Евгений (evgens) wrote,
Евгений
evgens

Category:

Очередной раз избавляюсь от вируса Penetrator

Итак, я снова занимаюсь ноутом, пострадавшим от пенетратора. Последствия деятельности этого вируса куда более обидны, чем большинства других, ибо страдает от него самое ценное - фотографии, офисные документы (jpg, word, excel, power point) и ещё кое-что (читайте чуть ниже). Пенетратор находит все фотки, удаляет их и заменяет файлами с идентичным названием, но, в случае с фото, заменяет содержимое картинкой с надписью "penetrator", а офисные документы матерным посланием.

Википедия: Penetrator (от англ. penetrate - внедряться) — это компьютерный вирус, созданный российским студентом Дмитрием Уваровым. Вирус был написан на Visual Basic и предназначался для операционных систем Windows c процессором x86. Данный вирус внедряется в операционную систему и заражает файлы формата .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip в ночь на первое января.

Я вам скажу, что пострадать от него можно не только первого января, но вообще в любой день, например, один ноутбук пострадал позавчера.

Судя по тому, что гуглом находится масса страниц по запросу "вирус пенетратор", пострадали от него многие тысячи людей.

Автор вируса - Дмитрий Уваров, проживающий (на момент, когда его поймали) в Амурской области. Кстати, был осужден за написание и распространение вируса, и наказан штрафом (внимание!) аж в три тысячи рублей (а надо было за яйца на суку повесить). Своих героев надо знать в лицо:
Дмитрий Уваров, автор вируса Дмитрий Уваров, автор вируса


Простейшая инструкция к лечению и восстановлению данных:

1) Когда обнаружили, ничего не трогать;
2) Скачать (крайне желательно - пользуясь другим пк или попросив кого-нибудь скачать для вас) несколько portable антивирусов со свежими базами (например, Dr.Web Cureit!);
3) Скачать (крайне желательно - пользуясь другим пк или попросив кого-нибудь скачать для вас) "Ontrack Easy recovery pro" portable
4) Скачать (крайне желательно - пользуясь другим пк или попросив кого-нибудь скачать для вас) Total Commander Portable
5) Раздобыть где-нибудь ёмкость для сохранения восстановленных файлов (внешний жёсткий диск идеально подойдёт);
6) Загрузить заражённый компьютер с любого live cd;
7) Просканировать все диски антивирусами из пункта 2;
8) Для пущей надёжности, пользуясь Total Commander-ом, произвести поиск и удалить все копии следующих папок и файлов:
    а) flash.scr;
    б) Папки DETER177 со всем её содержимым;
в) файл сtfmоn.exe (117248 байт; буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe. ВНИМАНИЕ, не удалите оригинальный ctfmon.exe, обязательно "с" и "о" в поиске вбивайте русские!);
    г) файлы:
AHTOMSYS19.exe, psador18.dll, psagor18.sys.
9) Запустить Ontrack Easy recovery, выбрать в меню "восстановление данных" пункт Raw recovery, настроить на поиск только необходимых нам типов файлов, и просканировать все диски, с которых хотим восстановить данные.
10) Выбрать, куда будем сохранять найденное (внешний жёсткий диск, пункт 5), и запустить процедуру сохранения. Процедура может занять очень много времени, чем больше файлов на диске, с которого восстанавливаем, тем дольше. У меня, например, идёт уже второй день восстановления. Поэтому ноутбук должен быть обязательно подключен к питанию от сети.

Сейчас работаю над разделом своего сайта, где буду выкладывать разные полезные программы, которыми пользовался сам, залью туда и всё необходимое для выполнения процедуры лечения пенетратора и его последствий.

Кстати, Raw recowery при восстановлении переименует файлы по маске FILХХХХ (где ХХХХ - порядковый номер найденного файла), сохранив только расширения. Поэтому вам придётся потрудится, ища среди этого свои восстановленные фотографии. Но это лучше, чем смирится с их утратой.

Не всегда удаётся восстановить всё. По моему опыту восстанавливается около 70% утраченного  Этот процент зависит от того, что вы делали с компьютером уже после того, как вирус начал работать. Поэтому главное, если обнаружили у себя пенетратор - сразу приступайте к выполнению выше означенных пунктов, не нужно ничего скачивать (кроме означенного в пунктах, если у вас нет второго пк или друга, который может помочь) и вообще продолжать пользоваться заражённым компьютером в целях, отличающихся от его лечения.
Tags: it, мой сайт
Subscribe

Recent Posts from This Journal

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 16 comments

Recent Posts from This Journal