Происхождение вируса и этимология названия Название вируса происходит от penetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями. О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру… Деструктивные действия вируса Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне). Файлы .bmp, .png, .tiff вирус «не трогает». Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами). То есть вирус портит всё самое дорогое, что есть у пользователя ПК! В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла. Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область. Классификация вируса Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB… Как происходит заражение Средства распространения вируса – Интернет, flash-носители. Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3. При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe. Кроме этого, вирус создает следующие файлы: • WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке WINDOWSsystem32); • WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке WINDOWSsystem32); • WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe); • WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe); • WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe); • WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll). Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ. Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]. Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]). Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Как устранить деструктивные последствия вируса 1. Проверьте винчестер надежным антивирусом со свежими базами. 2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe. 3. Удалите (если их не уничтожил антивирус) следующие файлы: • WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*); • WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*); • WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*); • WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe); • WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe); • WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll). 4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]: • REG_SZ-параметр Shell должен иметь значение Explorer.exe; • REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe, 5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]). 6. Удалите шаблон Normal.dot (см. Как бороться с макровирусами?). 7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?). Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся. Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается. Примечания 1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами. 3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться. Автор: Валерий Сидоров Источник: http://shkolazhizni.ru/archive/0/n-19445/ © Shkolazhizni.ru Как правило, если аппаратная часть обеспечивает программный доступ к носителю, информацию можно восстановить не только после удаления, но даже после форматирования и конвертирования (конечно, в том случае, если поверх не записывалась новая информация!). Последовательность действий при восстановлении информации: 1. Сразу прекратите все операции чтения/записи на диск и выключите ПК. 2. Если не уверены в своих силах, чтобы не усугубить ситуацию (особенно, если информация – очень ценная), – обратитесь к специалистам. 3. Снимите винчестер и подключите его к другому ПК. Лучше всего для этого использовать внешние боксы с автономным питанием (выпускаются как с интерфейсом IDE, так и SATA; подключаются к ПК, как правило, через USB-порт). 4. Запустите программу восстановления. Рассмотрим на примере одной из лучших программ для восстановления данных EasyRecovery Pro. 5. В меню слева выберите Восстановление данных. 6. В окне Восстановление данных выберите Advanced Recovery (Восстановление данных с дополнительными настройками). 7. После непродолжительного сканирования системы появится окно «Предупреждение места расположения» с требованием, чтобы вы копировали восстанавливаемые файлы «в безопасное место, кроме источника восстановления», т.е. нельзя восстанавливать файлы на тот же диск, где они находились (чтобы не «затереть» их) –> OK. 8. В следующем окне выберите раздел, на котором нужно восстановить данные, нажмите Далее. 9. Программа просканирует диск (появится окно Сканирование файлов) и найдет файлы, которые можно восстановить. 10. В следующем окне выделите файлы, которые нужно восстановить, нажмите Далее. 11. В следующем окне с помощью кнопки Обзор выберите место назначения, куда будут скопированы восстанавливаемые данные (чтобы не затереть восстанавливаемые данные, местом назначения следует выбирать другой диск), нажмите Далее. 12. Появится окно Копирование данных (т.е. начнется процесс восстановления информации), в котором будет отображаться текущий процесс восстановления. Продолжительность процесса зависит от объема восстанавливаемых данных и мощности ПК. 13. После завершения процесса восстановления нажмите Готово. 14. В окне Сохранение восстановления с сообщением «Вы хотите сохранить состояние вашего восстановления, чтобы продолжить позже?» нажмите Да, если вы восстановили не все файлы и хотите продолжить позже (при этом появится окно Сохранение файла, в котором нажатием на кнопку Обзор нужно выбрать место размещения файла –> OK –> OK), или Нет. Примечания 1. В зависимости от объема восстанавливаемых данных и мощности ПК процесс восстановления данных может занять продолжительное время. 2. Желательно во время восстановления отключить все «лишние» программы и процессы. 3. Программу EasyRecovery Pro можно запускать с флешки или дискеты. 4. Программ для восстановления информации – превеликое множество. У каждого пользователя ПК свой «джентльменский набор софта». Это в полной мере касается и программ для восстановления информации, – о вкусах не спорят! 5. На винчестере ПК, к которому вы подключите диск с утраченной информацией, нужно иметь как минимум столько же свободного места, сколько занимают восстанавливаемые файлы. 6. Помните, что предупредить легче, чем лечить, поэтому почаще делайте резервное копирование информации. Автор: Валерий Сидоров Источник: http://shkolazhizni.ru/archive/0/n-15484/ © Shkolazhizni.ru Как уничтожить Penetrator и как устранить деструктивные последствия вируса Вирус загружается и в Безопасном режиме (Safe Mode), поэтому пытаться лечить ПК, когда загружена ОС с резидентным вирусом, – бессмысленное занятие! 1. Отключите ПК от локальной и Глобальной сетей. 2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander). Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса. 3. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске). 4. Восстановите доступность пункта меню Свойства папки (см. Что делать, если недоступен пункт меню «Свойства папки»?). 5. Восстановите запуск Редактора реестра (см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?). 6. Восстановите запуск Утилиты настройки системы msconfig (см. Windows: что делать, если не запускается Утилита настройки системы msconfig?). 7. Восстановите запуск Диспетчера задач (см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?). 8. Восстановите отображение скрытых файлов и папок (см. Windows: как отобразить скрытые файлы и папки?). 9. Удалите (если их не уничтожил антивирус) следующие файлы: – в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr; – flash.scr, <имя_папки>.exe и <имя_папки>.scr (в том числе – \Documents and Settings\All Users\Документы\Documents.scr, \WINDOWS\system32\system32.scr, \Program Files\Program Files\Program Files.scr, \Documents and Settings\<Имя_пользователя>\<Имя_пользователя> .scr, \Мои документы\Мои документы.scr, \Мои документы\Мои рисунки\Мои рисунки.scr, \Documents and Settings\<Имя_пользователя>\Главное меню\Программы\Автозагрузка\Автозагрузка. scr; – \WINDOWS\system32\DETER177\lsass.exe (удалите файл вместе с папкой DETER177); – \WINDOWS\system32\DETER177\smss.exe (удалите файл вместе с папкой DETER177); – \WINDOWS\system32\DETER177\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177); – \WINDOWS\system32\AHTOMSYS19.exe; – \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe); – \WINDOWS\system32\psador18.dll; –\WINDOWS\system32\psagor18.sys; – удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista – \Users\Master\AppData\Local\Microsoft\Windows\ Burn). 10. Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами?). После первого запуска Word'а, он будет создан заново. 11. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK; – раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe; – проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,); – раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run], удалите строковые (REG_SZ) параметры lsass со значением C:\WINDOWS\system32\DETER177\lsass.exe и сtfmоn.exe со значением C:\WINDOWS\system32\сtfmon.exe; – раскройте ветвь [HKEY_CLASSES_ROOT\scrfile], установите значение REG_SZ-параметра по умолчанию – Программа-заставка; – закройте Редактор реестра. 12. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll: – нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK. 13. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию? и Как восстановить данные с помощью программы WinHex?). Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся. Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается. Удачи! *05
А сейчас решена?Если да то расскажите пожалуйста об этом.