zlava (zlava) wrote,
zlava
zlava

его зовут runauto.. просто runauto с двумя точками

лечил вируса.

передается через флешки. характерная примета — в корне каждого диска (жесктого, гибкого, съемного flash) имеются скрытые и системные файл autorun.inf и папка runauto... (видно только две точки, т.к. третья вопринимается как разделитель имени и расширения).

Symantec называет его VBS.Runauto и вроде умеет лечить. так же по рассказам делают NOD32 и McAfee. Касперский по слухам не лечит.

UPD от 13 февраля 2008. по последним данным, которые цитировать лень, любой свежий антивирус с обновленными базами успешно справляется с этим вирусом.

паразит срет не по-детски.
1. подменяет собой lsass.exe и cmd.exe.
2. стирает также подменяет msconfig.exe и regedit.exe
3. имеет закадычного другана C:\WINDOWS\setuprs1.PIF, который прописывается в реестр как дебаггер для консоли настройки, редактора реестра и командной строки.
4. наверное, траффик гоняет, раз lsass.exe…

таким образом:
1. перестают заводится (все подряд или в различных сочетаниях): msconfig.exe, cmd.exe, regedit.exe.
2. у народа наблюдались кракозябры с иероглифами в контекстном меню системного диска, вызванного правой кнопкой из Проводника.
3. народ жалуется на невозможность записи R- и RW-болванок.

заражение происходит, естественно, в момент подключения флешки. папка runauto... не удаляется ни в штатном режиме, ни в безопасном режиме, ни из-под DOS. имеется мнение: потому что эти две системы не знают, что папки могут быть названы таким образом.

избавление от вируса происходит следующим образом:
0. отключить восстановление системы (Пуск > Панель управления > Система > Восстановление системы > Поставить галку на «Отключить восстановление системы на всех дисках»).
1. удалить файлы autorun.inf из корня всех дисков.
2. удалить C:\WINDOWS\setuprs1.PIF.
3. в редакторе реестра (слава богу, у меня он завелся; на остальной случай — любой LiveCD, надо полагать) найти и удалить параметр "Debugger"=setuprs1.PIF. особенно искать здесь:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
а именно:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
и прочая.
4. из косоли (то же, что и в п. 3 — у меня видать не до конца заразилося) запустить:
rd c:\runauto...\ /s /q, где «с» — буква диска.
то есть запустить несколько раз, для каждого из дисков.

наши жолтокожие соседи написали скрипт, который вычищает систему от засранца. но этот скрипт, естественно, весь в иероглифах (надо думать, в настоящих), так что единственная польза — посмотреть, чего надо чистить (и написать свой).

да пребудет с нами со всеми Google.

хотя он и не может найти англоговорящую нормальную версию этого скрипта.

UPD 1 хрена лысого. эта сволочь так и осталась. восстанавливается. запускается как процесс lsass.exe — из директории WINDOWS. на самом-то деле приличный lsass запускается из WINDOWS\system32. в общем, маскируется, сцуко. так же плодит дубли под именами regedit.exe.exe и cmd.exe.exe. естественно, запускает эти программы под собственным контролем. то есть любые правки реестра возвращаются на место.

hijackthis не помогает…

UPD 2 несмотря на уверения Symantec'a — не видит нифига.

а вот Dr.Web нашел сразу же. по ихнему он называется BackDoor.Kais. найти — нашел, но вылечить не смог :P

зато на их форуме есть совсем железобетонные рекомендации по удалению:

1. Удалить все файлы autorun.inf в корне всех логических дисков.
2. В безопасном режиме сделать полную проверку всех логических дисков DrWeb 4.33.2 с последними базами.
3. Загрузиться с дискеты с DOS (если FAT32) или с дискеты с CIA Commander 1.0a (если NTFS) либо с дискеты с DOS с драйвером, дающим доступ к разделам NTFS.
4. Попытаться удалить папку runauto.. либо переименовать.
5. Загрузиться с CD с дистрибутивом Windows и установить поверх (режим восстановления).
6. После нормальной загрузки системы, задать полную проверку диска С: и перезагрузить компьютер.
7. После завершения проверки и нормальной загрузки, удалить папку (папки) с именами found.000 и так далее.
8. Для других (не системных) логических дисков потребуются аналогичные манипуляции (см. п.3, 4). Полная проверка происходит без перезагрузки. Далее п.7.
9. Для восстановления работоспособности таких программ, как: cmd.exe, regedit.exe, msconfig.exe и возможно какие другие, с помощью утилиты AVZ или любой другой сторонней программы, умеющей редактировать реестр, удалить следующий ключ(ключи) по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
Аналогично для cmd.exe, msconfig.exe и других (если есть проблемы).
Кстати, для удаления других ключей, уже можно будет воспользоваться regedit.exe

И последнее. Полезно отключить возможность автозапуска для всех дисков в реестре:
---------------------------------------------------------------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff
-------------------------------------------------------------------------------------------

конец цитаты.

все идет к постепенному format c: ты-дыщ ты-дыщ ты-дыщ :(

требую отдельный компутер под Linux'ом!!! — флешки проверять :) потому что через годик никакого спасу от этого говна не будет: ибо флеш-девайсов становится все больше и больше…

и что же, после каждого подрядчика/заказчика/журнолюги/знакомого/дитяти-меломана предлагается «грузиться с CD с дистрибутивом Windows и установить поверх (режим восстановления)»? потому что пока Microsoft основательно эту дыру заткнет — во все мире на каждом компутере на каждом разделе винта будет болтаться runauto... на пару с autorun.inf. а CD-ROM ни у кого не работает! :)

UPD 3 в общем, поступил как умный петя вася вова слава. прочитал, чего там в этом скрипте китайском помимо иероглифов написано, и сделал все то же самое, но вручную :) а именно:

0. уходим в безопасный режим.

1. в Far'е нажимаем Ctrl+N, чем заставляем его выдавать имена в формате 8+3. такой режим можно и в Total Commander'е сделать. но в Far'е как-то кашернее :)

2. убиваем всю сволочь. то есть:
2.1. в корнях разделов: папки runauto... (RU-NAUTO — понимаешь, русский матрос, елки-палки) и файлы autorun.inf и все их возможные модификации: может быть autorun.inf.tmp, может быть «папка» autorun.inf, может быть «папка» autorun.inf.tmp…
2.2. где не надо: С:\WINDOWS\lsass.exe, С:\WINDOWS\cmd.exe.exe, С:\WINDOWS\regedit.exe.exe…

3. чистим реестр (я взял утилиту RegWorks), удаляя:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe — параметр Debugger
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe — параметр Debugger
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List — параметр C:\WINDOWS\lsass.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List — параметр C:\WINDOWS\lsass.exe

этта херня, прадва, удаляться не захотела:
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KKDC
HKLM\SYSTEM\ControlSet001\Services\kkdc
HKLM\SYSTEM\ControlSet002\Services\kkdc
HKLM\SYSTEM\ControlSet003\Services\kkdc
HKLM\SYSTEM\CurrentControlSet\Services\kkdc

скрипт велит удалять, но у меня такого не было:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — параметр SVOHOST

заменяем:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue
на
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL — параметр CheckedValue, формат reg_dword, значение 1 (десятиричное).

заодно запрещаем на будущее автозапуск всяких дисков, флешек и прочего:
в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
создаем два параметра:
NoDriveTypeAutoRun, формат reg_dword, значение 000000ff (шестнадцатиричное);
NoDriveAutoRun, формат reg_dword, значение 03ffffff (шестнадцатиричное).

4. проверяем, ничего ли мы не забыли и у всех ли все есть, и перезагружаемся в нормальный режим.

так-то вот. msconfig.exe у меня ожила. а cmd.exe стало иметь тот вид, который надо ей иметь (то есть вроде никто не перехватывает). с чем всех и поздравляю. надо, наверное, написать-таки BAT… на будущее… м-да…

с перерывами угрохал часов семь. жуть какая.
Tags: вирусы, памятки
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 68 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →