Удаление вируса autorun.inf - Лучший Форум Garena
Суббота, 21.01.2017, 22:36
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Лучший Форум Garena » Мусорка » Корзина [Архив] » Удаление вируса autorun.inf
Удаление вируса autorun.inf
energeticДата: Суббота, 20.11.2010, 13:15 | Сообщение # 1
Воин
Группа: Гл.Администратор
Сообщений: 371
Награды: 1
Репутация: 28
Статус:
Я думаю приведенный пример будет полезен всем новичкам. В виду того что этих вирусов (типо autorun.inf) заражающих флешки, щас развелось не мало и у людей возникают много вопросов и проблем с их удалением, решил написать что то вроде мини статьи о том как я сегодня обнаружил и удалил подобный вирус. Придя уставший с универа, захотелось мне послушать музыки на своем ноуте, захожу Мой компьютер>Локальный диск С: и, опа, замечаю что Диск открылся в новом окошке. Хм подумал я , вроде бы в настройках Вида я неотмечал открытие каждой папки в новом окне. И тут я вспомнил, что пару дней назад я что то кому то записывал на флешку Стоп! Вроде бы автозапуск через политику локального компьютера я отменил. Дык, так это же на домашнем компе... Стало понятно что компьютер заражен. Обычно подобные вирусы добавляли новую запись в меню открытия диска (что то вроде Open (0)) а тут надо же, все как положено. Пошел дальше захотел проверить autorun.inf, Указываю отображение скрытых файлов и нифига ничего не меняется.

Хочу снова поставить галочку на отображение скрытых файлов в меню Сервис>Свойства Папки>Вид и замечаю что кто то ее переставляет на "Не показывать скрытый файлы и папки" я улыбнулся в ответ стало как то очень интересно. Умный вирус, отметил я для себя. Идем дальше...Проверяю список процессов через Ctrl+Alt+Del ( taskmgr ) и... хм, ничего лишнего вроде в процессах не висит. Проверяю известные пути Автозапуска через regedit.exe и там все чисто.

Ну очень мне захотелось посмотреть на скрытые файлы в диске С:, я поступил так, открыл cmd.exe набрал команду dir c:\ /A (просмотр файлов со всевозможными атрибутами) и увидел autorun.inf, захотел посмотреть в него, набрал команду: type c:\autorun.inf там была ссылка на некий файл utdetect.com который кстати лежал там же на диске C:\. Файл имел атрибут скрытый+системный и просто командой del c:\utdetect.com его не удалить, для это сперва нужно снять эти атрибуты командой: attrib -S -H c:\utdetect.com, затем я его удалил командой del /F c:\utdetect.com. через несколько секунд он опять оказался там же, что и следовало ожидать. Из всего этого я сделал следующие выводы: Вирус поместил в память процесс либо код который постоянно следит за сохранностью файлов utdetect.com и autorun.inf на всех дисках системы. Мало того возможно в нем реализован перехват API функций для скрытия ключей реестра и списка процессов ну и заражения активных процессов, методом внедрение в процесс через WriteProccessMemory. Понял что подручными средствами тут не обойтись, а антивируса у меня на ноуте нет, нагружает и без того мой нагруженный старенький ноут.

Первым делом решил проверить файл utdetect.com на сайте www.viruslist.com, файл оказался вирусом Trojan-PSW.Win32.OnLineGames.jtn но о том как от него избавиться ничего сказано не было, как в прочем и гугл ничего полезного сказать о нем несмог. Решил избавляться самостоятельно, с сайта Майкрософт скачал программу от Sysinternals (написанную Марком Русиновичем) Autoruns (программа отображает все возможные места автозапуска программ драйверов и т.д.) оттуда же за компанию для детального анализа решил скачать Process Explorer (показывает детальную информацию об активных процессах) и Process Monitor (следит за дейстиями всех процессов в системе такими как:
Обращение к реестру, файловой системе и т.д.) Для начала я решил зайти в реестр и вернуть все таки галочку на "показывать скрытый файлы и папки" вручную. Изменил параметр

Код:

Code
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Explorer\Advanced\Hiden = 00000001.

Опять ничего не поменялось. Загрузил Process Monitor настроил фильтр на обращение к реестру и заметил что процесс Explorer.exe каждые 10 секунд (я стал засекать ) меняет этот параметр в значение 00000002 т.е. изменить его не получиться покрайней мере пока процесс Explorer.exe активен. Кроме того он перезаписывал еще 3 значения в реестре, но я не стал пока обращать на них внимание. Стало понятно, что покрайней мере этот процесс заражен вирусом точно.

Решил покопаться в нем запустил Process Explorer и в списке подгруженных к процессу библиотек заметил одну странную библиотеку с названием avpo0.dll ( странной она мне показалась, во-первых на ней отсутствовала подписть "Корпорация Майрософт" во - вторых название очень странное, "avp" - обычно называется процесс антивируса, а раз его у меня нет, тогда кому кроме вируса понадобится прятаться под его именем? =) Через "Find Dll" в меню ProcessExplorer'a я заметил что кроме Explorer.exe библиотека так же подгружена еще к некоторым процессам. В списке был и сам ProcessExplorer не было там только процесса cmd.exe спрашивается почему? Ответ прост потому что cmd.exe консольное приложение и не создает окна, значит в вирусе стоит Хук на создание окна, т.о. он подгружается ко всем "оконным" процессам. Довольно простой и распространенный метод внедрения DLL. Я даже немного разочаровался. Далее запустил программу Autoruns и в списке загружаемых из разных мест приложений заметил некие файл avpo.exe ну ясно почему я его заметил ;-) Видимо это и есть загрузчик библиотеки, который подгружает ее к explorer.exe.

На этом можно сказать самое интересное закончилось, вирус обнаружен теперь осталось его удалить, а сделать это оказалось совсем не трудно. Во-первых, я все же отключил автозапуск дисков через

Код:
[Пуск>Выполнить>gpedit.msc>Политика "локальный компьютер">Конфигурация компьютера>Административные шаблоны>Система>Отключить автозапуск]
изменил на "Включено".

Далее удалил через программу Autoruns ветку реестра которая загружала файл avpo.exe. Перезагрузил компьютер, затем через cmd удалил
C:\utdetect.com;
c:\autorun.inf; (замечу что у меня на ноуте только один диск С:\, иначе пришлось бы удалять со всех дисков)
C:\Windows\system32\avpo.exe;
c:\windows\system32\avpo0.dll

предварительно сняв с них атрибут "системный". Перезагрузил компьютер, но Explorer так и не захотел показывать мне скрытые файлы, Значит вирус где то, что то поменял таким образом. И тут я вспомнил про те оставшиеся 3 параметра которые обновлял вирус через каждые 10 секунд. Эти параметры “регулировали” переключатели “показывать/не показывать скрытые файлы и папки” в меню Сервис>Свойства Папки Explorer'a. Я поступил самым простым способом, благо под рукой оказался компьютер со стерильной виндой я тупо скопировал весь раздел

Код:

Code
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Explorer\Advanced\Folder\Hidden

и перенес его на свой ноут. Внимательно посмотрев на весь этот раздел я был весьма удивлен, как легко можно запретить Explorer'у отображение скрытых файлов достаточно поменять значение параметра

Код:

Code
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedVal ue
с 00000001 на 00000002,
и все после этого любые попытки поставить галочку на “Показывать скрытые файлы и папки” ничего не даст (стоить взять это на заметку)
 
Лучший Форум Garena » Мусорка » Корзина [Архив] » Удаление вируса autorun.inf
Страница 1 из 11
Поиск: