По долгу дружбы и родственных связей пришлось поближе познакомиться с еще одним браузером угонщиком, общее название которому можно дать по одному из вирусных процессов — SSFK.exe. Этот вирус, который мы будем ниже удалять, -контролирует все настройки всех браузеров, добавляет слишком большое количество различной рекламки и своих сервисов в настройки браузера. И кроме этого может манипулировать вашими контактными данными с различных сайтов и с сохраненными паролями.
Для тех кого тема касается в первый раз, скажу что где-то год назад я сражался с вирусом Omiga, который так же угонял управление вашим браузером. Хотелось бы сказать, что вирус SSFK.exe на порядок серьезнее, нежели вирус Omiga, но и на порядок палевнее, да и просто неюзабелен. Это я веду к рассуждению о том, зачем создавать вирус для показа своих объявлений, если это(нажатие на рекламу) практически нереально выполнить из-за жутких тормозов и постоянно фатала браузера. Испытуемый Google Chrome по своей скорости работы и первостепенной задаче по поиску информации был на уровне ручного поиска нужного материала в физической библиотеке(помните еще про такие?), а в то время как Internet Explorer и вовсе отказывался что-либо делать. Ну какой прок от этого хакеру? Надеюсь, ты хоть пароли забрал, а то печально все-это…
Удаляем вирус SSFK.EXE с компьютера
Легкость нахождения вируса полностью лежит на заслугах Диспетчера Задач, вкладка Процессы которого легко позволит опытному взгляду определить вирусные процессы. Среди них неплохо паляться такие процессы как
- ssfk.exe(возможно название процесса TODO: <公司名>)
- hnsz16fc.tmp
- jnstffb2.tmp
- knsnc3ec.tmp
- snsz9253.tmp
- gmsd_re_005010083.exe
- wdsmanpro.exe
и некоторые другие(а возможно некоторых и нет). Но смысл прост, вам просто необходимо найти подозрительные процессы. Я уже все клавиши прожужжал по этой теме(взять хотя бы статью Как удалить вирусы) о том, что процесс удаления большинства вирусов предельно прост(серьезные вирусы используют серьезные способы):
- Находим подозрительные процессы
- Отключаем автозагрузку этих процессов
- Перезагружаем компьютер и убеждаемся в том, что вирус неактивен.
- Удаляем все файлы вируса
- Проверяем работу
Все это сводится к тому, чтобы сначала избавить систему от запущенных вирусных процессов, которые могут и будут защищаться от попыток их удаления. Когда они не запущены, они могут быть спокойно удалены. В нашем случае все то же самое, только вышеописанные пост Как удалить вирусы не помог бы в нашем случае, так как автозагрузка вируса ssfk.exe обеспечивается с помощью автозагрузки служб, а не автозагрузкой приложений(вот и необходимость добавления соответствующих знаний в тот пост).
И после всех этих изысканий предложу план удаления вируса ssfk.exe, с помощью которого я очистил компьютер своего родственника:
- Лезем в Безопасный режим. А том как это сделать можете прочитать тут. Стоит сказать, что в безопасном режиме вирус не работает, так что
- Открываем оснастку Службы(Win+R и команда services.msc, либо любой другой удобный вам способ)
- Сортируем все службы по способу запуска Автоматически(именно с таким типом сидят все службы вируса, в моем случае их было около 4-5).
- Проходимся по каждой службе и проверяем ее профпригодность. Если вы не знаете для чего нужна очередная служба(а вы не знаете), лезем в поисковик с названием данного процесса. Ликбез по информационным технологиям вам точно не помешает, чтобы меньше вирусов в будущем ловили, так что не нужно жаловаться на свою нелегкую долю по изучению нескольких десятков различных служб. Для затравки скажу, что отключив важную службу, например, связанную с сетью, вы не сможете лицезреть свой любимый Интернет, пока не включите его обратно. Так что читаем внимательно(как статью, так и информацию про службы) и пользуемся подсказками по ходу статьи.
- Вирусные службы переводим в Тип Запуска Отключено. Для этого нужно дважды нажать на соответствующую службы и выбрать пункт Отключено в соответствующем пункте.
- Далее можете перезагрузиться в обычном режиме и проверить активен ли вирус. Если да, то вы отключили не все службы, посему возвращаемся на пункт номер 1. Если вирус неактивен(а как вы кстати это поймете??), удаляем файлы вируса.
- Перезагрузка компьютера и продолжаем и лазить по Интернету и цеплять очередные вирусы.
Как видите, здесь нет какой-либо конкретики, вроде зайти в такую-то папку и удалить такой то файл. Нынешние вирусы уже поумнее и легко могут генерировать имена для своих папок и возможно нет еще одного компьютера, где вирус бы расположился так же, как на другом. Можно генерировать как место хранения, так и название файла — и это делается в три счета. Можно генерировать и само тело вируса, чтобы сигнатурный анализ файла антивирусной программой не смог его определить. Поэтому указывать место хранений вируса в лично моем случае могло лишь вызвать шквал комментариев аля «у меня нет такой папки, у меня нет такого файла». Посему прошу думать самим, а если вы глубоко далеки от этой темы и хотите только пожаловаться, жалуйтесь по телефону компьютерному специалисту, который оставляет свои визитки в вашем почтовом ящике или в лифте, уверен, он обрадуется и выслушает вашу историю.
Но все же я не могу вас просто так оставить и скину нижеследующий скрипт для антивирусного сканера AVZ:
[code]begin
ShowMessage(‘Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.’ + #13#10 + ‘После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.’);
ExecuteFile(‘net.exe’, ‘stop tcpip /y’, 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName(‘c:\users\komel\appdata\local\host installer\305770558_installspro.exe’);
TerminateProcessByName(‘c:\program files (x86)\gmsd_re_005010083\gmsd_re_005010083.exe’);
TerminateProcessByName(‘c:\program files (x86)\gmsd_re_005010084\gmsd_re_005010084.exe’);
TerminateProcessByName(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\hnsz16fc.tmp’);
TerminateProcessByName(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\jnstffb2.tmp’);
TerminateProcessByName(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\knsnc3ec.tmp’);
TerminateProcessByName(‘C:\Program Files (x86)\SFK\SFKEX64.exe’);
TerminateProcessByName(‘c:\users\komel\appdata\local\4c4c4544-1441793410-4b10-804d-b7c04f435431\snsz9253.tmp’);
TerminateProcessByName(‘c:\program files (x86)\sfk\ssfk.exe’);
TerminateProcessByName(‘c:\programdata\schedule\timetasks.exe’);
TerminateProcessByName(‘c:\users\komel\appdata\local\gmsd_re_005010083\upgmsd_re_005010083.exe’);
TerminateProcessByName(‘c:\programdata\vwdsmanprov\wdsmanpro.exe’);
SetServiceStart(‘WdsManPro’, 4);
SetServiceStart(‘SSFK’, 4);
SetServiceStart(‘sexuzido’, 4);
SetServiceStart(‘noxecuny’, 4);
SetServiceStart(‘lehicewu’, 4);
SetServiceStart(‘fycuwoco’, 4);
QuarantineFile(‘C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe’,»);
QuarantineFile(‘C:\Users\KOMEL\AppData\Roaming\eTranslator\eTranslator.exe’,»);
QuarantineFile(‘c:\programdata\vwdsmanprov\wdsmanpro.exe’,»);
QuarantineFile(‘c:\users\komel\appdata\local\gmsd_re_005010083\upgmsd_re_005010083.exe’,»);
QuarantineFile(‘c:\programdata\schedule\timetasks.exe’,»);
QuarantineFile(‘c:\program files (x86)\sfk\ssfk.exe’,»);
QuarantineFile(‘c:\users\komel\appdata\local\4c4c4544-1441793410-4b10-804d-b7c04f435431\snsz9253.tmp’,»);
QuarantineFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\knsnc3ec.tmp’,»);
QuarantineFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\jnstffb2.tmp’,»);
QuarantineFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\hnsz16fc.tmp’,»);
QuarantineFile(‘c:\program files (x86)\gmsd_re_005010084\gmsd_re_005010084.exe’,»);
QuarantineFile(‘c:\program files (x86)\gmsd_re_005010083\gmsd_re_005010083.exe’,»);
QuarantineFile(‘c:\users\komel\appdata\local\host installer\305770558_installspro.exe’,»);
DeleteFile(‘c:\users\komel\appdata\local\host installer\305770558_installspro.exe’,’32’);
DeleteFile(‘c:\program files (x86)\gmsd_re_005010083\gmsd_re_005010083.exe’,’32’);
DeleteFile(‘c:\program files (x86)\gmsd_re_005010084\gmsd_re_005010084.exe’,’32’);
DeleteFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\hnsz16fc.tmp’,’32’);
DeleteFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\jnstffb2.tmp’,’32’);
DeleteFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\knsnc3ec.tmp’,’32’);
DeleteFile(‘C:\Program Files (x86)\SFK\SFKEX64.exe’,’32’);
DeleteFile(‘c:\users\komel\appdata\local\4c4c4544-1441793410-4b10-804d-b7c04f435431\snsz9253.tmp’,’32’);
DeleteFile(‘c:\program files (x86)\sfk\ssfk.exe’,’32’);
DeleteFile(‘c:\programdata\schedule\timetasks.exe’,’32’);
DeleteFile(‘c:\users\komel\appdata\local\gmsd_re_005010083\upgmsd_re_005010083.exe’,’32’);
DeleteFile(‘c:\programdata\vwdsmanprov\wdsmanpro.exe’,’32’);
DeleteFile(‘C:\Users\KOMEL\AppData\Roaming\eTranslator\eTranslator.exe’,’32’);
DeleteFile(‘C:\Windows\Tasks\MyBrowser.job’,’32’);
DeleteFile(‘C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe’,’32’);
DeleteFile(‘C:\Windows\system32\Tasks\MyBrowser’,’64’);
DeleteFile(‘C:\Windows\system32\Tasks\Soft installer’,’64’);
DeleteService(‘fycuwoco’);
DeleteService(‘lehicewu’);
DeleteService(‘sexuzido’);
DeleteService(‘SSFK’);
DeleteService(‘WdsManPro’);
RegKeyParamDel(‘HKEY_CURRENT_USER’,’Software\Microsoft\Windows\CurrentVersion\Run’,’eTranslator Update’);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\RunOnce’,’upgmsd_re_005010084.exe’);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\RunOnce’,’upgmsd_re_005010083.exe’);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\Run’,’gmsd_re_005010084′);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\Run’,’gmsd_re_005010083′);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\Run’,’Schedule’);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]
Нет, я не прошу вас использовать AVZ, хотя и можете(я не знаю как работают эти скрипты, но уже одного взгляда хватает для того, чтобы понять, что он написан для пользователя komel, что может не подойти в вашем случае). Я даю необходимую информацию острому взгляду, который сразу же найдет приблизительные местоположения файлов вируса(взять хотя бы тот же вирус ssfk.exe, который в данном скрипте указан по адресу
[code]c:\program files (x86)\sfk\ssfk.exe[/code]
, что может вам помощь в его удалении. Однако опытные пользователи это могут сделать сами, ведь есть удивительно полезный пункт в контекстном меню любого процесса в соответствующей вкладке Диспетчера задач, который называется Расположение файла и который прямо в Проводнике откроет вам нужную папку и выделить вирусный процесс. Было бы желание, правда?
Рассуждение на досуге о вирусе SSFK.exe
Продолжая умозаключения начатые в начале статьи про удаление вируса ssfk.exe хотелось бы отметить, что все(ну я особо пристально вглядывался только в два из них, среди которых был и ssfk.exe) из них имеют цифровую подпись, причем разную. Это значит:
- Нужно потратить как минимум 10 штук для того чтобы получить сертификат, либо стащить его откуда то(что само по себе сложно и наличие сразу двух сертификатов(как минимум) не дают сильную основу для доверия этому).
- И куда смотрят антивирусные программы, так как цифровая подпись как клеймо может спалить вирусную программу, пусть хоть весь код в ней будет переписан с нуля. Определив однажды сертификат как сертификат используемый в вирусах, антивирусы могут либо полностью блокировать такие программы, либо относиться к ним с большим вниманием.
- Так же стоит отметить, что сертификат для ssfk.exe был получен всего-то в 11-12 ноября 2015 года(не помню точную дату). Статья пишется 13-ого числа. Конечно этот факт может служить оправданием антивирусных программ, которые могли не успеть идентифицировать вирус и обновить сигнатуры. Но судя по количеству и времени различных записей про вирус ssfk.exe в сети интернет, вирус впервые появился отнюдь не в начале ноября. Что же, получение сертификатов поставлено на поток или в чем дело? Подкиньте и мне чистый сертификат чтоли…
- И к тому же для получения сертификата нужно полностью пройти идентификацию личности и места проживания. Не думаю что хакеры выдадут свои данные.
Для тех кто не в курсе, наличие сертификата автоматически делает программу доверенной в глазах многих антивирусов, в следствии чего те практически не ограничивают действия таких программ. В общем, вирус развивает во мне немало тем для дальнейшего размышления, а может быть я вовсе не понимаю какую-то главную суть. Но не суть, главное чтобы вы смогли избавить свои браузеры от надоедливой рекламы.
UPDATE: Кстати, интересно было видеть в процессах файлы расширения .tmp. Есть информация как проделать такой трюк?
UPDATE2: Пришлось столкнуться еще раз с данным вирусом, который на этот оказался чуть агрессивнее. Избавление от вируса так же пришло благодаря очистке служб от вирусных, которые палятся сразу же(за что спасибо автору-хакеру).
Некоторые проблемы вызвал процесс chrome.exe, которым явно рулил наш вирус. Хоть и расположение, иконки да и все сопутствующие файлы говорили о том, что это самый настоящий Хромик, он все же имел явные свойства вируса: плодил процессы сразу после запуска компьютера(без запуска chrome`а), а так же в ответку на завершение данных процессов плодил по несколько новых процессов. Победить эту Гидру оказалось делом веселым: если переименовать запускаемый файл на что-то другое, нежели chrome.exe, то новые головы у Гидры переставили расти. Далее выцепляете все процессы и удаляете зараженный Хром.
Интересным оказалось борьба с процессом QC.exe, который явно образован от Quality Checker, который под видом легитимного приложения тихо и мирно уселся в c:\program files. Кстати, если не ошибаюсь, этот процесс был единственным(ну, конечно же, кроме нашего вируса SSFK, ради которого и открыта эта статья) , кто полез в положенное для приложений место на диске, тогда как все остальные вирусные процессы лежали либо в Program Data, либо в глубинах AppData нашего пользователя, тем самым дополнительно выдавая себя. А вот qc.exe, хоть и не отображался в процессах, явно был запущен и работал, так как сразу по удалению исполняемого файла(что кстати, удавалось без проблем), вирус восстанавливал обратно данный файл. Это можно было увидеть всего лишь обновив папку. Но вирус удаляется как миленький в Безопасном режиме.
Кроме этого, вирус SSFK со своей компанией, подпортили что-то где-то с запуском Explorer. Процесс Проводника хоть и запускался по загрузке компьютера, не понять это можно было только по Диспетчеру Задач, так как фон был черный и от Проводника ничего не работало. Костылем в данном случае может послужить дополнительный запуск explorer.exe через Выполнить. Однако адекватное лечение должно состоять из сканирования sfc /scannow и проверкой адекватности записи в параметре Shell, что находится по адресу
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
Напомню, что в параметре должно быть значение explorer.exe. На этом думаю все.