Что это за немецкий (?) вирус и как от него избавиться?

Что это за немецкий (?) вирус и как от него избавиться?
Что это за немецкий (?) вирус и как от него избавиться?

UPDATE

Я опубликовал свое решение ниже.


Эта штука всплыла на компьютере одного из моих сотрудников в пятницу. Я провел большую часть выходных, сканируя компьютер с помощью Avira AntiVir, Avira Boot Sector Repair Tool, Kaspersky Virus Removal Tool, Malwarebytes, Spybot, McAfee Stinger и еще чего-то, что я забыл, и все они что-то нашли. В целом, все они вычистили около 400 вредоносных элементов, кроме этого.

Этот экран появляется сразу после загрузки компьютера и входа пользователя в систему. Происходит небольшая задержка, пока ОС загружает профиль, после чего появляется это окно. Я думаю, что это что-то вроде взлома браузера, потому что я видел, как Firefox (кажется, 3.6.18) запускался прямо перед его появлением.

Я могу нажать CTRL+ALT+DEL и вызвать диспетчер задач, но как только я это делаю, экран вируса перекрывает его.

Что это за вирус и как я могу от него избавиться?

Что это за немецкий (?) вирус и как от него избавиться?

Итак, потратив несколько дней на борьбу с этой штукой, я, наконец, избавился от нее. Я почти уверен, что выбрал правильный, но по пути я нашел несколько подозрительных предметов, которые могли внести свой вклад. Вот шаги, которые он предпринял, чтобы очистить его.

Первое, что я сделал, это проверил все места автозапуска в Windows. Я следил за этой статьей здесь. Большинство мест были чистыми, за исключением:

  1. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    • У этого ключа был второй путь, указывающий на C:\Documents and Settings\NetworkService\Application Data\09A52917-B4FC-4f02-AE3B-BF55D9351F4A\msvcs.exe
  2. HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    • У этого узла был ключ REG_SZ с именем 2C508BD5-F9C6-4955-B93A-09B835EC3C64, который указывал на файл msvcs.exe в ключе Userinit.
  3. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    • У этого узла было два других узла, которые показались мне подозрительными. Их назвали \toldvw32 и torlfsvses. Оба узла имели ключи, которые указывали на файл toldvw32.dll и были установлены с событием WlStartupEvent. Поиск их в Google в то время не дал никаких значимых результатов, поэтому я удалил их. Проблем с этим пока вроде нет.

Настоящая проблема в том, что файл msvcs.exe. Если кому-то удастся выжить, он будет реплицировать себя во всех профилях пользователей на машине. Поскольку он был подключен к профилю NetworkService, он всегда будет следить за тем, чтобы он существовал в других профилях.

Есть три места, где существует msvcs.exe. Они есть:

  1. {PROFILE}/Application Data/09A52917-B4FC-4f02-AE3B-BF55D9351F4A
  2. {PROFILE}/Start Menu/Programs/Startup
  3. WINDOWS\Prefetch
    • Не уверен на 100% в этом, но я нашел два подозрительных файла: MSVCS.EXE-0CA809BA.pf и MSVCS.EXE-301B4EC0.pf. Я пошел дальше и удалил их без проблем (по крайней мере, пока).

Я надеюсь, что это поможет кому-то в будущем. Это сработало для меня. Если у вас есть компьютер, на котором это было/есть, и он подключен к домену, обязательно проверьте папку профиля пользователя на сервере, там тоже есть копия. Излишне говорить, что не входите в этот профиль прямо на сервере, потому что после этого вы просто очень весело проведете время...

Кроме того, вы не можете очистить его через безопасный режим, если профиль, в который вы входите, был заражен. Я использовал UBCD4Win, чтобы очистить то, что я видел, затем я сделал все остальное через безопасный режим.

Теперь я знаю, что общее мнение состоит в том, чтобы взорвать компьютер и начать с нуля, но это не всегда возможно в бизнес-среде. После того, как я очистил его и подтвердил чистоту с помощью нескольких антивирусных инструментов, я запустил chkdsk /f /r на диск, дефрагментировал его с помощью MyDefrag (4.3.1), и компьютер работает отлично, как будто этого никогда не было. Таким образом, взрыв компьютера - не всегда лучший способ действий, как указал сам @Synetech.

Наконец, Касперский был установлен на компьютер, но каким-то образом был выключен, и вот как вирус (вредоносное ПО?) проник и сделал то, что сделал. Я вообще не фанат антивирусного программного обеспечения, на самом деле у меня его нет на моих 6 или около того компьютерах, но в среде, где у вас есть технически неопытный персонал, было бы неплохо иметь его и также очень хорошая идея убедиться, что он действительно включен и обновлен.

Это все классные ребята. Я надеюсь, что кто-то еще сможет извлечь пользу из этого ответа в будущем.


NevaDev, 8 июня 2023 г., 07:20