Scr вирус как вылечить

05.01.2020
0
ГлавнаяКак вылечитьScr вирус как вылечить
Scr вирус как вылечить thumbnail

Это вирус Penetrator.

Как уничтожить Penetrator и как устранить деструктивные последствия вируса

Вирус загружается и в Безопасном режиме (Safe Mode), поэтому пытаться лечить ПК, когда загружена ОС с резидентным вирусом, – бессмысленное занятие!

  1. Отключите ПК от локальной и Глобальной сетей.
  2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).

Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.

  1. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске) .
  2. Поскольку у файлов вируса установлен атрибут Скрытый, чтобы найти их и уничтожить:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки) ;

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

  1. Удалите (если их не уничтожил антивирус) файлы flash.scr, <имя_папки>.scr и <имя_папки>.exe.
  2. Удалите (если их не уничтожил антивирус) следующие файлы:

– WINDOWSsystem32DETER177lsass.exe (удалите файл вместе с папкой DETER177);

– WINDOWSsystem32DETER177smss.exe (удалите файл вместе с папкой DETER177);

– WINDOWSsystem32DETER177svchost.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);

– WINDOWSsystem32AHTOMSYS19.exe;

– WINDOWSsystem32ctfmon.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);

– WINDOWSsystem32psador18.dll;

– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – Documents and Settings<Имя_пользователя>Local SettingsApplication DataMicrosoftWindows; Windows Vista – UsersMasterAppDataLocalMicrosoftWindowsBurn).

  1. Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами) . После первого запуска Word’а, он будет создан заново.
  2. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– раскройте ветвь [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:WINDOWSsystem32AHTOMSYS19.exe;

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:Windowssystem32userinit.exe, (если система установлена на диске C:, если на другом диске, то <буква_диска>:Windowssystem32userinit.exe,);

– раскройте ветвь [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun], удалите строковые (REG_SZ) параметры lsass со значением C:WINDOWSsystem32DETER177lsass.exe и ctfmon.exe со значением C:WINDOWSsystem32ctfmon.exe;

– закройте Редактор реестра.

  1. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно» , нажмите OK.

  1. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?) .

Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация! ) восстановить удастся.

Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается.

Источник

В последнее время пользователям ПК (особенно тем, кто не любит предохраняться!) сильно досаждает вирус Penetrator.

Происхождение вируса и этимология названия
Название вируса происходит от penetrate (англ.) — проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.
О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно — и всему цифровому миру…

Читайте также:  Как вылечить человека по фотографии

Деструктивные действия вируса
Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69×15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).
Файлы .bmp, .png, .tiff вирус «не трогает».
Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов — матами).
То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), — он начинает свои деструктивные действия сразу после запуска исполняемого файла.
Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область.

Классификация вируса
Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB

Как происходит заражение
Средства распространения вируса — Интернет, flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.

Кроме этого, вирус создает следующие файлы:
WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass. exe, «проживающего» в папке WINDOWSsystem32);
WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss. exe, «проживающего» в папке WINDOWSsystem32);
WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» — кириллические, в отличие от настоящего svchost. exe);
WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19. exe);
WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon. exe);
WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18. dll).
Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.

Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].

Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Вирус — резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Как устранить деструктивные последствия вируса
1. Проверьте винчестер надежным антивирусом со свежими базами.

2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.

3. Удалите (если их не уничтожил антивирус) следующие файлы:
WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);
WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*);
WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» — кириллические, в отличие от настоящего svchost. exe; удалите файл вместе с папкой deter*);
WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19. exe);
WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon. exe);
WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18. dll).

4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
• REG_SZ-параметр Shell должен иметь значение Explorer.exe;
• REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe,

5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

6. Удалите шаблон Normal.dot (см. Как бороться с макровирусами?).

7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?).
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.

Примечания
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться.

Читайте также:  Появился кашель как быстро вылечить

Послесловие
По сообщениям СМИ, 20-летний автор компьютерного вируса «пенетратор» задержан в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми — 7 лет…

Люди, будьте бдительны! Силы компьютерного зла не дремлют!..

• Как устранить последствия вирусной атаки?
• Что делать, если появляется сообщение «Редактирование реестра запрещено»?
• Что делать, если недоступен пункт меню «Свойства папки»?
• Windows: что делать, если не удается отобразить скрытые файлы и папки?
• Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
• Что делать, если после лечения от вирусов не открывается флэшка?
• Windows: что делать, если вирусы отключили подсистему печати?

Источник

Anatoly A. Stupakov ÐÉÓÁÌ(Á)
ÓËÁÞÉ×ÁÔØ É ÐÉÓÁÔØ ÎÁ ÎÏÓÉÔÅÌÉ — ÎÁ þéóôïê ÏÔ ×ÓÑËÏÊ ÇÁÄÏÓÔÉ ÍÁÛÉÎÅ!

îÕ CD × ÐÒÉÎÃÉÐÅ ÎÁ ÌÀÂÏÊ ÍÏÖÎÏ))) … ÎÅ ÐÏÄÌÁÍÙ×ÁÀÔ))) … Ó ÆÌÅÛËÏÊ, ËÏÎÅÞÎÏ, ÅÓÌÉ ×ÉÒÕÓ ÉÍÅÅÔ «ÂÕÔÏ×ÙÅ» ÆÕÎËÃÉÉ ÍÏÖÅÔ ÎÅÂÏÌØÛÏÊ ÎÅÖÄÁÎÞÉË ÂÙÔØ) … ÔÅÏÒÅÔÉÞÅÓËÉ) … ¶

îÄÁ?.. ÷ÒÏÄÅ ÂÙÌÁ ÇÁÄÏÓÔØ, ÞÔÏ ÐÉÓÁÌÁÓØ ÎÁ ÄÉÓËÉ… ìÕÞÛÅ ÎÅ ÒÉÓËÏ×ÁÔØ 🙂

ôÏËÁ ÎÅ × ÜÔÏÍ ÓÌÕÞÁÅ).

ÅÇÏ × ÒÁÓÐÁËÏ×ÁÎÎÏÍ ×ÉÄÅ ÎÁ ÄÉÓË ÚÁÌÉ×ÁÔØ? ÐÒÏÂÏ×ÁÌ É × ÚÁÐÁËÏ×ÁÎÎÏÍ É × ÒÁÓÐÁËÏ×ÁÎÎÏÍ. ÎÉËÁË ÎÅ ÚÁÐÕÓËÁÅÔÓÑ

þÅÍ ÐÉÛÉÔÅ, Ô.Å., ËÁËÏÊ ÐÒÏÇÒÁÍÍÏÊ?
÷ îÅÒÏ, ÄÏÐÕÓÔÉÍ, ÎÁÄÏ ÚÁÐÕÓÔÉÔØ Nero Burning Rom, ÚÁËÒÙÔØ ÏËÎÁ Ó ÐÒÅÄÌÏÖÅÎÉÅÍ ÓÏÚÄÁÔØ ÎÏ×ÙÊ ÐÒÏÅËÔ. äÁÌÅÅ, æÁÊÌ-ïÔËÒÙÔØ-÷ÙÂÉÒÁÅÔÅ ÏÂÒÁÚ ÄÉÓËÁ É ÐÉÛÉÔÅ ÅÇÏ. ô.Å. ÎÅ ÎÁÄÏ ÒÁÓÐÁËÏ×Ù×ÁÔØ ÆÁÊÌ ÏÂÒÁÚÁ. ÷ ÄÒÕÇÉÈ ÐÒÏÇÒÁÍÍÁÈ — ÁÎÁÌÏÇÉÞÎÙÍ ÏÂÒÁÚÏÍ.

ðÉÓÁÔØ ËÁË ÏÂÒÁÚ CD. ñ ÐÏÌØÚÕÀÓØ ÄÌÑ ÜÔÏ UltraISO … ÎÏ ÍÏÖÎÏ É Nero … ÐÒÏÓÔÏ ÍÎÅ ÔÁË ÂÙÓÔÒÅÅ)).

Источник

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 16 мая 2015;
проверки требуют 19 правок.

Penetrator (от англ. penetrate — «внедряться») — троянская программа, созданная российским студентом Дмитрием Уваровым[1]. Троян был написан на Visual Basic и предназначался для операционных систем Windows c процессором x86. Внедряется в операционную систему и выполняет деструктивные действия над файлами .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip в ночь на первое января[2].

Предыстория[править | править код]

Точная дата появления трояна неизвестна. Предполагается, что он появился в марте 2007 года. Первые сообщения о вредоносной программе стали появляться осенью[2]. Тогда же и появилась легенда, что российский программист решил отомстить отвергнувшей его девушке, а заодно и всему цифровому миру[3].

Первая волна эпидемии трояна произошла 1 января 2008 года. Были заражены не только персональные компьютеры, но и сети предприятий и государственные структуры. Пострадали несколько тысяч компьютеров Амурской области. Вторая волна произошла 1 января 2009 года. Данный троян был обнаружен на компьютерах районной налоговой инспекции и прокуратуры[4].

18 января 2008 года в Калининграде был задержан двадцатилетний молодой человек, которого обвинили в создании данной программы[4]. Дмитрий Уваров полностью признал свою вину, помог следствию, и в результате ему вынесли приговор в виде штрафа 3 000 рублей[1].

Читайте также:  Перелом пятого пальца на ноге что делать как быстро вылечить

Характеристика[править | править код]

Троян распространяется с помощью файла flash.scr (117248 байт, создан 04.08.2003 9:00:00 AM), тем самым маскируясь под программу — скринсейвер. Также были отмечены единичные случаи, когда он маскировался под файл mp3.

При запуске исполняемого файла, троян внедряется в папку «Documents and SettingsAll UsersДокументы», файлом Documents.scr, для операционной системы Windows XP, предварительно внедряясь в оперативную память и в раздел автозагрузки. Заражение файлов начинается лишь 1 января.

1 января троян активируется:

  • в папке WINDOWSsystem32 создает папку DETER177;
  • в папке WINDOWSsystem32DETER177 создает скрытый файл lsass.exe (117248 байт; в отличие от настоящего lsass.exe, находящегося в папке WINDOWSsystem32);
  • в папке WINDOWSsystem32DETER177 создает скрытый файл smss.exe (117248 байт; в отличие от настоящего smss.exe, находящегося в папке WINDOWSsystem32);
  • в папке WINDOWSsystem32DETER177 создает скрытый файл svchost.exe (117248 байт; буквы «с» и «о» — кириллические, в отличие от настоящего svchost.exe);
  • в папке WINDOWSsystem32 создает скрытый файл AHTOMSYS19.exe (117248 байт);
  • в папке WINDOWSsystem32 создает скрытый файл сtfmon.exe (117248 байт; буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon.exe);
  • в папке WINDOWSsystem32 создает скрытый файл psador18.dll (32 байта);
  • в папке WINDOWSsystem32 создает скрытый файл psagor18.sys (117248 байт);
  • файлы АHTOMSYS19.exe, WINDOWSsystem32DETER177lsass.exe и WINDOWSsystem32сtfmon.exe автозагружаются и постоянно присутствуют в оперативной памяти;
  • деструктивное действие трояна направлено на файлы .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip;
  • все .jpg-файлы (.jpg, .jpeg) заменяются bmp-изображением под оболочкой .jpg c размером 69х15 пикселей, 3174 байт со стилизованной надписью Penetrator. Файлы .bmp, .png, .tiff троян не трогает;
  • содержимое файлов .doc и .xls заменяется следующим нецензурным текстовым сообщением (при этом размер этих файлов становится 196 байт — по объёму текстового сообщения):

НАХУЙ ПОСЛАНА, СУКА, ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, СУКА, ИЩЕШЬ ВИНОВНИКА!! СОСИ ХУЙ, ЛИЖИ ПИЗДУ!! ХАХАХАХ Penetrator
MY ICQ: 402974020
JB17

  • троян создает папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP — Documents and Settings<Имя_пользователя>Local SettingsApplication DataMicrosoftWindows; Windows Vista и Windows 7 — UsersMasterAppDataLocalMicrosoftWindowsBurn);
  • в каждой папке (включая вложенные папки) диска, на котором произошел запуск файла flash.scr, троян создает свои копии <имя_папки>.scr (117248 байт); после этого файл flash.scr на этом диске (который уже заразил), как правило, самоуничтожается, оставляя в корневых каталогах дисков скрытый файл трояна (без названия) с расширением .scr;
  • при открытии/подключении локальных/съемных дисков троян копируется на незаражённые носители;
  • производит скрытый вызов следующих системных dll-библиотек: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT.DLL.

Маскируется троян в системе следующим образом:

  • Скрывает отображение «скрытых файлов и папок»
  • Скрывает отображение расширений файлов
  • Делает недоступным пункт меню «Свойства папки»
  • Запрещает запуск «редактора реестра»’
  • Блокирует установку антивируса
  • Блокирует запуск утилит настройки системы
  • Настраивает разделы реестра так, что файл flash.scr выглядит как обычная папка

Распознавание трояна антивирусами[править | править код]

Различные антивирусы распознают его по-разному:

  • Avira AntiVir — TR/Dldr.VB.bnp;
  • Avast — Win32:Trojan-gen;
  • AVG — Downloader.VB.AIM;
  • BitDefender — Trojan.Downloader.VB.VKV;
  • ClamAV — Trojan.Downloader-15571;
  • DrWeb — Win32.HLLW.Kati;
  • Eset NOD32 — Win32/VB.NNJ worm;
  • F-Secure Anti-Virus — Trojan-Downloader.Win32.VB.bnp;
  • Антивирус Касперского — Trojan-Downloader.Win32.VB.bnp;
  • McAfee — Downloader.gen.a;
  • Panda Security — W32/Penetrator.A.worm;
  • VBA32 — Trojan-Downloader.Win32.VB.bnp.

Примечания[править | править код]

Ссылки[править | править код]

  • Результат проверки на VirusTotal
  • Как уничтожить вирус Penetrator

Источник

Предыдущая статья
Как вылечить вампиризм witchery
Следующая статья
Как вылечить на ногах шпоры народными средствами ...