Як я вручну боровся з вірусом, спамящім всюди tmp-файлами і створює autorun-и в коренях дисків,
Попався мені в руки файл формату pif. Це ярлик до програми MS-DOS, як описує його сама Windows. Назва він мав таке ж, як і назва папки, в якій лежав. Оскільки папка була отримана через Яндекс.Діск від знайомого (у нього, як і у мене антивірус на системі не встановлений), я, нічого не запідозривши, а точніше - не встигнувши розгледіти як слід цей об'єкт файлової системи, випадково запустив його. Коли зрозумів, що запустив, було вже пізно. Я запакував цю папку в zip-архів і відправив на сканування на VirusTotal. Ось результат.
- 1. Створення в папках System32, Windows і призначеної для користувача папки темпу (% tmp%) своїх файлів;
- 2. Запуск цих файлів;
- 3. Створення в корені всіх наявних дисків своїх файлів;
- 4. Заборона на редагування реєстру;
- 5. Заборона на відображення прихованих файлів і папок;
- 6. Створення у всіх мережевих папках всіх комп'ютерів, які він знайде по мережі виконуваних файлів і rar-архівів з назвою батьківської папки;
- 7. Безперервний спам темповими файлами (Мають розширення «tmp») в ті ж мережеві папки.
Перед початком цієї частини статті хотів би звернути увагу на те, що всі подальші дії з видалення файлів і завершення процесів ви робите абсолютно на свій страх і ризик. Переконливе прохання: якщо ви не впевнені в тому, підозрілий це файл, пошукайте спершу його назву в пошуковій системі, щоб випадково не видалити системний файл, такий як «ctfmon.exe», «csrss.exe» або «lsass.exe».
Хоч досвід з видалення такого вірусу в мене вже був (знайомий заразив їм свій комп'ютер трохи раніше), все ж я пішов в Яндекс, щоб подивитися, як знищує його народ. Назв у цього вірусу виявилося, як завжди, дуже багато. Ось як називають його найвідоміші антивіруси:
- AVG - Generic_r.TT;
- Ad-Aware - Trojan.Dropper.VIO;
- Agnitum - Trojan.MulDrop! 4ElCgmJSsOY;
- Avast - Win32: Chydo [Drp];
- Comodo - Worm.Win32.AutoRunAgent.TV2;
- DrWeb - Trojan.MulDrop5.14836;
- ESET-NOD32 - Win32 / AutoRun.Agent.TV;
- Kaspersky - Worm.Win32.AutoRun.iea;
- Microsoft - TrojanDropper: Win32 / Pykspa.A ...
Усі інші назви ви зможете побачити, перейшовши за посиланням на VirusTotal, зазначеної в першій частині статті. Ввівши в пошуку Яндекса по черзі то одне, то інше назву і переглядаючи результати пошуку, я так і не знайшов опису нормального способу позбавлення від цього вірусу, тому вирішив написати цю статтю.