Путеводитель по сайту

xpbkh и amvo – что за «звери» и как с ними бороться?

English version Распечатать

 

***

xpbkh и amvo – что за «звери» и как с ними бороться?

В последнее время активизировался и сильно досаждает пользователям ПК червь W32/Autorun.RE.worm.

Этот червь активно распространяется посредством Глобальной Сети и с помощью съёмных дисков.

Исполняемые файлы вируса – xpbkh.com, autorun.inf, amv*.exe, amv*.dll (имеют атрибуты Скрытый, Системный, Только чтение).

Файл xpbkh.com, расположенный в корне несущего диска, стартует вместе с запуском операционной системы. Файлы xpbkh.com, расположенные в корне других дисков системы, запускаются при открытии этих дисков.

Вирус распознаётся не всеми антивирусами: например, на начало июня 2008 г. Dr. Web, Антивирус Касперского и NOD32 идентифицировать последнюю версию зловреда не смогли.

 

Деструктивные действия вируса:

– прописывает себя в автозагрузку;

– в папку \WINDOWS\system32 копирует файлы amvo.exe (104КБ), amvo.dll (70КБ);

– в корневой директории заражаемого диска создаёт файл autorun.inf (примерное содержимое файла:

;7KKSw1SsfrLlo9J0r4A0id02q24LDei3llDoaisfsakk9w

[AutoRun]

;as463jwwjosrw3539Df2dkpk33KljiekeljswKLa2r4jwaf3D00w43Kpa3Ai4K0pDS2lAldw1wd0d1okoo

open=xpbkh.com

;iJ3K1FAjkK0a7o1Lsk2J4sLcjpsldf2e3n0k9lwq1iqdqJaselw3aj

shell\open\Command=xpbkh.com

;2KdaK34kwriXoa923wKdpqioLL8UKrw5sdjawAiZ2qcA0oJskwn1i4asdjsI1KiFK43KDrsdwlA

shell\open\Default=1

;fai4skICLjm4DsDJL0ka2iKqip2a0020w3caSa7edKSK5psKLDwaKA5qlD4isj12dFD41KsrkK

shell\explore\Command=xpbkh.com

;DLeA3rwlliLdKkaslpsDwqK4aijdjk35ALq1w1S7lDs0kd3wkSJe1ka4KwfHs0iswlfw2oo9d2LJic3w4d);

 

– в корневую директорию заражаемого диска копирует файл xpbkh.com;

– в корневой директории заражаемого диска всем папкам присваивает атрибуты Скрытый, Только чтение;

– в корневой директории заражаемого диска создает своеобразную «копию» каждой папки – «Имя_папки.exe» (размером 20,6КБ);

– не позволяет отображать скрытые файлы и папки (поэтому работать с ними в среде Windows становится весьма и весьма затруднительно);

– делает недоступным пункт меню Свойства папки;

– не позволяет редактировать Реестр Windows;

– при подключении к заражённому ПК съёмного носителя (флешки, карты памяти), копирует исполняемый файл вируса на носитель, для автозапуска вируса создаёт файл autorun.inf.

 

Как лечить

Вопреки заверениям разработчиков антивирусов (например, этим любит похвастать компания DrWeb!), установка антивируса на заражённый ПК не поможет. Сначала нужно пролечить ПК (в так называемой чистой среде) и устранить последствия вирусной атаки, только после этого установить антивирус.

 

После этого нужно устранить последствия вирусной атаки, для этого можно воспользоваться аварийно-восстановительным загрузочным диском типа ERD Commander (или Windows miniPE edition):

– поместите аварийно-восстановительный диск ERD Commander в лоток привода;

– перезагрузите ПК;

– при перезагрузке нажмите клавишу Del, войдите в утилиту BIOS Setup и установите загрузку с CD-ROM;

– нажмите клавишу F10 и санкционируйте сделанные изменения нажатием клавиши Enter;

– начнётся перезагрузка;

– если появится сообщение Press any key for boot from CD or DVD, нажмите любую клавишу;

– в меню загрузки ERD Commander выберите пункт Загрузка ERD Commander;

– для пропуска инициализации локальной сети (и ускорения загрузки!) нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите операционную систему для восстановления, нажмите OK;

– после загрузки ERD Commander нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor выберите меню Edit –> Reset Permisions;

– в окне Reset Permisions установите флажок Reset Permisions on all child objects –> OK;

– в окне ERD Commander Registry Editor раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение REG_SZ-параметра Shell (должно быть Explorer.exe);

– проверьте значение REG_SZ-параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– откройте ветвь [HKEY_USERS], выберите свою учётную запись (Имя_пользователя);

– раскройте раздел [\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] и удалите REG_DWORD-параметры NoCustomizeWebView и NoFolderOptions;

– в этой же ветви (HKEY_USERS_Имя_пользователя) раскройте раздел [\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced], найдите REG_DWORD-параметр Hidden (со значением 2), установите значение 1;

– в этом же разделе найдите REG_DWORD-параметр ShowSuperHidden (со значением 2), установите значение 1;

– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL], проверьте значение REG_DWORD-параметра CheckedValue (должно быть 1);

– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]. Если он содержит подраздел amva (или amvo), удалите этот подраздел;

– раскройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]. Если он содержит REG_SZ-параметры C:\WINDOWS\System32\amvo.dll, C:\WINDOWS\System32\xpbkh.com, – удалите их;

– закройте окно ERD Commander Registry Editor;

– нажмите кнопку Start –> Log Off –> Restart –> OK;

– при перезагрузке нажмите клавишу Del, войдите в утилиту BIOS Setup и установите загрузку с жёсткого диска;

– нажмите клавишу F10 и санкционируйте сделанные изменения нажатием клавиши Enter;

– начнётся перезагрузка.

 

• Кроме того, для устранения последствий деструктивных действий вируса нужно перерегистрировать (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll (приведен алгоритм для Windows Vista+, для Windows XP – немного проще):

– нажмите кнопку Пуск;

– в строке Начать поиск введите cmd;

– под заголовком Программы щёлкните правой кнопкой мыши cmd.exe;

– из контекстного меню выберите Запуск от имени администратора;

– введите пароль администратора, если появится соответствующий запрос;

– в окне Интерпретатора команд Windows после приглашения системы введите команду regsvr32 /i shell32.dll, нажмите Enter;

– появится окно RegSvr32 с сообщением «Успешное выполнение DllRegisterServer and DllInstall в shell32.dll» Windows XP«DllRegisterServer and DllInstall в shell32.dll завершено успешно»), нажмите OK;

– введите exit, нажмите Enter (или просто закройте окно Интерпретатора команд Windows).

 

 

Примечания

1. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьёзных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?

4. Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»?

5. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?

6. Если вы не можете открыть флешку, см. Что делать, если после лечения от вирусов не открывается флешка?

 

Валерий Сидоров

 

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2017. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.