KakUaFaq.ru

Як боротися з вірусом penetrator

Penetrator є нерезидентний вірус, що відноситься до розряду malware. Історія його створення і поширення досить незвичайна. Як стверджується, він був створений 20-річним російським програмістом, якого покинула кохана дівчина, а той вирішив помститися і їй, і всьому комп`ютерному цифрового світу. Про це вірус вперше заговорили в 2008 році, причому, тільки через те, що його дія не маскувався, як у більшості відомих загроз, працюючи у фоновому режимі, а діяло на очах у користувача. Такого нахабства витримати не зміг ніхто.

 Як боротися з вірусом Penetrator

Як стверджується вірус, судячи по тілу і діям, які він виробляє в системі, написаний явно новачком. Справа в тому, що дія вірусу було подібно запуску виконуваного файлу. При запуску він впроваджується в систему в режимі автозавантаження, після чого знищує мультимедійні файли типу MP3, картинки форматів JPG або JPEG замінює на чорні зображення з вірусною підписом, а текстові фрагменти в офісних документах типу Word, Excel або Power Point замінюються на відверто ненормативну лексику. Крім того, вірус постійно висить в оперативній пам`яті. І треба бути досить сильним фахівцем, щоб знати, як видалити вірус з оперативної пам`яті.

В принципі, для боротьби з цим явищем підійде самий звичайний стаціонарний або портативний антивірус з оновленими базами сигнатур. Абсолютно всі антивірусні програми здатні його ідентифікувати і зупинити деструктивну дію. Це стосується автоматичного режиму сканування або спрацьовування програми після зараження. Найцікавіше, що поширюється вірус зазвичай через запуск маскуються скрінсейверов (розширення SCR), рідше - у вигляді музичних файлів MP3. І найбільш частим проникненням можна назвати навіть не Інтернет, а знімні Flash-носії.

Тепер інформація для тих, хто знає толк в системних файлах і настройках реєстру. Після проникнення в систему, вірус створює наступні файли:

WINDOWSsystem32deter * lsass.exe (на відміну від справжнього lsass.exe, в папці WINDOWSsystem32) - WINDOWSsystem32deter * smss.exe (на відміну від справжнього smss.exe, в папці WINDOWSsystem32) - WINDOWSsystem32deter * svсhоst.exe (букви «с» і « о »- кириличні, на відміну від справжнього svchost.exe) - WINDOWSsystem32ahtomsys * .exe (типу ahtomsys19.exe).

WINDOWSsystem32сtfmоn.exe (букви «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe).

Крім того, необхідно звернути особливу увагу на системний реєстр, в якому вірус може прописувати власні, повністю відмінні від оригінальних REG_SZ-параметри Shell і Userinit розділу [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]. У той же час, файли типу ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe прописуються і в автозагрзуке. В даному випадку необхідно переглянути розділ [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

Якщо стандартний антивірус не зміг вам допомогти, є кілька способів видалення загрози в ручному режимі.

- Видаліть файли «ім`я_папки» .scr і «ім`я_папки» .exe.

- Видаліть (якщо не знищені) файли:

WINDOWSsystem32deter * lsass.exe (видаліть файл разом з папкою deter *) -

WINDOWSsystem32deter * smss.exe (разом з папкою deter *) -

WINDOWSsystem32deter * svсhоst.exe (разом з папкою deter *) -

WINDOWSsystem32ahtomsys * .exe-

Відео: Як боротися з вірусом mvd.ru?

WINDOWSsystem32сtfmоn.exe (букви «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe) -

WINDOWSsystem32psagor * .exe (або psagor * .sys, або psagor * .dll).

- Перевірте розділ системного реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:

REG_SZ-параметр Shell повинен мати значення Explorer.exe-

REG_SZ-параметр Userinit повинен мати значення C: WINDOWSSystem32userinit.exe.

- Видаліть з автозавантаження файли ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe (розділ системного реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

Відео: Як перевірити комп`ютер на віруси

- Видаліть шаблон Normal.dot (для документів Microsoft Office).

Крім того, можна використовувати безліч програм для відновлення даних, які були знищені вірусом. За відгуками користувачів і виробників захисного і відновного програмного забезпечення, можна відновити до 80% зараженої або видаленої інформації.

Поділитися в соц мережах:

Увага, тільки СЬОГОДНІ!
Схожі

Увага, тільки СЬОГОДНІ!
» » Як боротися з вірусом penetrator