Вирус Win32.HLLW.Autoruner.6326

История о том,  как можно просто подцепить заразу.  Сидя вечерком в инете за чашкой чая,  зашел на какой то сайт и тут дисковод начал периодично дергаться и посмотрев в корень вставленной флешки увидел парочку интересных файлов. Они мне сразу не понравились. Я их стер. Они опять появились,  после этого не было сомнений, что это очередной вирус.

Ну поехали искать его и лечить.  Время было позднее, я выключил комп и пошел спать.  Потому что, на невыспавшуюся голову такие дела лучше даже не начинать,  а то придется потом переставлять Windows.

Включив на следующий день компьютер я понял, что у меня ничего не грузится,  вылезла куча ошибок о невозможности записи в память.  Надо отметить, что установленный Symantec Antivirus  со свежими базами даже не чухнул о вирусе, но я то эту сволочь сразу признал :-) Так вот, скачать свежий DrWeb CureIt не удалось, так как ничего не запускалось, даже не смог вызвать Диспетчер программ. Короче загрузился в безопасном режиме и начал искать концы. Для начала запустил msconfig посмотрел, что стоит в автозапуске, вырубил лишнее на всякий, но ничего особенно подозрительного не нашел. Заглянул в Редактор реестра в ветку автозапуска, там тоже тишина. Думаю прикольно. Решил засунуть флэшку и посмотреть на этот файл с вирусом с пристрастием. Посмотрел размер файла и прошелся поиском по диску С всех файлов с таким же размером. Их оказалось порядка 20 штук. Среди них был один особенно подозрительный, который находился в папке C:\Program files\Microsoft Common. Короче я все файлы переписал на диск D:\ в папку Virus, чтобы потом посмотреть кто из них заражен.

Перегрузился. Смотрю на рабочий стол, а на нем тишина. Ну понятное дело не запустился explorer.exe. Запускаю его через Диспетчер задач -> Приложения -> Новая задача. Опять не запускается. Ругается, что нет такого файла.

Ладно — это конечно меня немного разозлило, но я подумал, что дело в реестре. А так как найти в реестре чего нибудь без бутылки нереально, то я решил сначала опознать что это за вирус, а потом через поиск поискать лекарство против не запуска explorer’а.

Вообщем также через Диспетчер задач запустил iexplorer. Зашел на сайт DrWeb скачал бесплатную утилиту DrWeb CureIt. Натравил его на каталог D:\Virus, антивирус нашел вирус под названием Win32.HLLW.Autoruner.6326. Убивать не стал, оставил для коллекции :-)

Затем зашел на поисковик и нашел на форуме сайта DrWeb следующее:

А Эксплорер не запускается из-за HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

В общем в Редакторе реестра нашел соответствующую ветки и так как раз ссылочка на мой любимый файл в папке C:\Program files\Microsoft Common.

Удалил. Перегрузился и все Ок!

А выводы такие. Во первых, не все антивирусы одинаково хороши, так что пользутесь несколькими. А во вторых, не ходите в инет и будет Вам счастье :-)!!!

Опубликовано
В рубрике Windows