Як боротися з вірусом penetrator
Penetrator є нерезидентний вірус, що відноситься до розряду malware. Історія його створення і поширення досить незвичайна. Як стверджується, він був створений 20-річним російським програмістом, якого покинула кохана дівчина, а той вирішив помститися і їй, і всьому комп`ютерному цифрового світу. Про це вірус вперше заговорили в 2008 році, причому, тільки через те, що його дія не маскувався, як у більшості відомих загроз, працюючи у фоновому режимі, а діяло на очах у користувача. Такого нахабства витримати не зміг ніхто.
Зміст
Як боротися з вірусом Penetrator
Як стверджується вірус, судячи по тілу і діям, які він виробляє в системі, написаний явно новачком. Справа в тому, що дія вірусу було подібно запуску виконуваного файлу. При запуску він впроваджується в систему в режимі автозавантаження, після чого знищує мультимедійні файли типу MP3, картинки форматів JPG або JPEG замінює на чорні зображення з вірусною підписом, а текстові фрагменти в офісних документах типу Word, Excel або Power Point замінюються на відверто ненормативну лексику. Крім того, вірус постійно висить в оперативній пам`яті. І треба бути досить сильним фахівцем, щоб знати, як видалити вірус з оперативної пам`яті.
В принципі, для боротьби з цим явищем підійде самий звичайний стаціонарний або портативний антивірус з оновленими базами сигнатур. Абсолютно всі антивірусні програми здатні його ідентифікувати і зупинити деструктивну дію. Це стосується автоматичного режиму сканування або спрацьовування програми після зараження. Найцікавіше, що поширюється вірус зазвичай через запуск маскуються скрінсейверов (розширення SCR), рідше - у вигляді музичних файлів MP3. І найбільш частим проникненням можна назвати навіть не Інтернет, а знімні Flash-носії.
Тепер інформація для тих, хто знає толк в системних файлах і настройках реєстру. Після проникнення в систему, вірус створює наступні файли:
WINDOWSsystem32deter * lsass.exe (на відміну від справжнього lsass.exe, в папці WINDOWSsystem32) - WINDOWSsystem32deter * smss.exe (на відміну від справжнього smss.exe, в папці WINDOWSsystem32) - WINDOWSsystem32deter * svсhоst.exe (букви «с» і « о »- кириличні, на відміну від справжнього svchost.exe) - WINDOWSsystem32ahtomsys * .exe (типу ahtomsys19.exe).
WINDOWSsystem32сtfmоn.exe (букви «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe).
Крім того, необхідно звернути особливу увагу на системний реєстр, в якому вірус може прописувати власні, повністю відмінні від оригінальних REG_SZ-параметри Shell і Userinit розділу [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]. У той же час, файли типу ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe прописуються і в автозагрзуке. В даному випадку необхідно переглянути розділ [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Якщо стандартний антивірус не зміг вам допомогти, є кілька способів видалення загрози в ручному режимі.
- Видаліть файли «ім`я_папки» .scr і «ім`я_папки» .exe.
- Видаліть (якщо не знищені) файли:
WINDOWSsystem32deter * lsass.exe (видаліть файл разом з папкою deter *) -
WINDOWSsystem32deter * smss.exe (разом з папкою deter *) -
WINDOWSsystem32deter * svсhоst.exe (разом з папкою deter *) -
WINDOWSsystem32ahtomsys * .exe-
Відео: Як боротися з вірусом mvd.ru?
WINDOWSsystem32сtfmоn.exe (букви «с» і «о» - кириличні, на відміну від справжнього ctfmon.exe) -
WINDOWSsystem32psagor * .exe (або psagor * .sys, або psagor * .dll).
- Перевірте розділ системного реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
REG_SZ-параметр Shell повинен мати значення Explorer.exe-
REG_SZ-параметр Userinit повинен мати значення C: WINDOWSSystem32userinit.exe.
- Видаліть з автозавантаження файли ahtomsys * .exe, лже-сtfmоn.exe і psagor * .exe (розділ системного реєстру [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Відео: Як перевірити комп`ютер на віруси
- Видаліть шаблон Normal.dot (для документів Microsoft Office).
Крім того, можна використовувати безліч програм для відновлення даних, які були знищені вірусом. За відгуками користувачів і виробників захисного і відновного програмного забезпечення, можна відновити до 80% зараженої або видаленої інформації.
