"Где мои папки?" / "Злобный Worm.Win32.Radminer.d"
Запись опубликовал Roman_Five ·
4 308 просмотров
В своей первой записи в блоге я писал, что у меня на работе есть отличный полигон, где можно оттачивать навыки борьбы с вредоносами. Обычно я не вмешиваюсь в работу соответствующих служб университета, которые должны обеспечивать бесперебойную работу медиа-центра...
В один прекрасный момент (для меня он тогда ещё был прекрасным 
- предновогоднее настроение как-никак) и преподаватели, и студенты стали жаловаться, что на их флэшках после "соприкасания" с PC медиацентра странным образом исчезают папки.
- Подумаешь! - сказал я...
- Очередной "выверт" Trojan.Win32.FlyStudio или Trojan-Dowloader.Win32.FlyStudio - на папки ставится атрибут "скрытый" и создаются с аналогичными именами экзешники.
Как оказалось, я был не прав. На папки не ставился атрибут "скрытый" - они просто исчезали... И в то же время были на месте. В любом файловом менеджере их не было видно, а вот при проверке KIS - в отчёте фигурировали...
Моё терпение лопнуло, когда такой-же казус приключился в последние предновогодние дни и у меня. На моих глазах все папки резко исчезли и появились <name>.exe.
Виновник - Worm.Win32.Radminer.d.
На тот момент я ещё не знал, что эти последствия легко исправляются "не-кривыми-руками", поэтому действовал по старинке: восстанавливал папки с помощью Recovery My Files, форматировал флэшку и записывал обратно восстановленную информацию.
После этого написал даже в вирлаб запрос на дополнительное описание вредоноса (касаемо его деструктивных действий с папками), чтобы можно было быстрее восстанавливать "побитые" флэшки... Они мне мило ответили, что, мол, не в нашей компетенции - обращайтесь в ТП. А что я скажу ТП? Что радминера пропустили DrWeb (со свежими базами) и NOD32 (со старыми)? Последует логичный вопрос: "А мы здесь при чём?.." И он будет правильным...
Вчера нашёл в себе силы и сделал пару логов в "больных" PC. Написал универсальный скрипт. Быстро пролечил все рабочие станции с помощью AVZ.
Далее последует информация, которая должна использоваться только опытными пользователями!
Симптоматика присутствия Worm.Win32.Radminer.d на компьютере:
- пропадают папки на сменных носителях при подключении (даже при отображении скрытых и системных);
- в диспетчере задач (Ctrl+Shift+Esc) в процессах висит :services.exe.
Лечение:
выполнить в AVZ скрипт (файловая система дисков - NTFS; на FAT32 не тестировал!)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('%SysDisk%\:services.exe');
QuarantineFile('%system32%\config\svcset.bat','');
QuarantineFile('%system32%\config\AdmDll.dll','');
QuarantineFile('%system32%\config\raddrv.dll','');
QuarantineFile('%system32%\config\svchost.exe','');
QuarantineFile('%system32%\config\svcset.reg','');
QuarantineFile('%SysDisk%\:services.exe','');
DeleteFile('%system32%\config\svcset.bat');
DeleteFile('%system32%\config\AdmDll.dll');
DeleteFile('%system32%\config\raddrv.dll');
DeleteFile('%system32%\config\svchost.exe');
DeleteFile('%system32%\config\svcset.reg');
DeleteFile('%SysDisk%\:services.exe');
DelAutorunByFileName('%SysDisk%\:services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Возврат папок:
- либо поместить в корень "битого" сменного носителя cmd-файл из архива и запустить на исполнение (появится новая папка lostdir - всё, что было скрыто)
- либо в TotalCommander'e в командной сроке набрать:
cd e2e2~1
- перенести из папки lostdir или e2e2~1 (в зависимости от способа отображения скрытой папки ..) всё содержимое в корень.
2 Комментария
Рекомендуемые комментарии