Это вирус Penetrator.
Как уничтожить Penetrator и как устранить деструктивные последствия вируса
Вирус загружается и в Безопасном режиме (Safe Mode), поэтому пытаться лечить ПК, когда загружена ОС с резидентным вирусом, – бессмысленное занятие!
- Отключите ПК от локальной и Глобальной сетей.
- Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).
Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.
- Отключите восстановление системы (или очистите папку System Volume Information на каждом диске) .
- Поскольку у файлов вируса установлен атрибут Скрытый, чтобы найти их и уничтожить:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки) ;
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
- Удалите (если их не уничтожил антивирус) файлы flash.scr, <имя_папки>.scr и <имя_папки>.exe.
- Удалите (если их не уничтожил антивирус) следующие файлы:
– \WINDOWS\system32\DETER177\lsass.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\smss.exe (удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\DETER177\svchost.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);
– \WINDOWS\system32\AHTOMSYS19.exe;
– \WINDOWS\system32\ctfmon.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– \WINDOWS\system32\psador18.dll;
– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista – \Users\Master\AppData\Local\Microsoft\Windows\Burn).
- Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами) . После первого запуска Word'а, он будет создан заново.
- Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:\WINDOWS\system32\AHTOMSYS19.exe;
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковые (REG_SZ) параметры lsass со значением C:\WINDOWS\system32\DETER177\lsass.exe и ctfmon.exe со значением C:\WINDOWS\system32\ctfmon.exe;
– закройте Редактор реестра.
- Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно» , нажмите OK.
- Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?) .
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация! ) восстановить удастся.
Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается.
