Компьютерный Доктор
Ростов-на-Дону, Шахты, Новошахтинск
Тел: 8(908) 183-0-789, 8(908) 197-84-94 (разработка сайтов)

ICQ: 432426600
E-mail: servis@computerdoktor.ru
Статьи
При копировании материала ссылка на источник обязательна!

 

 ОС Windows
 Осторожно, вирусы
 О ноутбуках


 


Всего статей 4

Мучитель флешек Win32.Autorun.Agent.FC по кличке Win32.HLLW.Autoruner.6109
Пролог

Вирусы типа autorun весьма распространены, заражения начинается с использования возможности автозапуска программ с любого носителя, встроенной в Windows. Эта удобная для пользователя опция операционной системы таит в себе немалую опасность, особенно, если Вы не обновляете регулярно антивирус и не имеете средств, контролирующих объекты автозапуска в операционной системе.
Общая схема такая. Вредоносный код с зараженного носителя запускается автоматически, при этом существует возможность "незаметного" запуска. То есть пользователь не только не дает никакой явной команды на запуск зараженной программы, но и даже не видит сам процесс запуска. Если пользователь обладает административными правами, или вредоносный код использует уязвимости операционной системы для повышения полномочий пользователя, тогда "вирус" создает исполняемый файл (*.exe, *.com, *.dll) и записывает команду на его запуск при старте системы или входе пользователя. Возможны варианты использования сценариев типа *.vbs, запускающих вредоносный сервис, причем возможна сборка вируса из нескольких файлов перед запуском. Таким образом, в результате Вы имеете постоянно работающий (резидентный) в памяти процесс, контролирующий жесткие диски, съемные носители, объекты автозапуска с целью собственного размножения и сохраняющий возможность своего повторного запуска при перезагрузке системы. Антивирус может бездействовать, так как сам процесс работает как часть операционной системы, возможно, в защищенной области памяти, то есть антивирус не может получить доступ к вредоносному коду, или не определяет его, так как базы сигнатур устарели.

Поведение рассматриваемого экземпляра

Сегодня мы поговорим о Win32.Autorun.Agent.FC, как определяет его NOD32, или Win32.HLLW.Autoruner.6109, как определяет его Dr.Web.

В загруженных процессах скрывается под видом svchost.exe и забирает 50% времени работы процессора, время от времени обращается в диску А: (флоппи дисковод) и постоянно работает с файлом C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat. Во флеш накопителях в корневом разделе создаёт следующие файлы: autorun.inf и system.exe с атрибутами скрытый, системный.
NOD32 на данный момент ничего сделать с ним не может, так как червь Win32.Autorun.Agent.FC прикидывается системным файлом
svchost.exe. Разве только из корневого каталога заражённого флеш накопителя, при обращении к нему, удаляет файл autorun.inf, оставляя system.exe. При попытке вручную удалить system.exe файл autorun.inf появляется вновь и опять создаётся system.exe. Всё повторяется сначала. Цикл. Форматирование флеш ничего не даёт.

Лечение


Главный вредитель находится по адресу C:\Program Files\Microsoft Common\svchost.exe. Простое удаление оного ничего не даст. Приведёт только к блокированию процесса explorer.exe при следующей перезагрузке и невозможности загрузить нормально компьютер. Свой Рабочий стол вы так и не увидите.

Что делать? © М. Чернышевский

Сначала необходимо отключить Автозапуск. Запускаем Regedit (Пуск -> Выполнить -> В строке статуса ввести Regedit - Ок или Win+R -> В строке статуса ввести Regedit - Ок) и находим раздел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies], затем создадим раздел Explorer (на polices щёлкаем правой кнопкой, выбираем "создать раздел") и создаём параметр DWORD, который назовём NoDriveTypeAutoRun (щёлкаем по вновь созданному разделу – в правом окне видим только одну строчку, под ней в пустом месте щёлкаем правой кнопкой мыши), его значение устанавливаем равным ff (правой кнопкой щёлкнем в параметр DWORD, выбираем изменить значение).

Затем, используя утилиту TweakUiPowertoy, убираем все отметки в разделе My computer (Мой Компьютер) – Autoplay (Автозапуск) (со всех дисков и во всех чек-боксах).

Перезагружаем компьютер.

Скачиваем сканер Dr.Web СureIt и обновляем его. Запускаем сканирование. Обнаруживаем его под прозвищем
Win32.HLLW.Autoruner.6109. Лечим.

Перезагружаем компьютер.

Скачиваем и устанавливаем AnVir для контроля объектов автозапуска и попыток изменения системного реестра.

Восстанавливаем Автозапуск при необходимости.

Радуемся счастью!

Эпилог

И ещё! Обязательно используйте антивирусное программное обеспечение. В любом случае антивирусные базы всегда должны быть самыми последними и самыми свежими - это убережёт ваш компьютер от попадания в него разных вредоносных программ пусть и не на все 100%, но по крайней мере на 99% точно.
  голосов 1  голосовать Василий Калашников
28.08.2011


28.08.2011 20:42   sergответить
Спасибо. Мучался, мучался, а с вашей внятной помощью спасся.