Автор Тема: Как уничтожить вирус Penetrator и как устранить его деструктивные последствия  (Прочитано 4949 раз)

0 Пользователей и 1 Гость просматривают эту тему.

SysAdmin

  • Global Moderator
  • Newbie
  • *****
  • Сообщений: 40
    • Просмотр профиля
Как уничтожить вирус Penetrator и как устранить деструктивные последствия этого вируса.
Вирус загружается даже в Безопасном режиме (Safe Mode), поэтому пытаться лечить ПК, когда загружена ОС с резидентным вирусом, – бессмысленное занятие!
1. Отключите ПК от локальной и Глобальной сетей.
2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.
3. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске).
4. Поскольку у файлов вируса установлен атрибут Скрытый, чтобы найти их и уничтожить:– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
5. Удалите (если их не уничтожил антивирус) файлы flash.scr, .scr и .exe.
6. Удалите (если их не уничтожил антивирус) следующие файлы:– \WINDOWS\system32\DETER177\lsass.exe (удалите файл вместе с папкой DETER177);– \WINDOWS\system32\DETER177\smss.exe (удалите файл вместе с папкой DETER177);– \WINDOWS\system32\DETER177\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);– \WINDOWS\system32\AHTOMSYS19.exe;– \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);– \WINDOWS\system32\psador18.dll;– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\\Local Settings\Application Data\Microsoft\Windows; Windows Vista – \Users\Master\AppData\Local\Microsoft\Windows\Burn).
7. Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами). После первого запуска Word'а, он будет создан заново.
8. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe;– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то :\Windows\system32\userinit.exe,);– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковые (REG_SZ) параметры lsass со значением C:\WINDOWS\system32\DETER177\lsass.exe и сtfmоn.exe со значением C:\WINDOWS\system32\сtfmon.exe;– закройте Редактор реестра.
9. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.
10. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?).Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается.