->

воскресенье, 15 мая 2011 г.

Свежая порция вирусов.

Чегойто меня зацепило по этой теме...

Сегодня встретил еще один интересный экземпляр вируса. И заодно проверил две прекрасных вещицы (Process Hacker и 2IP StartGuard).
  • 2IP StartGuard - программа защищающая реестр (испытывал в поисках защиты от вируса winlock). Это утилита сообщающая о том что какой-то файл записыват свои данные в реестр для дальнейшей загрузки вместе с windows. Действие можно запретить или разрешить. Но вирус то уже загружен на комп, а значит надо проводить чистку. Но как сигнализация - достаточно неплохо :)).
  • Process Hacker - программа позволяющая работать с процессами, запущенными на компьютере (оказался под рукой в также в ожидании тестирования). Об этой программе я где то в форумах вычитал.
Вобще в последнее время ко мне на комп (а я иногда специально ползаю по всяким серфингам в поисках вирусов :) когда скучно) вирусы проникают посредством дыры в файлах PDF. Я даже себе где то сохранил такой зараженный файлик. Так что имеет смысл подумать какой программой пользоваться при открытии pdf файлов, взятых в интернет.
Ну ладно, перейдем к делу.

Как было:
Выдает мне 2IP StartGuard окошко, что мол процесс smss желает записать в ветку автоматического запуска свою ссылочку.

И вроде файлик то системный (есть в папке систем32 с таким же названием), но чего ему в автозагрузке надо - это подозрительно (это файл службы и запускается он совершенно по другому). Да и расположен он где то не там, в "documents and settings".
Пошел посмотреть и вижу двух красавцев: smss.exe и lsass.exe и созданный ими файлик readme.txt. Оба иполняемых файла - скрытые. И в свойствах у них написана всякая бредятина.

Торчат два этих файла в папке "C:\Documents and Settings\"Здесь ваш аккаунт"\Application Data". На досуге можете посмотреть, если там есть такие экземпляры, можете смело начинать лечение.
Удаление файла smss.exe невозможно, поскольку процесс запущен. Выгрузить процесс из памяти системными средствами тоже не представляется возможным. 
Тогда я вспомнил о программе Process Hacker. Запустил и все свершилось в ближайшие минуты.
Вот как выглядят два процесса с одинаковым именем, в окне Process Hacker:
Рисунок немного подредактирован (сократил список отображаемых процессов, по факту список будет гораздо больше). На рисунке выделены два процесса, стандартный (в синем поле) и вирусный (в желтом поле). Кликаем правой клавишей мыши на вирусном процессе и выбираем команду "Terminate" (первая в списке).
Далее просто удаляем три файла (smss.exe, lsass.exe и readme.txt)  из C:\Documents and Settings\"Здесь ваш аккаунт"\Application Data.
На всякий случай (если вирус уже проник) проверяем ветку реестра HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run и удаляем оттуда ссылку на smss.exe.
Перезагрузка завершает процесс.
Кстати, cureit! опять же не видит проблем в файлах, но он-лайн проверка на сайте касперского четко определила в smss.exe вирус:
P.S. Не знаю выставлять ли на всеобщее обозрение сслыки для скачивания программ.. Думаю организовать чего нить типа отдельной страницы для выкладывания нужного ПО, чтоли...