Scr вирус как вылечить
Это вирус Penetrator.
Как уничтожить Penetrator и как устранить деструктивные последствия вируса
Вирус загружается и в Безопасном режиме (Safe Mode), поэтому пытаться лечить ПК, когда загружена ОС с резидентным вирусом, – бессмысленное занятие!
- Отключите ПК от локальной и Глобальной сетей.
- Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).
Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.
- Отключите восстановление системы (или очистите папку System Volume Information на каждом диске) .
- Поскольку у файлов вируса установлен атрибут Скрытый, чтобы найти их и уничтожить:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки) ;
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
- Удалите (если их не уничтожил антивирус) файлы flash.scr, <имя_папки>.scr и <имя_папки>.exe.
- Удалите (если их не уничтожил антивирус) следующие файлы:
– WINDOWSsystem32DETER177lsass.exe (удалите файл вместе с папкой DETER177);
– WINDOWSsystem32DETER177smss.exe (удалите файл вместе с папкой DETER177);
– WINDOWSsystem32DETER177svchost.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);
– WINDOWSsystem32AHTOMSYS19.exe;
– WINDOWSsystem32ctfmon.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– WINDOWSsystem32psador18.dll;
– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – Documents and Settings<Имя_пользователя>Local SettingsApplication DataMicrosoftWindows; Windows Vista – UsersMasterAppDataLocalMicrosoftWindowsBurn).
- Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами) . После первого запуска Word’а, он будет создан заново.
- Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:WINDOWSsystem32AHTOMSYS19.exe;
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:Windowssystem32userinit.exe, (если система установлена на диске C:, если на другом диске, то <буква_диска>:Windowssystem32userinit.exe,);
– раскройте ветвь [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun], удалите строковые (REG_SZ) параметры lsass со значением C:WINDOWSsystem32DETER177lsass.exe и ctfmon.exe со значением C:WINDOWSsystem32ctfmon.exe;
– закройте Редактор реестра.
- Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно» , нажмите OK.
- Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?) .
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация! ) восстановить удастся.
Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается.
Источник
В последнее время пользователям ПК (особенно тем, кто не любит предохраняться!) сильно досаждает вирус Penetrator.
Происхождение вируса и этимология названия
Название вируса происходит от penetrate (англ.) — проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.
О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно — и всему цифровому миру…
Деструктивные действия вируса
Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69×15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).
Файлы .bmp, .png, .tiff вирус «не трогает».
Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов — матами).
То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), — он начинает свои деструктивные действия сразу после запуска исполняемого файла.
Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область.
Классификация вируса
Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB…
Как происходит заражение
Средства распространения вируса — Интернет, flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.
Кроме этого, вирус создает следующие файлы:
• WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass. exe, «проживающего» в папке WINDOWSsystem32);
• WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss. exe, «проживающего» в папке WINDOWSsystem32);
• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» — кириллические, в отличие от настоящего svchost. exe);
• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19. exe);
• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon. exe);
• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18. dll).
Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.
Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].
Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Вирус — резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Как устранить деструктивные последствия вируса
1. Проверьте винчестер надежным антивирусом со свежими базами.
2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.
3. Удалите (если их не уничтожил антивирус) следующие файлы:
• WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);
• WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*);
• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» — кириллические, в отличие от настоящего svchost. exe; удалите файл вместе с папкой deter*);
• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19. exe);
• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon. exe);
• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18. dll).
4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
• REG_SZ-параметр Shell должен иметь значение Explorer.exe;
• REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe,
5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
6. Удалите шаблон Normal.dot (см. Как бороться с макровирусами?).
7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?).
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.
Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.
Примечания
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться.
Послесловие
По сообщениям СМИ, 20-летний автор компьютерного вируса «пенетратор» задержан в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми — 7 лет…
Люди, будьте бдительны! Силы компьютерного зла не дремлют!..
• Как устранить последствия вирусной атаки?
• Что делать, если появляется сообщение «Редактирование реестра запрещено»?
• Что делать, если недоступен пункт меню «Свойства папки»?
• Windows: что делать, если не удается отобразить скрытые файлы и папки?
• Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
• Что делать, если после лечения от вирусов не открывается флэшка?
• Windows: что делать, если вирусы отключили подсистему печати?
Источник
Anatoly A. Stupakov ÐÉÓÁÌ(Á)
ÓËÁÞÉ×ÁÔØ É ÐÉÓÁÔØ ÎÁ ÎÏÓÉÔÅÌÉ — ÎÁ þéóôïê ÏÔ ×ÓÑËÏÊ ÇÁÄÏÓÔÉ ÍÁÛÉÎÅ!
îÕ CD × ÐÒÉÎÃÉÐÅ ÎÁ ÌÀÂÏÊ ÍÏÖÎÏ))) … ÎÅ ÐÏÄÌÁÍÙ×ÁÀÔ))) … Ó ÆÌÅÛËÏÊ, ËÏÎÅÞÎÏ, ÅÓÌÉ ×ÉÒÕÓ ÉÍÅÅÔ «ÂÕÔÏ×ÙÅ» ÆÕÎËÃÉÉ ÍÏÖÅÔ ÎÅÂÏÌØÛÏÊ ÎÅÖÄÁÎÞÉË ÂÙÔØ) … ÔÅÏÒÅÔÉÞÅÓËÉ) … ¶
îÄÁ?.. ÷ÒÏÄÅ ÂÙÌÁ ÇÁÄÏÓÔØ, ÞÔÏ ÐÉÓÁÌÁÓØ ÎÁ ÄÉÓËÉ… ìÕÞÛÅ ÎÅ ÒÉÓËÏ×ÁÔØ 🙂
¶
ôÏËÁ ÎÅ × ÜÔÏÍ ÓÌÕÞÁÅ).
¶
ÅÇÏ × ÒÁÓÐÁËÏ×ÁÎÎÏÍ ×ÉÄÅ ÎÁ ÄÉÓË ÚÁÌÉ×ÁÔØ? ÐÒÏÂÏ×ÁÌ É × ÚÁÐÁËÏ×ÁÎÎÏÍ É × ÒÁÓÐÁËÏ×ÁÎÎÏÍ. ÎÉËÁË ÎÅ ÚÁÐÕÓËÁÅÔÓÑ
¶
þÅÍ ÐÉÛÉÔÅ, Ô.Å., ËÁËÏÊ ÐÒÏÇÒÁÍÍÏÊ?
÷ îÅÒÏ, ÄÏÐÕÓÔÉÍ, ÎÁÄÏ ÚÁÐÕÓÔÉÔØ Nero Burning Rom, ÚÁËÒÙÔØ ÏËÎÁ Ó ÐÒÅÄÌÏÖÅÎÉÅÍ ÓÏÚÄÁÔØ ÎÏ×ÙÊ ÐÒÏÅËÔ. äÁÌÅÅ, æÁÊÌ-ïÔËÒÙÔØ-÷ÙÂÉÒÁÅÔÅ ÏÂÒÁÚ ÄÉÓËÁ É ÐÉÛÉÔÅ ÅÇÏ. ô.Å. ÎÅ ÎÁÄÏ ÒÁÓÐÁËÏ×Ù×ÁÔØ ÆÁÊÌ ÏÂÒÁÚÁ. ÷ ÄÒÕÇÉÈ ÐÒÏÇÒÁÍÍÁÈ — ÁÎÁÌÏÇÉÞÎÙÍ ÏÂÒÁÚÏÍ.
¶
ðÉÓÁÔØ ËÁË ÏÂÒÁÚ CD. ñ ÐÏÌØÚÕÀÓØ ÄÌÑ ÜÔÏ UltraISO … ÎÏ ÍÏÖÎÏ É Nero … ÐÒÏÓÔÏ ÍÎÅ ÔÁË ÂÙÓÔÒÅÅ)).
¶
Источник
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 16 мая 2015;
проверки требуют 19 правок.
Penetrator (от англ. penetrate — «внедряться») — троянская программа, созданная российским студентом Дмитрием Уваровым[1]. Троян был написан на Visual Basic и предназначался для операционных систем Windows c процессором x86. Внедряется в операционную систему и выполняет деструктивные действия над файлами .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip в ночь на первое января[2].
Предыстория[править | править код]
Точная дата появления трояна неизвестна. Предполагается, что он появился в марте 2007 года. Первые сообщения о вредоносной программе стали появляться осенью[2]. Тогда же и появилась легенда, что российский программист решил отомстить отвергнувшей его девушке, а заодно и всему цифровому миру[3].
Первая волна эпидемии трояна произошла 1 января 2008 года. Были заражены не только персональные компьютеры, но и сети предприятий и государственные структуры. Пострадали несколько тысяч компьютеров Амурской области. Вторая волна произошла 1 января 2009 года. Данный троян был обнаружен на компьютерах районной налоговой инспекции и прокуратуры[4].
18 января 2008 года в Калининграде был задержан двадцатилетний молодой человек, которого обвинили в создании данной программы[4]. Дмитрий Уваров полностью признал свою вину, помог следствию, и в результате ему вынесли приговор в виде штрафа 3 000 рублей[1].
Характеристика[править | править код]
Троян распространяется с помощью файла flash.scr (117248 байт, создан 04.08.2003 9:00:00 AM), тем самым маскируясь под программу — скринсейвер. Также были отмечены единичные случаи, когда он маскировался под файл mp3.
При запуске исполняемого файла, троян внедряется в папку «Documents and SettingsAll UsersДокументы», файлом Documents.scr, для операционной системы Windows XP, предварительно внедряясь в оперативную память и в раздел автозагрузки. Заражение файлов начинается лишь 1 января.
1 января троян активируется:
- в папке WINDOWSsystem32 создает папку DETER177;
- в папке WINDOWSsystem32DETER177 создает скрытый файл lsass.exe (117248 байт; в отличие от настоящего lsass.exe, находящегося в папке WINDOWSsystem32);
- в папке WINDOWSsystem32DETER177 создает скрытый файл smss.exe (117248 байт; в отличие от настоящего smss.exe, находящегося в папке WINDOWSsystem32);
- в папке WINDOWSsystem32DETER177 создает скрытый файл svchost.exe (117248 байт; буквы «с» и «о» — кириллические, в отличие от настоящего svchost.exe);
- в папке WINDOWSsystem32 создает скрытый файл AHTOMSYS19.exe (117248 байт);
- в папке WINDOWSsystem32 создает скрытый файл сtfmon.exe (117248 байт; буквы «с» и «о» — кириллические, в отличие от настоящего ctfmon.exe);
- в папке WINDOWSsystem32 создает скрытый файл psador18.dll (32 байта);
- в папке WINDOWSsystem32 создает скрытый файл psagor18.sys (117248 байт);
- файлы АHTOMSYS19.exe, WINDOWSsystem32DETER177lsass.exe и WINDOWSsystem32сtfmon.exe автозагружаются и постоянно присутствуют в оперативной памяти;
- деструктивное действие трояна направлено на файлы .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip;
- все .jpg-файлы (.jpg, .jpeg) заменяются bmp-изображением под оболочкой .jpg c размером 69х15 пикселей, 3174 байт со стилизованной надписью Penetrator. Файлы .bmp, .png, .tiff троян не трогает;
- содержимое файлов .doc и .xls заменяется следующим нецензурным текстовым сообщением (при этом размер этих файлов становится 196 байт — по объёму текстового сообщения):
НАХУЙ ПОСЛАНА, СУКА, ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, СУКА, ИЩЕШЬ ВИНОВНИКА!! СОСИ ХУЙ, ЛИЖИ ПИЗДУ!! ХАХАХАХ Penetrator
MY ICQ: 402974020
JB17
- троян создает папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP — Documents and Settings<Имя_пользователя>Local SettingsApplication DataMicrosoftWindows; Windows Vista и Windows 7 — UsersMasterAppDataLocalMicrosoftWindowsBurn);
- в каждой папке (включая вложенные папки) диска, на котором произошел запуск файла flash.scr, троян создает свои копии <имя_папки>.scr (117248 байт); после этого файл flash.scr на этом диске (который уже заразил), как правило, самоуничтожается, оставляя в корневых каталогах дисков скрытый файл трояна (без названия) с расширением .scr;
- при открытии/подключении локальных/съемных дисков троян копируется на незаражённые носители;
- производит скрытый вызов следующих системных dll-библиотек: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT.DLL.
Маскируется троян в системе следующим образом:
- Скрывает отображение «скрытых файлов и папок»
- Скрывает отображение расширений файлов
- Делает недоступным пункт меню «Свойства папки»
- Запрещает запуск «редактора реестра»’
- Блокирует установку антивируса
- Блокирует запуск утилит настройки системы
- Настраивает разделы реестра так, что файл flash.scr выглядит как обычная папка
Распознавание трояна антивирусами[править | править код]
Различные антивирусы распознают его по-разному:
- Avira AntiVir — TR/Dldr.VB.bnp;
- Avast — Win32:Trojan-gen;
- AVG — Downloader.VB.AIM;
- BitDefender — Trojan.Downloader.VB.VKV;
- ClamAV — Trojan.Downloader-15571;
- DrWeb — Win32.HLLW.Kati;
- Eset NOD32 — Win32/VB.NNJ worm;
- F-Secure Anti-Virus — Trojan-Downloader.Win32.VB.bnp;
- Антивирус Касперского — Trojan-Downloader.Win32.VB.bnp;
- McAfee — Downloader.gen.a;
- Panda Security — W32/Penetrator.A.worm;
- VBA32 — Trojan-Downloader.Win32.VB.bnp.
Примечания[править | править код]
Ссылки[править | править код]
- Результат проверки на VirusTotal
- Как уничтожить вирус Penetrator
Источник