csrcs.exe
autorun.inf
C:\Documents and Settings\All Users\Документы\
(random_name.exe) vupohn.exe
Метка вируса, файл нулевой длинны "khq" с атрибутами скрытый системный.
Запрещает отображение скрытых файлов.
Запуск с системой обеспечивает себе с помощью ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe csrcs.exe
Создает файлы метки в корне локальных дисков, файлы нулевой длинны (пустые) под названием "khq"
Расспостраняется по сети посредством сканирования удаленных хостов и наличия на них открытого tcp\445 порта.
При присоеденении "чистого" USB Flash-накопителя, копирует свое тело и файл запуска (random_name.exe) vupohn.exe и Autorun.inf в корень USB-Flash
Инструкция автозапуска червя Autorun.inf:
************************************************************************
;mXpYfEQUwdKBttgvjkFhKvsULyX
[AutoRun]
;NPsmncvgzTJyRupJEokYetVlaBmeEqFypoIo
open=vupohn.exe
;CavACCePgwwWaWWInPpJDFpkOpOQg
shell\open\Command=vupohn.exe
;KFLJhzZFykRMxZXGlcTjHIOApFwYvJfaxALtYGd
shell\open\Default=1
;45F27A231FB5BAE1D81F01290841BED88E8F0F9AB727D2C7BFC81571
;sDCckNLMacnSONhKQrsbavhOKwnuBhBGhiMTgCJJqmCrccPlABXMiyRGJqRBZMxglSG
shell\explore\Command=vupohn.exe
;siGDcPSwxsgsaZIIrSEIFjCXfZqBcgluRCpFHwnFGCvKvEJnLePSlBtqMzobfWCDLAtyW
**********************************************************************
Если убрать мусор то получается вот такая инструкция автозапуска:
[AutoRun]
open=vupohn.exe
shell\open\Command=vupohn.exe
shell\open\Default=1
shell\explore\Command=vupohn.exe
ЛЕЧЕНИЕ:
1) Отключаем сеть! (выдергиваем сетевой кабель из карты)
2) Отключаем восстановление системы идем по пути ПУСК>СВОЙСТВА МОЙ КОМПЬЮТЕР>ВКЛАДКА ВОССТАНОВЛЕНИЕ СИСТЕМЫ>СТАВИМ ГАЛКУ НА "ОТКЛЮЧИТЬ ВОССТАНОВЛЕНИЕ СИСТЕМЫ НА ВСЕХ ДИСКАХ" нажимаем ОК
3) Завершаем в ручную в "Диспетчере задач" процесс "csrcs.exe" Иначе не даст себя удалить в папке \system32
4) Так как отображение скрытых файлов заблокированно червем, нужно это дело восстановить. Качаем AVZ 4.3
Запускаем ее, далее кликаем > файл>восстановление системы>ставим галочку на пункте №8 и нажимаем "Выполнить отмеченные операции" дожидаемся окончания выполнения задачи, закрываем программу.
Отображение скрытых файлов восстановлено.
5) Далее заходим в любую папку, кликаем сервис > свойства папки > вкладка "Вид" ставим галку на "Отображать содержимое системных папок" > убираем галку на "Скрывать защищенные системные файлы" > ставим галку на "Показывать скрытые файлы и папки" > убираем галку на "Скрывать расширения для зарегестрированных типов файлов" и нажимаем "ОК" Теперь мы видим срытые файлы и системные папки.
6) Идем по пути Пуск>Мой компьютер>Локальный диск С:\WINDOWS\system32\
Находим и удаляем файл червя csrcs.exe (не перепутайте с csrss.exe это системный файл!!)
7) Удаляем все точки восстановления системы (Загружаемся из под Windows Live CD Качаем например Hiren's BootCD 9.8 в нем есть Windows Live CD При загрузке Hiren'sa его можно выбрать для запуска, на мой взгляд самый быстрый. После загрузки Windows Live CD заходим в корень каждого локального диска в папку "System Volume Information" и полностью удаляем содержимое папки)
8) Далее качаем файл реестра, для отключения автозапуска с флешек ЗДЕСЬ Нажимаем на него двойным кликом, и соглашаемся с внесением изменений в реестр системы нажатием на кнопку "ОК" После этого обязательно перезагружаем систему!!!
9) Присоединяем флешки к компьютеру, которые как Вы думаете могут быть заражены.
10) Открываем флешку, и смотрим ее на предмет зараженности.
Ищем и удаляем в корне флеш накопителя файл запуска вируса "Autorun.inf"
Ищем и удаляем в корне флеш накопителя файл наподобии "vupohn.exe" (случайное имя.ехе)
11) Заходим на каждый раздел жесткого диска и удаляем файлы под названием "khq"
12) Далее правим ключи реестра которые изменил червь:
HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe csrcs.exe на
HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
Имя Shell тип REG_SZ значение Explorer.exe (нажимаем на имени Shell правой клавишей, кликаем "Изменить" и оставляем в поле только значение Explorer.exe)
Если боитесь страшного слова "СИСТЕМНЫЙ РЕЕСТР" можете воспользоваться написанным мною скриптом, для восстановления изменений в реестре сделанных червем, скачать ЗДЕСЬ
Если не почистить реестр в ручную или не исправить ключ реестра с помощью скрипта то при каждом запуске Windows система будет выдавать сообщение
13) Включаем восстановление системы.
14) Перезагружаем операционную систему.
Все система чиста!
Профилактика:
Просто скачайте и установите в систему и на флеш накопители мою последнюю версию комплексной защиты против вирусов типа Autoruner ЗДЕСЬ
К слову данный червь, ломает зубы об мою защиту! атрибуты скрытый системный снимает с защитной папки Autorun.inf а вот удалить ее не может :) копирует на флешку только себя, но толку? Заразить он уже не сможет систему без файла запуска, он будет просто тихонечко лежать до ближайшего антивируса :)
Профилактика для скептиков относительно моей защиты ЗДЕСЬ :)
© Нестеров Игорь Владимирович 2009 год
