Всего записей: 14 | Зарегистр. 08-12-2008 | Отправлено: 15:52 24-01-2009
mnial
Пережил две вирусные атаки пока флешки не закрыл.
По поводу удалить руками ваял батник от csrcs.exe Под каждую модификацию нать свой. Читаешь описание на том же симантеке куда вирь изменения вносит. И ваяешь. Большинство авторанов пишет запуск через Shell реестра типа Shell=Explorer.exe или запуск svchost.exe
Токо с svchost надо аккуратнее а то можно сетевые процесы нужные на компе ушатать
Хотел бы помочь.
Цитата:
Если я кого то заинтересовал
Одного точно, пишите.
Всего записей: 362 | Зарегистр. 03-02-2003 | Отправлено: 02:50 25-03-2009
Oldst
Цитата:
Не морочь людЯм голову Я посмотрю как ты без антивиря в автозагрузке будешь ловить Sality или Sector
Во первых, я и не утверждал в автозагрузке можно увидеть все вирусы а во вторых я и не утверждал, что обычный юзер (кем являюсь и я) способен обнаружить и удалить абсолютно все вирусы, я лишь говорил что можно самостоятельно удалить их БОЛЬШУЮ ЧАСТЬ. Все что я изложил выше использовал лично и мне это помогало, поэтому объясни пожалуйста конкретнее почему я морочу людям голову. Всегда готов выслушать.
Всего записей: 7 | Зарегистр. 24-03-2009 | Отправлено: 18:23 25-03-2009
vova49
Цитата:
Не морочь людЯм голову
Зачем же так резко? Вы ещё бы помянули Win95.CIH (тьфу. тьфу). Просто один из способов контроля диска С: не более. От себя добавил бы папку ТЕМР, любят её всякие гадости. Ни один антивирь, недаёт 100% гарантию от проникновения на Ваш комп. заразы. Сколько пользователей с установленным антивирусом обращаются к Вам за помощью? то-то.
P.S. Машина в сети 24/7 без антивируса живу не страдаю.
Всего записей: 362 | Зарегистр. 03-02-2003 | Отправлено: 17:44 31-03-2009
Vigorous
Цитата:
а как ты без него?, как "предохраняешься?"
Много лет одно и то же: 1.ShadowUser. 2.Agnitum Outpost.
Сегодня столкнулся с вирусом Net-Worm.Win32.Kido или просто Kido. Когда на одном из серверов остановилась служба Сетевой вход и Сервер и пропал доступ к его расшаренным папкам (такого не было никогда ранее). Мне сразу показалось что-то тут не чисто. Службы были перезапущены и все пошло своим путем. А позже я занялся изучением и поиском виновника. Итак, рассмотрим противника:
Net-Worm.Win32.Kido поражает Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.
I. На сайте Касперского предлагается решение по обнаружению и удалению вирусов семейства Net-Worm.Win32.Kido
Решение: 1. Скачать и установить патч от Microsoft, который закрывает уязвимость MS08-067 ( скачать ).
2. Скачать и запустить утилиту KidoKiller.exe из архива KidoKiller_v3.zip ( скачать ) 3. Общая рекоммендация. Не забывать обновлять операционную систему высокоприоритетными обновлениями.
1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft: MS08-067 ссылка ; MS08-068 ссылка ; MS09-001 ссылка ; 2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. 3. Скачать текущую версию утилиты Dr.Web CureIt! ссылка на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы. 4. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Так же возможно отключение доступа к общим каталогам и прочим сетевым службам.
Добавлено 02.03.09 (для тех у кого не работают сайты касперского и микрософт, файлы для лечения с нашего сервера) Обновленная утилита лечения от Касперского KidoKiller_v3.3.2.zip Критическое обновление для Windows XP — WindowsXP-KB958644-x86-RUS.exe
Добавлено 11.03.09 По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.
Добавлено 01.04.09 Это не первоапрельский прикол, действительно уже появился KidoKiller версии 3.4.3 — KKiller_v3.4.3.zip
Добавлено 09.04.09 Обновилась утилита KidoKiller уже версия 3.4.4 — KKiller_v3.4.4.zip
Сегодня обнаружил такой факт — если запустить кидокиллера с пользовательскими правами (т.е. работая под учетной записью с правами Пользователь), то утилита работает секунд 5-10 и вылетает с ошибкой! (обратите на это внимание и не забывайте!)
Добавлено 14.04.09 Еще признаки kido 1. Создает на съемных носителях (также на сетевых дисках если доступно на запись) файл autorun.inf и файл RECYCLED\\random_name.vmx 2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\sfefs.dll 3. Прописывает себя в сервисах со случайным именем, состоящим из латинских букв, например gfjdsnk. 4. Атакует компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Добавлено 16.04.09 Новая версия — KidoKiller 3.4.5 скачать
Добавлено 20.04.09 Нашел утилиту скачать (утилита разработана компанией Positive Technologies)
С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.
Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.
После последнего посещения вышеуказанных страниц с заплатками, мне показалось что у Микрософт, что-то наверчено и толком по тем ссылкам скачать не получается, вообщем я нашел у них все что нужно и добавляю информацию тут:
Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-068):
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-067):
— Windows Server 2003 Rus (SP1, SP2) (KB958644) (MS08-067) — WindowsServer2003-KB958644-x86-RUS.exe
уязвимость описанная в MS08-065 Если у вас Microsoft Windows 2000 с пакетом обновления 4 (SP4), то обратите внимание!
Не подвержено уязвимости: Windows XP с пакетом обновления 2 (SP2) или 3 (SP3) Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2) ….
Была проблема (в самом начале эпопеи) — появилась на одном из сетевых дисков папка RECYCLER (типа корзина), но на самом деле не корзина, а создал ее кидо, сразу было видно кто создал (так как на сервере доступ был с паролями), пользователь был почищен и пропатчен, а вот папка не удалялась. Чтобы ее удалить нужно:
1. Войти в ту папку (лучше с коммандера FreeCommander, Total Commander, только не проводником, чтобы не вдруг не активизировать заразу) найти файл, который был не доступен к удалению даже администратору (там было что-то типа jwgkvsq.vmx), на него нужно добавить полный доступ Администратору, остальные можно удалить и можно сменить владельца на Администратор (это все если вы работаете под Администратором и тогда файл получится удалить. 2. Директории я удалил командами типа rmdir /s /q «./S-5-3-
Добавлено 22.04.09 Новая версия — утилита для удаления вируса Kido — KidoKiller 3.4.6 скачать
Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):
3 — Были найдены и удалены зловредные потоки (червь был в активном состоянии). 2 — Были найдены и удалены зловредные файлы (червь был в неактивном состоянии). 1 — Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины — администратору следует обратить на это внимание). 0 — Ничего не было найдено.
Добавлено 05.05.09 Новая версия утилиты для удаления вируса — KidoKiller 3.4.7 скачать
Добавлено 19.05.09
Ключи для запуска утилиты KK.exe из командной строки:
Добавлено 22.10.09 Новая версия утилиты для удаления вируса Kido — KidoKiller 3.4.13 скачать
Добавлено 01.02.2011 Оказывается тема кидо еще актуальна, добавляю последнюю версию KidoKiller 3.4.14 скачать
Ключи использовании версии KidoKiller 3.4.14 запускаем cmd в каталоге где у нас лежит антикидо или прописываем к нему путь при запуске kk и выполняем kk -j -t -a -r -f
подробнее о ключах можно узнать выполнив kk --help
Intro Well this is one of the new emerging popular virus. It has spread rapidly, and most of your computers are infected. Conficker spreads via the USB pendrive along with the autorun.inf or via network by exploiting bugs in the Network Stack on Windows systems. Skip to Manual Removal steps.
Spreading via USB Drives Conficker spreads on USB Drives by creating an autorun.inf, A folder structure with
The file is a DLL file, which is executed by the obfuscated autorun.inf. The DLL file is loaded with RunDLL
The presence of conficker can be detected by looking at the ICON of the USB Pen drive. If it is a folder icon, then its almost sure that the drive is infected with "conficker".
Conficker disables the Background Intelligent Transfer Service (BITS) and Windows Automatic Updates. So If you find these services disabled, be alert. (To checkout what services are running and their statuses Run > services.msc.
Follow these steps to detect and remove Conficker virus:
Run regedit.exe registry editor Goto HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\SvcHost\netsvcs Double click the key to see if there is a random value at its end.
Note the "zbtthjd" at the end, this is the virus. A list of valid entries in the field (from Microsoft) is given below to help you find the random string. (Usually at the end).
Note the random string. (in this case "zbtthjd")
Now goto HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zbtthjd\Parameters, note the ServiceDLL Parameter, It would be something like c:\windows\system32\ .dll
Take a Command prompt and run. This should stop the netsvcs and the virus.
Try deleting the DLL file or else rename the DLL file to something else
Restart the System.
Renable Services Automatic Updates and BITS.
Note if you find these methods not applicable in your case, the virus must have morphed to some other form. Hope it works :)
Posted by Arun Prabhakar at 7:11 PM
It really works man, Thanks !!
I found this random string, opgxdps. It's the last one on the list. But I can't find the dll file, what should I do? Thanks!
same problem with earth angel. ls help!
June 16, 2009 at 12:20:00 AM PDT Anonymous said.
Thanks, it helped me to remove the virus easily.
August 3, 2009 at 11:17:00 PM PDT Anonymous said.
vwnwhms---it is the random string! but cant find any dll file.Any suggestion? I thing earth angel is facing the same problem.why there is no reply!
For those who cant find the dll file the virus would have plymorphed to some other form when you connected to the internet.
September 3, 2009 at 10:20:00 PM PDT Anonymous said.
mee too i was not able to find the random.dll, because the regedit cant show the parameters of the last service on the list.
I try to find a wierd dll which create in this days.
But i remove this name from that list, the virus is not bother me.
November 25, 2009 at 1:51:00 PM PST Anonymous said.
Thanks for the great info. It worked on two systems that were infected, and now are malware free. I am a senior IT consultant and remove viruses for a living. I had spent many hours trying to find this one, and none of the best anti-virus software could find it. -Scott
The jwgkvsq.vmx is a worm-type virus, which spreads via USB/portable drives and through the network. It also makes autorun.inf file on your USB device as well as a hidden system folder called RECYCLER which contains the jwgkvsq.vmx file. I’m not sure if this is an old virus, but it seems it’s been spreading a lot lately. And most anti-virus doesn’t detect this, but for those who does, it can’t remove it.
"wnasnx" i found this it's the last one list. but no parameters dll. and i can't delete it. help me please. thanks!
i found this random string "wnasnx" last list. but i can't find the dll and no parameters key. and i can't delete. please help me. thanks
January 4, 2010 at 2:50:00 AM PST Anonymous said.
The exact size of file: 168096 byte. Search the system for this file size, and you will find the missing dll file in system32 folder! (It has another name of course.)
April 22, 2010 at 7:11:00 PM PDT blubbi said.
found the random string but not the dll file. in system 32 and whole c:\windows partition is no file with the exact size of 168096 byte. Is it a good idea to delete or rename my "random string" folder:
I couldn't find the DLL names in the registry but I've noticed that the modification date of the jwgkvsq.vmx is the same as the kernel32.dll file in the C:\WINDOWS\system32 . so that's how I found the file. In my case that was eecsfqhw.dll which I renamed in safe mode. Its size and date were: 162,941 / 2009-03-21 17:06
I hope that helps others
June 20, 2010 at 12:50:00 PM PDT Anonymous said.
cannot run services.msc cannot run regedit.exe now what else can i do?
July 21, 2010 at 9:55:00 PM PDT Sturmvogel said.
To Neven Boyanov: I'm sorry for a stupud question, but how did the coincidence of the modification date of kernel32 and jwgkvsq help you? In fact, I've got the same problem, and the modification date of kernel32 is the same as one of jwgkvsq (19:52 16th April 2007). Couldn't you be so kind to share with me the way you find the dll file after that discovery?
August 28, 2010 at 1:55:00 AM PDT Anonymous said.
hey thanks for the help, I'm just like the others who couldn't find the parameter, so I searched for a file with the exact size of my jwgkvsq.vmx file, it was a dll, and no surprise it was hidden, not accessible. so I modified the permission so I can delete it, I used processXP to end any open handle of that file (svchost was using it), and finally I deleted it and then restarted and voila !! so I guess the whole registry move was useless to me, but it was a start.. thanks for the info. Abdelrhman.
October 27, 2010 at 3:29:00 PM PDT Anonymous said.
Thank You It Worked
November 6, 2010 at 9:16:00 PM PDT Anonymous said.
In mine its under drivers with random name and has got no parameter in regstry.. Jus got a link to a file c:\windows\system32\03.tmp
January 10, 2011 at 7:44:00 PM PST Anonymous said.
microsoft malicious software removal tool did it for me
January 13, 2011 at 8:00:00 AM PST hemiro said.
Miklos: I found the random string in regedit and deleted it, then I ran cmd: svchost -k netsvcs. The random dll I could not find. Is that ok?
March 14, 2011 at 4:39:00 PM PDT Asher said.
Guys download the malicious s/w remover from Microsoft.. worked like a charm.. My antivirus was able to detect it and delete it but once I rebooted the system, the damn virus was back again in the scan. Took me 2 hours to try this. a 500G portable drive so lots of data to scan :D anyways as people have said above as well.. Download the malicious S/w remover from MS and run it.
August 22, 2011 at 2:09:00 PM PDT Anonymous said.
the worm is more malicious,because he blocks the access to Microsoft.. and to other antivirus site you cannot download mce..
the best way is to delete the name of the service on the end of the list. if you don't find the dll in system32 ,it's not important. it is not activated anymore when you restart.
January 14, 2012 at 8:35:00 AM PST Jasmine Gomez said.
Thanks for the tutorial. It worked on my PC. This is the random string on my PC which does not appear on your list: mwshl
I hope you could add it on your list. Thanks!
Флешки — основной источник заражения для компьютеров, не подключенных к Интернету — Wikipedia
В наше время мало кто задумывается о таком понятии, как компьютерная безопасность. Не удивительно, ведь тема эта довольно обширна и большинство материала на эту тему рассчитано на подготовленного пользователя. Но стоит рядовому пользователю столкнуться с проблемой вирусов (например, появление файла autorun.inf на флешке), как тут же начинаются активные поиски методов защиты и борьбы с ними.
В этой статье будет рассмотрено:
Назначение файла autorun.inf
Файл autorun.inf (от англ. auto – автоматический и run – запуск) используется в операционной системе Microsoft Windows для автоматического запуска приложений с носителей, что позволяет значительно упростить действия пользователя при установке приложений и драйверов с накопителей.
Файл автозапуска можно встретить практически на любом диске с программным обеспечением или драйвером к какому-либо устройству. Помимо этого он выполняет функцию автозапуска меню на флешках с предустановленными или портативными утилитами.
Структура файла autorun.inf разделена на блоки, параметры и значения. В файле содержатся параметры, описывающие диск, такие как: как метка диска, иконка диска, запускаемый файл и некоторые другие специфические параметры. В частности, для автоматического запуска какого-либо приложения с флешки при ее подключении к компьютеру в файле autorun.inf будет достаточно двух строк:
Где [autorun] – имя блока, open – имя параметра, имя_файла – содержит путь к файлу приложения, которое будет автоматически запущено.
Стоит отметить, что worm win32 autorun способен обфусцировать (запутывать) содержимое файла autorun.inf, тем самым затрудняя анализ файла. Однако, программа для защиты флешки Antirun без проблем распознает содержимое файла автозапуска, над которым поработал autorun червь.
Вирус autorun
Изначально безобидное предназначение файла автозапуска со временем стало использоваться вирусописателями как эффективный способ распространения worm win32 autorun. Сам по себе файл autorun.inf не содержит исполняемый код вируса, он является лишь средством запуска autorun червя.
Вирусом autorun называется такой тип вирусов, которые распространяются посредством копирования исполняемого файла (своей копии) на съемные носители и прописываясь в файл автозапуска autorun.inf, таким образом, заражая их. Заражению подвержены абсолютно все внешние накопители (флешки, mp3-плееры, цифровые камеры и прочие устройства), которые не защищены каким-либо образом от записи на диск (аппаратная защита, или же уже существующий в корне диска защищенный файл или папка autorun.inf).
В Windows XP autorun по-умолчанию запускается со съемных носителей. Существует масса способов устранения этой уязвимости: от установки официальных заплаток (обновлений) от Microsoft до применения различных настроек. Программа для защиты флешки от вирусов Antirun при установке автоматически устраняет эту уязвимость. Также в настройках программы доступно возобновление функции автозапуска.
В Windows 7 autorun обрабатывается несколько иначе: по-умолчанию автозапуск со съемных носителей отключен, однако это не обеспечивает защиту от autorun вирусов с флешек. Поэтому для защиты от worm win32 autorun рекомендуется использовать программу Antirun вместе с основным антивирусом.
Признаки заражения флешки
Наличие файла автозапуска на CD диске с игрой означает скорее то, что на диске есть инсталлятор игры. Аналогично, как и на CD диске с фильмом присутствует меню с возможностью установить кодеки для просмотра видео. Однако, присутствие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) уже вызывает подозрение и с большой долей вероятности указывает на присутствие autorun червя на флешке.
Рассмотрим типичный пример зараженного съемного диска:
На рисунке явно видно, что на съемном диске (G:) присутствует скрытый файлautorun.inf и скрытая папкаRECYCLER. Анализируя содержимое файла автозапуска, становится понятно, что при автозапуске съемного носителя запускается файл jwgkvsq.vmx (worm win32 autorun) из папки RECYCLER.
Разумеется, для просмотра скрытых файлов и папок в Проводнике, необходимо поставить соответствующую галочку в настройках вида папок (пункт Сервис в меню Проводника – Параметры папок – Вид).
Стоит напомнить, что не всегда файл автозапуска является признаком заражения вирусом worm win32 autorun. Возможно, на флешке присутствует автоматическое меню с набором портативных программ, или же файл autorun.inf указывает только на иконку устройства.
Если при попытке открытия файла autorun.inf система выдает сообщение о том, что доступ к файлу невозможен, скорее всего, система уже заражена и доступ к файлу заблокировал worm autorun.
Рассмотрим работу антивирусной утилиты Antirun в данном случае. При подключении устройства, зараженного вирусом autorun (файл jwgkvsq.vmx), программа Antirun предупредит пользователя о существующей угрозе в всплывающем диалоге в области над системным треем:
На данном диалоге видно, что Antirun распознал автоматически запускающийся файл (jwgkvsq.vmx) и предложил его удалить. Также из данного диалога можно безопасно открыть диск, не запуская файл вируса, просмотреть информацию о диске, либо безопасно извлечь устройство.
Признаки заражения системы
Как правило, большая часть autorun вирусов, при своей деятельности, блокируют те или иные функции системы, при помощи которых пользователь может как-либо противостоять угрозе. Самые основные из них:
Источники заражения
Широкое распространение worm win32 autorun получил благодаря повсеместному использованию внешних накопителей. Сейчас практически у каждого пользователя ПК имеется флешка (а то и несколько), цифровой плеер или камера с картой памяти. Используются эти устройства на разных компьютерах, большинство которых даже не защищены антивирусом, не говоря уже об актуальных базах вирусных сигнатур.
Источником заражения вирусом worm win32 autorun может послужить любой зараженный компьютер. Это может быть:
фотолаборатория, куда вы отдали флеш-карту для распечатки фотографий;
рабочий компьютер;
компьютер друзей;
интернет-кафе и прочие публичные места.
Также известны случаи, когда новая флешка, купленная в магазине, уже содержала worm win32 autorun.
В заключение стоит добавить, что за довольно долгую историю существования autorun вирусов и появившуюся за это время массу методов защиты и профилактики, проблема все еще остается актуальной. Далеко не все лидирующие на рынке комплексные антивирусные решения способны грамотно справиться с этой задачей. Для надежной защиты от autorun вирусов рекомендуется использовать антивирусную утилиту Antirun совместно с основным антивирусным комплексом.
В следующих статьях будут рассмотрены методы защиты системы и внешних устройств (флешек, mp3-плееров, камер и пр.) от вирусов autorun, которые использует в своей работе антивирусная программа Antirun.
Весь мир последнее время будоражат сообщения о гигантской эпидемии нового вируса основанного на дырке в RPC(MS08-67), якобы масштабы эпидемии устрашающие и скоро настанет конец света. Мою сеть эта гадость вроде бы обошла стороной, хотя всеобщий шухер заставил поволноваться, тем более я не сталкивался с таким видом вирусов до текущего момента. После брожений по жж, мне предложили посмотреть 2 семпла этой заразы (Kido.bx и Kido.eo). Сегодня я подготовил свою любимую связку машиин для таких вещей и с трепетом решил посмотреть чего боится весь мир.
В качестве семпла мне достались 2 архива с файлами. 1й архив autorun.inf(59288b) jwgkvsq.vmx(165025b) 2й архив autorun.inf(59306b) jwgkvsq.vmx(168509b)
Порадовал obfuscated autorun.inf - это уже что-то новенькое в плане вирусов, был приятно удивлён. В код вируса не полез(лень), просто посмотрел что делает снаружи. Механизм запуска до безобразия прост. По постоянному пути RECYCLER\S-5-3-42-2819952290-8240759888-8 79315005-3665\jwgkvsq.vmx лежит исполняемая библиотека содержащая тело вируса. Из autorun.inf библиотека дергается при помощи строки
без ключа ahaezedrn библиотеку вызвать невозможно(падает с ошибкой). Тело вируса не подвергается сокрытию при помощи специальных сервисов, всего-лишь производятся манипуляции с реестром которые отключают показ скрытых файлов. После запуска библиотеки в %system32% создается файлик nlvks.dll с аттрибутами архивный, системный, только для чтения и скрытый.
Для вычисления вирусной библиотеки идём в %system32% и из командной строки набираем dir /AH и видим список файлов у которых установлен атрибут Hidden.
Многие пользователи столкнулись с тем, что файл нельзя удалить даже после корректного лечения. Это происходит по причине смены прав вирусом на файл в Everyone(R).
меняем права на файл при помощи следущей команды
Самый простой способ найти сервис отвечающий за вирус это запустить редактор реестра, зайти в ветку
и посмотреть значение ключа netsvcs , в самом конце значений будет имя сервиса который формируется вирусом, копируете полученное значение и удаляете его из списка SvcHost. Далее в \HKLM\SYSTEM\CurrentControlSet\Services ищете указанное последним имя(скорее всего это просто набор букв). Вирус убирает права Администраторов для открытия/редактирования ветки реестра и оставляет права SYSTEM только на чтение. Правой кнопкой из меню "Разрешения/Permissions" добавляете Администратора на полный доступ и просто удаляете данный кусок реестра.
Следующий шаг - удаление autorun.inf
Тело вируса по прежнему живёт в памяти компутера. Теперь можно перезагрузить машину. После перезагрузки тело вируса из system32 можно легко удалить. НО ! вирус гадит в реестр и отключает нормальную возможность управления папками(show hidden files). Антивирусные тулкиты не восстанавливают данные в реестре и Вы после лечения получаете полуживой GUI. Далее напишу что нужно сделать. Вот лог работы вируса с реестром при внедрении в систему:
Красным цветом обозначены наиболее важные для нас сейчас блоки реестра.
HKLM\System\CurrentControlSet\Services\w uauserv\Start SUCCESS 0x4 HKLM\System\CurrentControlSet\Services\B ITS\Start SUCCESS 0x4 Эти строки выставляют сервисы "Automatic Updates" и "Background Intelligent Transfer Service" в состояние Disabled. Нужно зайти в настройку сервисов и поменять тип запуска на "Automatic".
HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\explorer\Advanced\Folder\Hidden\S HOWALL\CheckedValue Данный параметр отвечает за возможность показа "hidden" файлов, необходимо вернуть значение для ключа в 0x1 и через настройку вида папок включить отображение скрытых файлов.
Значения в ветке HKCU\Software\Microsoft\Windows\CurrentV ersion\Explorer\Advanced\ Лучше удалить, чтобы после перезагрузки данные были получены из профиля по умолчанию.
В разделе HKCU\Software\Microsoft\Windows\ShellNoR oam лучше удалить блоки "Bags" и "BagMRU" которые отвечают за представление папок в системе. Они создадутся заново когда Вы будете настраивать вид папок.
Нижеидущие(по логу) настройки кешхранилища можно оставить как есть, но все временные файлы будут сохраняться в другой профиль. Вирус создаёт правило исключения для Firewall, которое можно удалить из настроек Firewall.
Для блокировки распространения вируса и удобного лечения можно либо отключить машину от сети, либо дать машине адрес /32 без указания шлюза через DHCP. На общем шлюзе порт 445 желательно заблокировать на вход и на выход всем без исключения.
В общем я не сильно вдавался на грамотность написания кода данного вируса, но механизм защиты и распространения меня не сильно впечатлил. Возможно позже мы столкнёмся с более совершенными версиями данного семейства вирусов. Возможно эта статья кому-то поможет в решении проблем в локальной сети и дома, другим может будет полезна с точки зрения общего образования. Удачи Вам и спокойной работы. (C)aborche
ЗЫ: забыл сказать. Вирус сам себе ставит подножки в виде установки атрибутов на реестр и файл исполняемой библиотеки и при попытке повторной инсталляции тупо падает :))