TV2;
- DrWeb — Trojan.MulDrop5.14836;
- ESET-NOD32 — Win32/AutoRun.Agent.TV;
- Kaspersky — Worm.Win32.AutoRun.iea;
- Microsoft — TrojanDropper:Win32/Pykspa.A...
Остальные названия вы сможете увидеть, перейдя по ссылке на VirusTotal, указанной в первой части статьи. Введя в поиске Яндекса поочерёдно то одно, то другое название и просматривая результаты поиска, я так и не нашел описания нормального способа избавления от этого вируса, поэтому решил написать эту статью.
Перейдём к делу.
Для начала откроем диспетчер задач и отыщем в процессах файлы этого вируса. Файлы его имеют бесподобные названия, состоящие из некоторого количества букв английского алфавита, расположенных в абсолютно случайном порядке. Например: «aekswdk.exe», «ufqwfvjecot.exe», «zmbsfvlbtndtaojc.exe» и так далее. Понятно, что стандартно в операционной системе нет так странно названных файлов, и вряд ли какая нормальная программа будет такие файлы создавать. Таких подозрительных процессов может быть два, а может быть и три. Они мониторят друг за другом, то есть, при завершении одного — второй тут же его обратно запускает; при завершении второго — его молниеносно запускает первый — и так далее. Следовательно, передо мной стала задача одновременно завершить все эти зловредные процессы, чтобы они не запускали друг друга и дали себя нормально удалить. В этом мне помогла утилита «KillProc» от, к сожалению, неизвестного автора. Взять её можно здесь или при желании и умении программировать написать самостоятельно. Она состоит всего из двух файлов: исполняемого и текстового. В текстовом на каждой строке отдельно прописывается название процесса, а исполняемый при запуске завершает все эти процессы в порядке их следования в текстовом файле. Я прописал каждый процесс на всякий случай раза по три, расположив названия в случайном порядке и запустил утилиту. Поскольку утилита работает довольно быстро, процессы были мигом завершены, не успев запустить друг друга. После чего, казалось бы, надо почистить автозагрузку, но не тут-то было. Поскольку редактирование реестра этот зловред нам запретил, мы должны сперва его разрешить. Для этого заходим в пуск и выбираем команду «Выполнить» или нажимаем сочетание клавиш Windows+r, где набираем «gpedit.msc» и нажимаем энтер. Мы находимся в окне редактирования групповой политики. Там открываем последовательно конфигурацию пользователя, административные шаблоны, пункт «Система» и в списке параметров находим пункт «Сделать недоступными средства редактирования реестра». Жмём правую кнопку мыши и выбираем «Свойства», после чего меняем положение радиокнопки на «Отключить» и применяем сделанные изменения. Далее совершенно спокойно открываем реестр (Жмём Windows+r и вводим «regedit» без ковычек), в нем перемещаемся по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и в списке параметров также ищем файлы с названием, состоящим из непонятного набора английских букв. Подозрительные подвергаем удалению. После того, как почистили автозагрузку, восстанавливаем показ в системе скрытых файлов и папок. Для этого идем в реестре по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced и ищем в списке параметр «Hidden». Делаем на нем правый клик, жмём пункт «Изменить» и прописываем единицу. Далее идем по ещё одному пути реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL и находим параметр «CheckedValue», значение которого тоже меняем на единицу. После редактор реестра можем закрывать свободно и идти в панель управления и параметры папок, где на вкладке «вид» отмечаем показ скрытых файлов и папок, а также защищённых системных файлов. Далее прочищаем корни всех своих дисков от файлов «autorun.inf» и bat-файлов с названиями вроде «ralyhtfrfvht.bat», «rcpepdrfvnbpug.bat» и так далее. (Внимание: не удалите случайно «AUTOEXEC.BAT»). Также нужно прочистить папку темп, открыть которую можно введя в уже знакомом нам окне «Выполнить» "%tmp%" и удалить в папках Windows и System32 те файлы, пути к которым вы удаляли из автозагрузки и те, процессы которых вы завершали.Используемые источники
- wecrasoft.narod.ru/soft/KillProc.zip — Маленькая, но полезная утилита KillProc;
- vindavoz.ru/win_obwee/409-vosstanovit-pokazyvat-skrytye-fayly-i-papki.html — О том, как восстановить показ скрытых файлов и папок;
- roadvictory.ru/blockreestr.html — О том, как восстановить редактирование реестра, если оно запрещено администратором системы.
Комментарии (20)
kalmarius
11.06.2015 08:29Внимание: не удалите случайно «AUTOEXEC.BAT»
А то чо будет? :)DamnLoky
11.06.2015 09:12+3Известно чо. При старте компьютера придется время с клавиатуры вводить.
kalmarius
11.06.2015 09:22Вот как? Тогда прошу прощения. Просто, когда я еще пользовался WinXP, я неоднократно удалял этот файл и ничего не было, считал что он оставлен для совместимости. В более современных версиях я его не трогал…
DamnLoky
11.06.2015 09:26+3Это шутка была :/
Конечно, для совместимости. Время вводить при отсутствующем autoexec.bat заставлял command.com во времена ms-dos.
В win8 такого файла вообще нет.kalmarius
11.06.2015 09:35+3Блин, попался, как последний чайник, даже мысли не возникло, что меня подкололи! :)
Пойду кофе сделаю, нужно просыпаться…
Kamalesh
11.06.2015 09:17-1Для этого заходим в пуск и выбираем команду «Выполнить» или нажимаем сочетание клавиш Windows+r, где набираем «gpedit.msc» и нажимаем энтер.
Вы серьезно? о_О
Вы когда эту статью писали, реально думали, что это кому-то нужно?MIDNSK Автор
11.06.2015 13:02+2Ну, как сказать… Нужно-ненужно, а опытом решил поделиться с читателями хабра (Сначала на хабр постил, это потом уже сюда статью перенесли) да и в целом с пользователями, ищущими что-то подобное. я вот, например, не отказался бы, если бы, введя в яндексе проблему, нашел бы какой-нибудь подобный рецепт, как её излечить, и думаю, что не один такой. Да и старался писать так, чтобы никого не запутать, и чтобы человек, обнаруживший у себя такое в системе и, если есть нормальное желание, смог сделать такие же действия и избавиться от гада.
brzsmg
11.06.2015 11:32+1Не надо вручную бороться с вирусами! Никогда не знаешь какие следы он оставляет. Либо антивирус, которому известны шаги вируса, либо переустановка системы.
MIDNSK Автор
11.06.2015 13:15Далеко не каждому антивирусу известны шаги каждого вируса. Встречался с ситуацией, когда, к примеру, тот же MSE удалял файл, который по его мнению являлся вирусом. Через несколько секунд он опять удалял этот же файл, только уже названный подругому. Через ещё несколько секунд этот же файл уже создавался какой-то чудесной неведомой силой в другом месте и под другим названием, а может и в том же месте, но с другой бессмыслицей в имени, и наш труженник опять его удалял, и так до бесконечности. Бывали и такие случаи, что таких файлов тоже много разводилось, после чего этот MSE предлагал каждый из них послать в Microsoft на анализ. Пользователь соглашается — а тут ему ещё такое же окно, ещё, ещё и ещё.
EagleXK
11.06.2015 11:45+1Зачем было использовать какую-то стороннюю KillProc, если есть TaskKill, которая также позволяет убивать процессы пачками?
MIDNSK Автор
11.06.2015 13:23+1А вот за этот комментарий спасибо, я просто когда-то про TaskKill слышал, но потом вообще про неё забыл. Действительно, наверно можно было использовать и её.
teamfighter
11.06.2015 12:09+3Мдее.
С нетерпением ждем статьи о том, как правильно деинсталлировать Ms Office, и поставить CCleaner
JerleShannara
11.06.2015 12:41+4Мыслей оценить функционал avz не возникало? На мой взгляд эта утиль вполне себе швейцарский армейский нож, заточеный на качественное ручное удаление вирусни, и чистить особо запущенные случаи им удобнее, чем руками (особенно, если антивирус почему-то ставиться не хочет).
MIDNSK Автор
11.06.2015 13:28Да, может там и AVZ-ом можно было, но AVZ нужно изучать, скрипты там писать всякие и т.д. А тогда надо было побыстрому освободить систему от гадости, да и самому вручную это сделать даже в какой-то степени интереснее. А так — спасибо за комментарий, погляжу в сторону AVZ. П.С. есть ещё и UVS — может и он это мог.
kloppspb
11.06.2015 13:52Угу, ещё можно известный BAT-антивирус поюзать, с такой же эффективностью :)
koreec
Сначала создаем трудности, потом их героически преодолеваем?
MIDNSK Автор
Бывает, что наличие антивирусов в системе — это ещё и не такие трудности. Когда я без антивируса, я на 100% уверен, что ничего не поудаляет мои файлы безвозвратно (А то был тут один красавчик, который после удаления вируса высвечивал окно, где писал, что он вот такой хороший удалил вирус, а на самом деле поудалял кучу хороших и безобидных программ). Да и система довольно шустро работает, никаких дополнительных процессов её не тормозит. Вообще, я уже очень давно живу без антивируса и это чуть ли не единственный случай заражения. Просто я проморгал — вот и все. А так, по порносайтам не хожу, программы качаю в основном, в доверенном месте, флешек каких-то сторонних тоже особо не вставляю (А если вставляю, то левый Shift держу, чтобы автозапуск при наличии не сработал) и так далее.
Finesse
Можно вообще отключить автозапуск с внешних носителей?