Первым делом зглянул в Менеджер процессов. В памяти висит cmd.exe, которого пользователь не запускал. В корне диска C: лежат файлы microsoft.exe, autorun.vbs. В директориях C:\Documents and Settings\<логин пользователя>\Local Settings\Temp и C:\Documents and Settings\<логин пользователя>\ - куча exe-файлов с нечитаемыми именами. В скрытых директориях C:\C\ и C:\Memory\ находятся поддиректории с нечитаемыми именами, в которых находятся исполняемые файлы.
В директории C:\Windows\system32 находятся 2 подозрительных файла - MicroSoft.exe и abstikl.dll. Подозрение вызывают относительная молодость файлов - не старше недели - и атрибуты системного, скрытого и файла только для чтения.
Попытался запустить с флешки портативную версию TotalCommender (в принципе, можно обходиться без него, но с ним привычнее). Запустилась через 1,5-2 минуты. Подключился к интернету - сразу пошел трафик.
Начал чистку.
- Перевел текущего пользователя в ранг обычных Пользователей.
- В Политикеограниченного использования программного обеспечения включил режим "Не разрешено", оставив только пути, разрешенные по-умолчанию.
- Перезагрузил компьютер.
После этих действий зараженные файлы, которые находятся вне директорий Windows и Program Files, потеряли возможность запускаться. Все вышеперечисленные директории были очищены от файлов. Остались вышеупомянутые файлы MicroSoft.exe и abstikl.dll.
Запустил с флешки autoruns.exe от SysInternals от имени локального Администратора.. В разделе
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Оказался целый перечень файлов, который был ассоциирован с приложением MicroSoft.exe. То есть, почти все системные файлы не запускались, а передавались системой этому процессу, который их и исполнял после своих каких-то действий.
Раздел этот я очистил. Там же отключил автозапуск MicroSoft.exe. Перезагрузился. После перезагрузки удалил его.
Самая интересная часть - файл abstikl.dll. Этот поганец:
- Блокировал открытие сайтов антивирусных программ (в частности - avp.ru)
- Блокировал загрузку по сети файлов с именами, соответствующих распространенным системным утилитам. Попытка закачать Unlocker увенчалась провалом. Благо Unlocker оказался на компакте под рукой.
- Блокировал запуск файлов,аналогичных п.п. 2. Причем, в список блокируемых входили все утилиты от SysInternals, которые я пытался запускать. При этом Менеджер процессов (taskmgr.exe) и Редактор Реестра (regedit.exe) запускались. Но, естественно, ничего подозрительного не показывали.
Кстати, третий пункт был обойдён довольно быстро и просто. Нужные утилиты я переименовал в taskmgr.exe и они запускались беспрепятственно. Process Explorer показал, что файл abstikl.dll активируется служебным процесом svchost.exe. Соответственно, удалить его система не давала. А загрузиться в другой операционке или в защещенном режиме было не с чего - последний при загрузке падал на синенькое с ошибкой 0x78.
Переименовал инсталляцию Unlocker в taskmgr.exe. Проинсталлировал. Исполняемый файл Unlocker-а переименовал в taskmgr.exe и выполнил:
taskmgr.exe c:\windows\system32\abstikl.dll /D
и в появившемся окне диалога сказал разблокировать файл. Файл вируса удалился.
После перезагрузки проинсталлировал антивирус Avira, наказал пользователю не запускать разные каки. В gpedit.msc/Административные шаблоны/Система поставил значение "Включено для всех" параметру Отключить Автозапуск.
Кстати, набор директорий:
autorun.bat\
autorun.cmd\
autorun.com\
autorun.exe\
autorun.inf\
autorun.ini\
autorun.pif\
autorun.scp\
в корне флешки с расположенными с них пустыми файлами с атрибутами Скрытый, Системный, Только для чтения не дали заразить ее вирусом. Инсполняемый файл прописался, но файл для автозапуска записаться не смог.
Комментариев нет:
Отправить комментарий