В течение последних трех лет при лечении ПК автор статьи практически на каждом зараженном ПК обнаруживает папку Е_4 (E_N4).

Типовое содержимое папки Е_4 (E_N4):

-    dpl.fne (114 688 байт);

-    eAPl.fne (323 584 байт);

-    krnln.fnr (1 097 728 байт);

-    shell.fne (40 960 байт);

-    spec.fne (69 632 байт).

Исследование показало, что файлы dpi .fne, eAPl.fne, krnln.fnr, shell.fne, spec.fne являются файлами трояна-дроппера, предназначенного для 32-битной платформы ОС Windows с процессором х86 (тип файла - Portable Executable, РЕ).

Антивирусы на содержимое папки Е_4 (до последнего времени!) не реагировали.

Деструктивные действия вируса

При заражении системы вирус создает в каталоге %Тетр%\ каталог Е_4 (E_N4) с файлами dpi .fne, eAPI. fne, krnln.fnr, shell.fne, spec.fne.

После распаковки дроппер создает в папках \ WINDOWS\ и \WINDOWS\system32\ исполняемые файлы вируса (например, newkill и runauto..).

Как удалить дроппер Е_4

Запустите Диспетчер задач (любым способом - например, с помощью Ctrl+Alt+Del или с помощью Пуск -> Выполнить... -> taskmgr -> OK);

-    в окне Диспетчера Задач откройте вкладку Процессы;

-    выгрузите из памяти подозрительные процессы;

-    закройте Диспетчер задач;

-    удалите каталоги %Temp%\E_4\ (%Temp%\E_N4\);

-    удалите файлы вируса из каталогов \Windows\ и \ Windows\system32\;

-    нажмите Пуск -> Выполнить... -> в поле Открыть введите regedit -> OK;

-    раскройте ветвь

[HKEY_LOCAL_MACHINE\SOFTW/?RE\Microsoft\ Windows N7\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);

-    проверьте значение строкового (REG_SZ) параметра Userinit, - должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске С:\, если на другом диске, то <буква_AncKa>:\Windows\system32\userinit.exe,);

-    закройте Редактор реестра;

-    нажмите Пуск -> Выполнить... -> в поле Открыть введите regsvr32 /\ shell32.dll -> ОК;

-    появится окно RegSvr32 с сообщением «DIIRegisterServer and Dlllnstall в shell32.dll завершено успешно», нажмите ОК;

-    для предотвращения повторного заражения отключите восстановление системы (или вручную очистите папку System Volume Information);

-    очистите кэш интернет-файлов;

-    перезагрузите ПК;

-    включите восстановление системы;

-    просканируйте систему антивирусом со свежими базами.

Примечания

1. Троян-дроппер (Trojan-Dropper) - это вредоносная программа, предназначенная для скрытной установки

на компьютер-жертву вредоносных программ, содержащихся в ее теле (или загружаемых из Интернета).

Троян-дроппер сохраняет на жесткий диск заражаемого ПК (как правило, в каталоги \Windows\, \Windows\ system32\, %Temp%\) другие вредоносные файлы и запускает их на выполнение.

Трояны-дропперы, как правило, применяются злоумышленниками для защиты от обнаружения антивирусами (не все антивирусы могут детектировать вирусы, упакованные в теле дроппера).

2.    Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

3.    Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

4.    Почаще делайте резервное копирование важной информации.

На 31.03.2010 г. антивирусы так идентифицируют зловреда:

Файл dpl.fne:

-    a-squared - Trojan.Win32.AutoRun!IK;

-    Authentium - W32/Autorun.GC;

-    CAT-QuickHeal - Trojan.AutoRun.mo;

-    eSafe - Win32.PSWADUV;

-    F-Prot - W32/Autorun.GC;

-    Ikarus - Trojan.Win32.AutoRun;

-    K7AntiVirus - Trojan.Win32.Malware.1;

-    Norman - W32/Agent.NNDZ;

-    nProtect - Trojan/W32.Agent.114688.DL;

-    Prevx - Medium Risk Malware;

-    Sophos - W32/AutoRun-MO;

-    ViRobot - Adware.Agent.Do.114688;

-    VirusBuster - Trojan.Autorun.KKU.

Файл eAPl.fne:

-    a-squared - Trojan.Small.323584.A!IK;

-    Authentium - W32/Autorun.GA;

-    CAT-QuickHeal - Trojan.AutoRun.mo;

-    ClamAV - Exploit.MS03-43;

-    eSafe - Win32.PSW6.aduv;

-    F-Prot - W32/Autorun.GA;

-    Ikarus - Trojan.Small.323584.A;

-    K7AntiVirus - Trojan.Win32.Malware.1;

-    Norman - W32/Suspicious_Gen2.CKDV;

-    Sunbelt - Trojan.Win32.AutoRun.mo;

-    ViRobot - Adware.Agent.Do.323584;

-    VirusBuster - Trojan . Autorun . KWM.