Как удалить вирус который создает exe scr pif файлы
Как происходит заражение
Средства распространения вируса – Интернет, flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки. scr или имя_папки. exe.
Кроме этого, вирус создает следующие файлы:
• WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке WINDOWSsystem32);
• WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке WINDOWSsystem32);
• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);
• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe);
• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).
Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.
Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon].
Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Как устранить деструктивные последствия вируса
1. Проверьте винчестер надежным антивирусом со свежими базами.
2. Удалите (если их не уничтожил антивирус) файлы имя_папки. scr и имя_папки. exe.
3. Удалите (если их не уничтожил антивирус) следующие файлы:
• WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);
• WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*);
• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*);
• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe);
• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).
4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:
• REG_SZ-параметр Shell должен иметь значение Explorer.exe;
• REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe,
5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).
6. Удалите шаблон Normal.dot (см. Как бороться с макровирусами?) .
7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?) .
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация! ) восстановить удастся.
Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.
Примечания
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус? ) с регулярно (не менее одного раза в неделю! ) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?) .
4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также на
Format c
это 100 процентный вариант
ну а так Я не буду здесь расписывать сложные алгоритмы ручной зачистки, так как с ним справляется практически любой антивирус со свежими базами. Я удаляла при помощи автозагрузочного диска Dr.Web LiveCD, так же можно использовать бесплатную утилиту Dr Web CureIt!.
востановить файлы можно без проблем восстанавливаются при помощи EasyRecovery Pro, а вот перезаписанные файлы восстановить труднее (фотографии, картинки, документы, если они были перезаписаны)
Попался мне в руки файл формата pif. Это ярлык к программе MS-DOS, как описывает его сама Windows. Название он имел такое же, как и название папки, в которой лежал. Поскольку папка была получена через Яндекс.диск от знакомого (у него, как и у меня антивирус на системе не установлен), я, ничего не заподозрив, а точнее — не успев разглядеть как следует этот объект файловой системы, случайно запустил его. Когда понял, что запустил, было уже поздно. Я запаковал эту папку в zip-архив и отправил на сканирование на VirusTotal. Вот результат.
- 1. Создание в папках System32, Windows и пользовательской папки темпа (%tmp%) своих файлов;
- 2. Запуск этих файлов;
- 3. Создание в корнях всех имеющихся дисков своих файлов;
- 4. Запрет на редактирование реестра;
- 5. Запрет на отображение скрытых файлов и папок;
- 6. Создание во всех сетевых папках всех компьютеров, которые он найдет по сети исполняемых файлов и rar-архивов с названием родительской папки;
- 7. Непрерывный спам темповыми файлами (Имеющими расширение «tmp») в те же сетевые папки.
Перед началом этой части статьи хотел бы обратить внимание на то, что все дальнейшие действия по удалению файлов и завершению процессов вы совершаете абсолютно на свой страх и риск. Убедительная просьба: если вы не уверены в том, подозрительный ли это файл, поищите сперва его название в поисковой системе, чтобы случайно не удалить системный файл, такой как «ctfmon.exe», «csrss.exe» или «lsass.exe».
Для начала откроем диспетчер задач и отыщем в процессах файлы этого вируса. Файлы его имеют бесподобные названия, состоящие из некоторого количества букв английского алфавита, расположенных в абсолютно случайном порядке. Например: «aekswdk.exe», «ufqwfvjecot.exe», «zmbsfvlbtndtaojc.exe» и так далее. Понятно, что стандартно в операционной системе нет так странно названных файлов, и вряд ли какая нормальная программа будет такие файлы создавать. Таких подозрительных процессов может быть два, а может быть и три. Они мониторят друг за другом, то есть, при завершении одного — второй тут же его обратно запускает; при завершении второго — его молниеносно запускает первый — и так далее. Следовательно, передо мной стала задача одновременно завершить все эти зловредные процессы, чтобы они не запускали друг друга и дали себя нормально удалить. В этом мне помогла утилита «KillProc» от, к сожалению, неизвестного автора. Взять её можно здесь или при желании и умении программировать написать самостоятельно. Она состоит всего из двух файлов: исполняемого и текстового. В текстовом на каждой строке отдельно прописывается название процесса, а исполняемый при запуске завершает все эти процессы в порядке их следования в текстовом файле. Я прописал каждый процесс на всякий случай раза по три, расположив названия в случайном порядке и запустил утилиту. Поскольку утилита работает довольно быстро, процессы были мигом завершены, не успев запустить друг друга. После чего, казалось бы, надо почистить автозагрузку, но не тут-то было. Поскольку редактирование реестра этот зловред нам запретил, мы должны сперва его разрешить. Для этого заходим в пуск и выбираем команду «Выполнить» или нажимаем сочетание клавиш Windows+r, где набираем «gpedit.msc» и нажимаем энтер. Мы находимся в окне редактирования групповой политики. Там открываем последовательно конфигурацию пользователя, административные шаблоны, пункт «Система» и в списке параметров находим пункт «Сделать недоступными средства редактирования реестра». Жмём правую кнопку мыши и выбираем «Свойства», после чего меняем положение радиокнопки на «Отключить» и применяем сделанные изменения. Далее совершенно спокойно открываем реестр (Жмём Windows+r и вводим «regedit» без ковычек), в нем перемещаемся по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и в списке параметров также ищем файлы с названием, состоящим из непонятного набора английских букв. Подозрительные подвергаем удалению. После того, как почистили автозагрузку, восстанавливаем показ в системе скрытых файлов и папок. Для этого идем в реестре по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced и ищем в списке параметр «Hidden». Делаем на нем правый клик, жмём пункт «Изменить» и прописываем единицу. Далее идем по ещё одному пути реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL и находим параметр «CheckedValue», значение которого тоже меняем на единицу. После редактор реестра можем закрывать свободно и идти в панель управления и параметры папок, где на вкладке «вид» отмечаем показ скрытых файлов и папок, а также защищённых системных файлов. Далее прочищаем корни всех своих дисков от файлов «autorun.inf» и bat-файлов с названиями вроде «ralyhtfrfvht.bat», «rcpepdrfvnbpug.bat» и так далее. (Внимание: не удалите случайно «AUTOEXEC.BAT»). Также нужно прочистить папку темп, открыть которую можно введя в уже знакомом нам окне «Выполнить» "%tmp%" и удалить в папках Windows и System32 те файлы, пути к которым вы удаляли из автозагрузки и те, процессы которых вы завершали.
Привет путник! На написание этой статьи меня побудило полное разгильдяйство и халатность некоторых людей, которые работают бухгалтерами, секретарями, клерками, менеджерами и прочими людьми, которые так или иначе работают с электронной почтой на компьютере. Оказывая компьютерную помощь в разделе "Уничтожение вирусов", я заметил, что люди совершенно ни чему не учатся и продолжают ходить по одним и тем же граблям, запуская всякую хрень из электронной почты. Каждый раз когда я читаю очередную тему с шифровальщиком в разделе "Уничтожение вирусов", я вспоминаю один момент из мультика Буратино:
Но не будем о грустном и перейдем к рекомендациям, которые я могу дать Вам пользователям.
1. Никогда не открывайте почтовые вложения от неизвестных отправителей!
В большинстве случаев троянцы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем могут быть разными, например: уведомление из арбитражного суда об иске; исполнительное производство о взыскании задолженности; возбуждение уголовного дела; перерасчет в Сбербанке; изменения в тарифном плане и т.д.
Рис. 1 Архив с вирусом
На заметку: Даже если Вы получили письмо от известного адресата не теряйте бдительность! Если Вы все же чего-то боитесь, то всегда можно узнать истинный адрес той организации, от которой Вы получили письмо.
Для решения этой проблемы можно воспользоваться FixSecurity by Vitokhv, которая на компьютере настраивает SRP политики таким образом, что становится невозможным запустить популярные типы исполняемых файлов.
Рис. 2 Настройка FixSecurity. Рекомендуется выбрать настройки по умолчанию
Kaspersky Anti-Ransomware Tool for Business
Kaspersky Anti-Ransomware Tool for Business - бесплатный и достаточно эффективный инструмент, разработанный «Лабораторией Касперского», который обеспечивает защиту от действий программ-вымогателей. При обнаружении угрозы Kaspersky Anti-Ransomware Tool автоматически блокирует ее и добавляет в список заблокированных приложений (Blocked Applications). Перед тем как выполнить блокировку, программа-вымогатель может успеть выполнить нежелательные действия в операционной системе (например, создать или изменить файлы, или сделать изменения в реестре). Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю деятельности приложений.
Kaspersky Anti-Ransomware Tool для защиты от программ-вымогателей использует различные методы обнаружения угроз. Инструмент идентифицирует вредоносные приложения на основе информации, содержащейся в Kaspersky Security Network. Облачная сеть Kaspersky Security Network используется, чтобы обеспечить более быстрое реагирование на неизвестные угрозы.
Благодаря пользователям, которые принимают участие в Kaspersky Security Network, «Лаборатория Касперского» способна оперативно собирать информацию о новых типах и источниках угроз, а также разрабатывать решения для их нейтрализации. Участие в Kaspersky Security Network, предполагает отправку статистики, собираемой Kaspersky Anti-Ransomware Tool for Business на вашем компьютере.
Kaspersky Anti-Ransomware Tool for Business совместим со сторонними антивирусными программами и может служить дополнительной защитой от троянов-вымогателей и шифровальщиков с использованием передовых технологий.
2. Своевременно обновляйте антивирус, антивирусные базы, операционную систему и другие программы:
Регулярно обновляйте Ваш антивирус. Очень важно использовать последнюю версию антивируса, т.к. в новых версиях исправляют ошибки и улучшают алгоритмы нахождения свежих вирусов. Вместе с антивирусными базами обновляются программные компоненты, улучшаются существующие функции и добавляются новые. Также устанавливайте обновления для операционной системы и других программ, которыми Вы пользуетесь. Это тоже очень важно, т.к. некоторые вирусы могут использовать уязвимости Windows и прикладного ПО для запуска произвольного вредоносного кода, например шифровальщика.
На заметку: Использование устаревшего антивируса не может обеспечить адекватную защиту Ваших данных. Убедитесь в том, что на сайте производителя нет новой версии антивируса. Если же новая версия есть на сайте производителя, то обязательно обновите текущую версию Вашего антивируса!
Для аудита безопасности системы можно использовать бесплатную программу от Secunia, которую можно скачать и установить по этой ссылке.
Рис. 3 Сканер от Secunia, сканирующий систему на известные уязвимости.
3. Не работайте под учетной записью Администратора!
Я крайне не рекомендую работать под учетной записью Администратора обычным пользователям, особенно бухгалтерам, секретарям, клеркам, менеджерам и т.д. Почему это так плохо? Потому что такой пользователь обладает неограниченными правами и все что доступно ему, доступно и вирусу. Имея такие права, неопытный пользователь может случайно запустить вирус из электронной почты. А к чему это может привести думаю говорить не нужно. Так что старайтесь по возможности работать под учетной записью пользователя, а не Администратора!
На заметку: Если Вам требуется запустить какую-то программу с правами Администратора, то воспользуйтесь контекстным меню проводника и выберите "Запуск от имени Администратора".
Внимание! Начиная с Windows Vista в операционной системе есть встроенный защитный механизм, который называется UAC (контроль учетных записей). UAC не позволяет запускать программы без уведомления. Я настоятельно рекомендую не отключать его, т.к. если Вы его отключите, то тогда вредоносная программа может быть запущена без уведомления!
4. Настройте доступ к общим сетевым папкам.
Если вы используете общие сетевые папки, то рекомендуется создать отдельную сетевую папку для каждого пользователя. При этом права на запись должны быть только у владельца папки. Таким образом, при заражении одного компьютера файлы будут зашифрованы только в одной сетевой папке. В противном случае, заражение одного компьютера может привести к шифрованию всех документов на всех сетевых папках.
5. Регулярно делайте резервные копии важных данных.
Рекомендации по настройке параметров Windows
Итак, я скачал и распаковал прикрепленный архив к письму и что я вижу:
С виду кажется, что это обычный офисный файл, но если присмотреться, то видно, что в конце у файла добавилось расширение *.scr . Теперь давайте вспомним какие файлы относятся к исполняемым?
Что же это означает? А означает это, что под видом нужного файла нам пытаются подсунуть кота в мешке, который при запуске зашифрует нам все наши данные.
На заметку: Будьте внимательны при работе с почтой! Некоторые злоумышленники специально дают таким "нужным" файлам длинные имена, чтобы скрыть расширение у файла, например:
Для отключения этой настройки, выполните следующий скрипт в AVZ:
2. Включите службу теневого копирования для всех дисков.
Начиная с Windows Vista в состав операционных систем Windows входит служба защиты системы на всех дисках, которая создаёт резервные копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Рекомендуется включить эту службу для всех дисков. Включить ее можно для других дисков, выполнив следующие действия:
Откройте меню Пуск => Панель управления, в новом окне выберите компонент «Система».
В левой области выберите Защита системы. Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или предоставьте подтверждение.
Выберите диск, а затем нажмите кнопку Настроить.
В следующем окне включите восстановление системы для выбранного диска, затем задайте максимальное использование дискового пространства под нужды системы и нажмите на кнопку "Применить".
На заметку: Я рекомендую под эти нужды выделить не менее 5% от общей емкости диска.
Теперь у Вас в случае заражения шифровальщиком компьютера будет возможность восстановить данные из теневых копий Windows со всех дисков. Как это сделать я опишу ниже:
1. У Вас имеются зашифрованные файлы, которые нужно восстановить.
2. Скачайте утилиту ShadowExplorer, распакуйте в новую папку и запустите от имени Администратора.
3. Выберите элементы для восстановления, затем щелкните правой кнопкой мыши по выбранным файлам и нажмите на кнопку "Export"
Важно! Лучше всего данные восстанавливать на отдельный флэш накопитель.
4. Выберите папку куда нужно будет сохранить восстановленные файлы и нажмите на кнопку "ОК"
5. Дождитесь окончания работы программы.
Внимание! Некоторые шифровальщики будут пытаться удалить теневые копии, если Вы работаете под учетной записью Администратора! По возможности старайтесь в повседневной жизни использовать только учетную запись пользователя. В этом случае шифровальщик не сможет их удалить без запроса на повышение прав от UAC (контроля учетных записей).
Заключение:
Вы познакомились с основными рекомендациями по защите ваших данных от троянцев-шифровальщиков. Если у Вас есть какие-то вопросы, то Вы можете задать их ниже. Благодарю за внимание!
Здравствуйте, проблема в том что вирус блокирует всё что связано с названиями антивируса, убивает exe файлы, на дает зайти на сайт Dr.Web и даже скачать Cureit с другого сайта. Проверки с помощью Авз не дали никакого результата всё осталось как было. На каждом диске файлы с расширением exe и pif, на диске C даже висит autorun.inf пробовал всякие антиавтораны они их удаляют но через некоторое время или после перезагрузки появляються заново все файлы. Помогите пожалуйста, винду переставлял 3 раза и всё безуспешно.
появляются файлы с расширением *.exe
Привет! Помогите,пожалуйста. У меня все файлы дублируются файлами с расширением *.exe. Имя.
На флешке появляются файлы с расширением .exe
Добрый день! При подключении флешки к компьютеру, имеющиеся на ней папки и файлы скрываются, а на.
Переименовать файлы с определенным расширением на нескольких жестких дисках
Всем привет! Помогите разобраться чет не получается( Суть такая: Нужен батник чтобы он находил все.
Появляются файлы с расширением .scr
Все в теме сказано. Комп правда тормозить стал еще. И еще горит красный крест на подключении к.
Как лечить файловый вирус
drweb livecd качайте на чистом компе + salitykiller
потом заново скачать AVZ и RSIT и сделать логи по инструкции - Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
izvinite, pitaus scanirovat uzhe nedelu za 10 4asov proverki tolko 9 procentov(( postoyannie pereboi elektrichestve, skoro proveru i sdelau vse nuzhnie logi
извините, пытаюсь сканировать уже неделю за 10 часов проверки только 9 процентов. постоянные перебои электрические, скоро проверю и сделаю нужные логи
попробую с livecd за 8 часов 10%, у меня просто винт на 640 гигов и почти весь забитый
Добавлено через 3 минуты
вчера оставил его сканировать, сегодня утром смотрю, а он как-бы спит но не просыпается, что делать? может проверить Kaspersky Rescue Disk? он мне больше доверия вселяет. Сейчас запустил SalityKiller пока он проверяет жду
я незнаю что произошло с компьютером, но теперь я смог поставить Avast, на дисках не появляются файлы exe и pif и в процессах нету ничего левого
если хоть одна копия sality выжила - все начнется по новой
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________
1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.
2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.
3. скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.
4. обновите базы AVZ (файл - обновление баз) и сделайте повторные логи AVZ и RSIT
И еще горит красный крест на подключении к интернету, хотя интернет работает.
появляются файлы с расширением *.exe
Привет! Помогите,пожалуйста. У меня все файлы дублируются файлами с расширением *.exe. Имя.
На флешке появляются файлы с расширением .exe
Добрый день! При подключении флешки к компьютеру, имеющиеся на ней папки и файлы скрываются, а на.
На дисках появляются файлы с расширением exe и pif
Здравствуйте, проблема в том что вирус блокирует всё что связано с названиями антивируса, убивает.
Вирус создает инфицированные файлы .scr и .exe
Здравствуйте! Avira постоянно обнаруживает инфицированные файлы .exe (как правило скрытые) и . scr.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________
2. После перезагрузки выполните такой скрипт:
Проблема сохраняется? Если да, повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Пока не знаю повторяется проблема или нет. Файлов с расширением ткимм пока не видел. Я и те что видел - забыл уже где видел. Или они уже удалены? Вот.
В логах порядок.
У вас установлен NIS, поэтому дополнительные а/в сканеры лишние. Удалите:
ESET Online Scanner v3
McAfee Security Scan Plus
Советую также удалить Hamster Free Archiver
Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.
Читайте также: