Вирус Win32.HLLW.AntiDurov
Настоящая эпидемия разразилась в последнее время.
Инфицированные этой новой чумой машины начинают рассылать другим пользователям "Вконтакте" ссылку на безобидную с виду jpeg-картинку, лежащую на интернет-ресурсе злоумышленника (*.misecure.com/deti.jpg). На самом же деле сервер передает по этой ссылке исполняемый файл "deti.scr", который, собственно, и является непосредственно сетевым вирусом.
После запуска на компьютере жертвы, червь сохраняет на диске саму картинку, на которую повелся неосторожный юзер, и запускает штатное приложение, используемое в системе для просмотра файлов .jpeg. Скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, пришелец устанавливается в системе в качестве сервиса "Durov VKontakte Service" и бесцеремонно роется в ящиках в поисках пароля к доступу на сайт "Вконтакте", а обнаружив, рассылает по всему списку контактов бедняги вышеупомянутую ссылку. Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена):
Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом!
Одновременно с этим начнется удаление с диска C: всех файлов. Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных - документы, фотографии, электронные письма и многое другое.
Что делать
Оригинальный рецепт расположен на самом сайте вконтакте.
Но скорее всего у вас нет туда доступа, поэтому приводим тут полностью.
Для удаления вируса Вы можете воспользоваться антивирусом.
Сохраните его на диск и запустите.
Если Вы не уверены в результатах работы скрипта, воспользуйтесь следующей инструкцией:
- Откройте консоль "Службы". Для этого следует пройти по следующему пути: "Пуск" > "Панель управления" > "Администрирование" > "Службы"
- В открывшемся окне найдите службу "Durov Vkontakte Service", и откройте окно свойств, щёлкнув дважды по строке
- Запомните имя службы (AntiDurov) и путь к исполняемому файлу (в данном примере - C:Documents and SettingsalexanderApplication DataVkontakte)
- Откройте Диспетчер задач, нажав одновременно клавиши CTRL+SHIFT+ESC, и на вкладке "Процессы" найдите процессы с названием svc.exe
- Завершите эти процессы, поочерёдно выделяя их и нажимая кнопку "Завершить процесс". Закройте Диспетчер задач.
- Откройте командную строку: для этого в окне "Пуск" > "Выполнить..." наберите "cmd" и нажмите Enter:
- В окне командной строки наберите "sc delete AntiDurov" (последнее слово должно совпадать с запомненным вами именем службы) и нажмите Enter
- Перейдя в окно консоли "Службы", убедитесь, что служба "Durov Vkontakte Service" отсутствует (предварительно обновите содержимое окна, нажав F5)
- Откройте "Мой компьютер" и в строке адреса впишите путь к исполняемому файлу из п.3. (без имени самого файла svc.exe!) Нажмите Enter.
- В открывшемся окне выделите и удалите файл svc.exe, нажав SHIFT+DELЕTЕ:
P.S.: если подобной службы Вы не обнаружили, но Вам кажется, что вирус всё равно есть, попробуйте его найти через поиск:
Пуск > Поиск > "Что выхотите найти: файлы и папки", в поле "Часть имени файла..." введите"svc.exe", в "дополнительных параметрах" отметьте три первых пункта (всистемных папках, в скрытых папках, вложенные папки)
Если файла с таким названием не найдено (именно с таким названием, файлы вроде "cisvc", "svchost" не в счёт), то вируса, вероятнее всего, нет.
Если файл найден, убедитесь, что им не запущены процессы (см. пункты 4 и 5), после чего удалите файл, выделив его в окне результатов поиска и нажав SHIFT+DELЕTЕ.