Вирус Win32.HLLW.AntiDurov

Настоящая эпидемия разразилась в последнее время.
Инфицированные этой новой чумой машины начинают рассылать другим пользователям “Вконтакте” ссылку на безобидную с виду jpeg-картинку, лежащую на интернет-ресурсе злоумышленника (*.misecure.com/deti.jpg). На самом же деле сервер передает по этой ссылке исполняемый файл “deti.scr”, который, собственно, и является непосредственно сетевым вирусом. После запуска на компьютере жертвы, червь сохраняет на диске саму картинку, на которую повелся неосторожный юзер, и запускает штатное приложение, используемое в системе для просмотра файлов .jpeg. Скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, пришелец устанавливается в системе в качестве сервиса “Durov VKontakte Service” и бесцеремонно роется в ящиках в поисках пароля к доступу на сайт “Вконтакте“, а обнаружив, рассылает по всему списку контактов бедняги вышеупомянутую ссылку. Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена):

Павел Дуров Работая с “ВКонтакте.РУ” Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом!

Одновременно с этим начнется удаление с диска C: всех файлов. Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных - документы, фотографии, электронные письма и многое другое.

Что делать Оригинальный рецепт расположен на самом сайте вконтакте http://vkontakte.ru/note10_7159709 Но скорее всего у вас нет туда доступа, поэтому приводим тут полностью.

Для удаления вируса Вы можете воспользоваться batch-файлом http://www.spbgu.ru/upload/kuzya/antivirus.bat

Сохраните его на диск и запустите.
Если Вы не уверены в результатах работы скрипта, воспользуйтесь следующей инструкцией:

1. Откройте консоль "Службы". Для этого следует пройти по следующему пути: "Пуск" > "Панель управления" > "Администрирование" > "Службы"

2. В открывшемся окне найдите службу "Durov Vkontakte Service", и откройте окно свойств, щёлкнув дважды по строке

3. Запомните имя службы (AntiDurov) и путь к исполняемому файлу (в данном примере - C:Documents and SettingsalexanderApplication DataVkontakte)

4. Откройте Диспетчер задач, нажав одновременно клавиши CTRL+SHIFT+ESC, и на вкладке "Процессы" найдите процессы с названием svc.exe

5. Завершите эти процессы, поочерёдно выделяя их и нажимая кнопку "Завершить процесс". Закройте Диспетчер задач.

6. Откройте командную строку: для этого в окне "Пуск" > "Выполнить..." наберите "cmd" и нажмите Enter:

7. В окне командной строки наберите "sc delete AntiDurov" (последнее слово должно совпадать с запомненным вами именем службы) и нажмите Enter

8. Перейдя в окно консоли "Службы", убедитесь, что служба "Durov Vkontakte Service" отсутствует (предварительно обновите содержимое окна, нажав F5)

9. Откройте "Мой компьютер" и в строке адреса впишите путь к исполняемому файлу из п.3. (без имени самого файла svc.exe!) Нажмите Enter.

10. В открывшемся окне выделите и удалите файл svc.exe, нажав SHIFT+DELЕTЕ:

P.S.: если подобной службы Вы не обнаружили, но Вам кажется, что вирус всё равно есть, попробуйте его найти через поиск:

Пуск > Поиск > "Что выхотите найти: файлы и папки", в поле "Часть имени файла..." введите"svc.exe", в "дополнительных параметрах" отметьте три первых пункта (всистемных папках, в скрытых папках, вложенные папки) Если файла с таким названием не найдено (именно с таким названием, файлы вроде "cisvc", "svchost" не в счёт), то вируса, вероятнее всего, нет. Если файл найден, убедитесь, что им не запущены процессы (см. пункты 4 и 5), после чего удалите файл, выделив его в окне результатов поиска и нажав SHIFT+DELЕTЕ.