6 июл. 2009 г.

Изгонение вируса

Намедни попросили меня починить персоналку. Основной симптом - пропадание сонединения с интернетом каждые 5 минут. Сомнения на счет вирусов нет.

Первым делом зглянул в Менеджер процессов. В памяти висит cmd.exe, которого пользователь не запускал. В корне диска C: лежат файлы microsoft.exe, autorun.vbs. В директориях C:\Documents and Settings\<логин пользователя>\Local Settings\Temp и C:\Documents and Settings\<логин пользователя>\ - куча exe-файлов с нечитаемыми именами. В скрытых директориях C:\C\ и C:\Memory\ находятся поддиректории с нечитаемыми именами,  в которых находятся исполняемые файлы.

В директории C:\Windows\system32 находятся 2 подозрительных файла - MicroSoft.exe и abstikl.dll. Подозрение вызывают относительная молодость файлов - не старше недели - и атрибуты системного, скрытого и файла только для чтения.

Попытался запустить с флешки портативную версию TotalCommender (в принципе, можно обходиться без него, но с ним привычнее). Запустилась через 1,5-2 минуты. Подключился к интернету - сразу пошел трафик.

Начал чистку.

  1. Перевел текущего пользователя в ранг обычных Пользователей. 
  2. В Политикеограниченного использования программного обеспечения включил режим "Не разрешено", оставив только пути, разрешенные по-умолчанию.
  3. Перезагрузил компьютер. 

После этих действий зараженные файлы, которые находятся вне директорий Windows и Program Files, потеряли возможность запускаться. Все вышеперечисленные директории были очищены от файлов.  Остались вышеупомянутые файлы MicroSoft.exe и abstikl.dll.

Запустил с флешки autoruns.exe от SysInternals от имени локального Администратора.. В разделе

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Оказался целый перечень файлов, который был ассоциирован с приложением MicroSoft.exe. То есть, почти все системные файлы не запускались, а передавались системой этому процессу, который их и исполнял после своих каких-то действий.

Раздел этот я очистил.  Там же отключил автозапуск MicroSoft.exe. Перезагрузился. После перезагрузки удалил его.

Самая интересная часть - файл abstikl.dll. Этот поганец:

  1. Блокировал открытие сайтов антивирусных программ (в частности - avp.ru)
  2. Блокировал загрузку по сети файлов с именами, соответствующих распространенным системным утилитам. Попытка закачать Unlocker увенчалась провалом. Благо Unlocker оказался на компакте под рукой. 
  3. Блокировал запуск файлов,аналогичных п.п. 2. Причем, в список блокируемых входили все утилиты от SysInternals, которые я пытался запускать. При этом Менеджер процессов (taskmgr.exe) и Редактор Реестра (regedit.exe) запускались. Но, естественно, ничего подозрительного не показывали.

Кстати, третий пункт был обойдён довольно быстро и просто. Нужные утилиты я переименовал в taskmgr.exe и они запускались беспрепятственно. Process Explorer показал, что файл abstikl.dll активируется служебным процесом svchost.exe. Соответственно, удалить его система не давала. А загрузиться в другой операционке или в защещенном режиме было не с чего - последний при загрузке падал на синенькое с ошибкой 0x78. 

Переименовал инсталляцию Unlocker в taskmgr.exe. Проинсталлировал. Исполняемый файл Unlocker-а переименовал в taskmgr.exe и выполнил:

taskmgr.exe c:\windows\system32\abstikl.dll /D

и в появившемся окне диалога сказал разблокировать файл. Файл вируса удалился.

После перезагрузки проинсталлировал антивирус Avira, наказал пользователю не запускать разные каки. В gpedit.msc/Административные шаблоны/Система поставил значение "Включено для всех" параметру Отключить Автозапуск.



Кстати, набор директорий:
autorun.bat\
autorun.cmd\
autorun.com\
autorun.exe\
autorun.inf\
autorun.ini\
autorun.pif\
autorun.scp\
в корне флешки с расположенными с них пустыми файлами с атрибутами Скрытый, Системный, Только для чтения не дали заразить ее вирусом. Инсполняемый файл прописался, но файл для автозапуска записаться не смог.

Комментариев нет:

Отправить комментарий