По долгу дружбы и родственных связей пришлось поближе познакомиться с еще одним браузером угонщиком, общее название которому можно дать по одному из вирусных процессов — SSFK.exe. Этот вирус, который мы будем ниже удалять, -контролирует все настройки всех браузеров, добавляет слишком большое количество различной рекламки и своих сервисов в настройки браузера. И кроме этого может манипулировать вашими контактными данными с различных сайтов и с сохраненными паролями.

Для тех кого тема касается в первый раз, скажу что где-то год назад я сражался с вирусом Omiga, который так же угонял управление вашим браузером. Хотелось бы сказать, что вирус SSFK.exe на порядок серьезнее, нежели вирус Omiga, но и на порядок палевнее, да и просто неюзабелен. Это я веду к рассуждению о том, зачем создавать вирус для показа своих объявлений, если это(нажатие на рекламу) практически нереально выполнить из-за жутких тормозов и постоянно фатала браузера. Испытуемый Google Chrome по своей скорости работы и первостепенной задаче по поиску информации был на уровне ручного поиска нужного материала в физической библиотеке(помните еще про такие?), а в то время как Internet Explorer и вовсе отказывался что-либо делать. Ну какой прок от этого хакеру? Надеюсь, ты хоть пароли забрал, а то печально все-это…

Удаляем вирус SSFK.EXE с компьютера

Легкость нахождения вируса полностью лежит на заслугах Диспетчера Задач, вкладка Процессы которого легко позволит опытному взгляду определить вирусные процессы. Среди них неплохо паляться такие процессы как

  • ssfk.exe(возможно название процесса TODO: <公司名>)
  • hnsz16fc.tmp
  • jnstffb2.tmp
  • knsnc3ec.tmp
  • snsz9253.tmp
  • gmsd_re_005010083.exe
  • wdsmanpro.exe

и некоторые другие(а возможно некоторых и нет). Но смысл прост, вам просто необходимо найти подозрительные процессы. Я уже все клавиши прожужжал по этой теме(взять хотя бы статью Как удалить вирусы) о том, что процесс удаления большинства вирусов предельно прост(серьезные вирусы используют серьезные способы):

  • Находим подозрительные процессы
  • Отключаем автозагрузку этих процессов
  • Перезагружаем компьютер и убеждаемся в том, что вирус неактивен.
  • Удаляем все файлы вируса
  • Проверяем работу

Все это сводится к тому, чтобы сначала избавить систему от запущенных вирусных процессов, которые могут и будут защищаться от попыток их удаления. Когда они не запущены, они могут быть спокойно удалены. В нашем случае все то же самое, только вышеописанные пост Как удалить вирусы не помог бы в нашем случае, так как автозагрузка вируса ssfk.exe обеспечивается с помощью автозагрузки служб, а не автозагрузкой приложений(вот и необходимость добавления соответствующих знаний в тот пост).

И после всех этих изысканий предложу план удаления вируса ssfk.exe, с помощью которого я очистил компьютер своего родственника:

  1. Лезем в Безопасный режим. А том как это сделать можете прочитать тут. Стоит сказать, что в безопасном режиме вирус не работает, так что
  2. Открываем оснастку Службы(Win+R и команда services.msc, либо любой другой удобный вам способ)
  3. Сортируем все службы по способу запуска Автоматически(именно с таким типом сидят все службы вируса, в моем случае их было около 4-5).
  4. Проходимся по каждой службе и проверяем ее профпригодность. Если вы не знаете для чего нужна очередная служба(а вы не знаете), лезем в поисковик с названием данного процесса. Ликбез по информационным технологиям вам точно не помешает, чтобы меньше вирусов в будущем ловили, так что не нужно жаловаться на свою нелегкую долю по изучению нескольких десятков различных служб. Для затравки скажу, что отключив важную службу, например, связанную с сетью, вы не сможете лицезреть свой любимый Интернет, пока не включите его обратно. Так что читаем внимательно(как статью, так и информацию про службы) и пользуемся подсказками по ходу статьи.
  5. Вирусные службы переводим в Тип Запуска Отключено. Для этого нужно дважды нажать на соответствующую службы и выбрать пункт Отключено в соответствующем пункте.
  6. Далее можете перезагрузиться в обычном режиме и проверить активен ли вирус. Если да, то вы отключили не все службы, посему возвращаемся на пункт номер 1. Если вирус неактивен(а как вы кстати это поймете??), удаляем файлы вируса.
  7. Перезагрузка компьютера и продолжаем и лазить по Интернету и цеплять очередные вирусы.

Как видите, здесь нет какой-либо конкретики, вроде зайти в такую-то папку и удалить такой то файл. Нынешние вирусы уже поумнее и легко могут генерировать имена для своих папок и возможно нет еще одного компьютера, где вирус бы расположился так же, как на другом. Можно генерировать как место хранения, так и название файла — и это делается в три счета. Можно генерировать и само тело вируса, чтобы сигнатурный анализ файла антивирусной программой не смог его определить. Поэтому указывать место хранений вируса в лично моем случае могло лишь вызвать шквал комментариев аля «у меня нет такой папки, у меня нет такого файла». Посему прошу думать самим, а если вы глубоко далеки от этой темы и хотите только пожаловаться, жалуйтесь по телефону компьютерному специалисту, который оставляет свои визитки в вашем почтовом ящике или в лифте, уверен, он обрадуется и выслушает вашу историю.

Но все же я не могу вас просто так оставить и скину нижеследующий скрипт для антивирусного сканера AVZ:

[code]begin
ShowMessage(‘Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.’ + #13#10 + ‘После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.’);
ExecuteFile(‘net.exe’, ‘stop tcpip /y’, 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName(‘c:\users\komel\appdata\local\host installer\305770558_installspro.exe’);
TerminateProcessByName(‘c:\program files (x86)\gmsd_re_005010083\gmsd_re_005010083.exe’);
TerminateProcessByName(‘c:\program files (x86)\gmsd_re_005010084\gmsd_re_005010084.exe’);
TerminateProcessByName(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\hnsz16fc.tmp’);
TerminateProcessByName(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\jnstffb2.tmp’);
TerminateProcessByName(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\knsnc3ec.tmp’);
TerminateProcessByName(‘C:\Program Files (x86)\SFK\SFKEX64.exe’);
TerminateProcessByName(‘c:\users\komel\appdata\local\4c4c4544-1441793410-4b10-804d-b7c04f435431\snsz9253.tmp’);
TerminateProcessByName(‘c:\program files (x86)\sfk\ssfk.exe’);
TerminateProcessByName(‘c:\programdata\schedule\timetasks.exe’);
TerminateProcessByName(‘c:\users\komel\appdata\local\gmsd_re_005010083\upgmsd_re_005010083.exe’);
TerminateProcessByName(‘c:\programdata\vwdsmanprov\wdsmanpro.exe’);
SetServiceStart(‘WdsManPro’, 4);
SetServiceStart(‘SSFK’, 4);
SetServiceStart(‘sexuzido’, 4);
SetServiceStart(‘noxecuny’, 4);
SetServiceStart(‘lehicewu’, 4);
SetServiceStart(‘fycuwoco’, 4);
QuarantineFile(‘C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe’,»);
QuarantineFile(‘C:\Users\KOMEL\AppData\Roaming\eTranslator\eTranslator.exe’,»);
QuarantineFile(‘c:\programdata\vwdsmanprov\wdsmanpro.exe’,»);
QuarantineFile(‘c:\users\komel\appdata\local\gmsd_re_005010083\upgmsd_re_005010083.exe’,»);
QuarantineFile(‘c:\programdata\schedule\timetasks.exe’,»);
QuarantineFile(‘c:\program files (x86)\sfk\ssfk.exe’,»);
QuarantineFile(‘c:\users\komel\appdata\local\4c4c4544-1441793410-4b10-804d-b7c04f435431\snsz9253.tmp’,»);
QuarantineFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\knsnc3ec.tmp’,»);
QuarantineFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\jnstffb2.tmp’,»);
QuarantineFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\hnsz16fc.tmp’,»);
QuarantineFile(‘c:\program files (x86)\gmsd_re_005010084\gmsd_re_005010084.exe’,»);
QuarantineFile(‘c:\program files (x86)\gmsd_re_005010083\gmsd_re_005010083.exe’,»);
QuarantineFile(‘c:\users\komel\appdata\local\host installer\305770558_installspro.exe’,»);
DeleteFile(‘c:\users\komel\appdata\local\host installer\305770558_installspro.exe’,’32’);
DeleteFile(‘c:\program files (x86)\gmsd_re_005010083\gmsd_re_005010083.exe’,’32’);
DeleteFile(‘c:\program files (x86)\gmsd_re_005010084\gmsd_re_005010084.exe’,’32’);
DeleteFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\hnsz16fc.tmp’,’32’);
DeleteFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\jnstffb2.tmp’,’32’);
DeleteFile(‘c:\program files (x86)\4c4c4544-1441782563-4b10-804d-b7c04f435431\knsnc3ec.tmp’,’32’);
DeleteFile(‘C:\Program Files (x86)\SFK\SFKEX64.exe’,’32’);
DeleteFile(‘c:\users\komel\appdata\local\4c4c4544-1441793410-4b10-804d-b7c04f435431\snsz9253.tmp’,’32’);
DeleteFile(‘c:\program files (x86)\sfk\ssfk.exe’,’32’);
DeleteFile(‘c:\programdata\schedule\timetasks.exe’,’32’);
DeleteFile(‘c:\users\komel\appdata\local\gmsd_re_005010083\upgmsd_re_005010083.exe’,’32’);
DeleteFile(‘c:\programdata\vwdsmanprov\wdsmanpro.exe’,’32’);
DeleteFile(‘C:\Users\KOMEL\AppData\Roaming\eTranslator\eTranslator.exe’,’32’);
DeleteFile(‘C:\Windows\Tasks\MyBrowser.job’,’32’);
DeleteFile(‘C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe’,’32’);
DeleteFile(‘C:\Windows\system32\Tasks\MyBrowser’,’64’);
DeleteFile(‘C:\Windows\system32\Tasks\Soft installer’,’64’);
DeleteService(‘fycuwoco’);
DeleteService(‘lehicewu’);
DeleteService(‘sexuzido’);
DeleteService(‘SSFK’);
DeleteService(‘WdsManPro’);
RegKeyParamDel(‘HKEY_CURRENT_USER’,’Software\Microsoft\Windows\CurrentVersion\Run’,’eTranslator Update’);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\RunOnce’,’upgmsd_re_005010084.exe’);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\RunOnce’,’upgmsd_re_005010083.exe’);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\Run’,’gmsd_re_005010084′);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\Run’,’gmsd_re_005010083′);
RegKeyParamDel(‘HKEY_LOCAL_MACHINE’,’Software\Microsoft\Windows\CurrentVersion\Run’,’Schedule’);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]

Нет, я не прошу вас использовать AVZ, хотя и можете(я не знаю как работают эти скрипты, но уже одного взгляда хватает для того, чтобы понять, что он написан для пользователя komel, что может не подойти в вашем случае). Я даю необходимую информацию острому взгляду, который сразу же найдет приблизительные местоположения файлов вируса(взять хотя бы тот же вирус ssfk.exe, который в данном скрипте указан по адресу

[code]c:\program files (x86)\sfk\ssfk.exe[/code]

, что может вам помощь в его удалении. Однако опытные пользователи это могут сделать сами, ведь есть удивительно полезный пункт в контекстном меню любого процесса в соответствующей вкладке Диспетчера задач, который называется Расположение файла и который прямо в Проводнике откроет вам нужную папку и выделить вирусный процесс. Было бы желание, правда?

Рассуждение на досуге о вирусе SSFK.exe

Продолжая умозаключения начатые в начале статьи про удаление вируса ssfk.exe хотелось бы отметить, что все(ну я особо пристально вглядывался только в два из них, среди которых был и ssfk.exe) из них имеют цифровую подпись, причем разную. Это значит:

  • Нужно потратить как минимум 10 штук для того чтобы получить сертификат, либо стащить его откуда то(что само по себе сложно и наличие сразу двух сертификатов(как минимум) не дают сильную основу для доверия этому).
  • И куда смотрят антивирусные программы, так как цифровая подпись как клеймо может спалить вирусную программу, пусть хоть весь код в ней будет переписан с нуля. Определив однажды сертификат как сертификат используемый в вирусах, антивирусы могут либо полностью блокировать такие программы, либо относиться к ним с большим вниманием.
  • Так же стоит отметить, что сертификат для ssfk.exe был получен всего-то в 11-12 ноября 2015 года(не помню точную дату). Статья пишется 13-ого числа. Конечно этот факт может служить оправданием антивирусных программ, которые могли не успеть идентифицировать вирус и обновить сигнатуры. Но судя по количеству и времени различных записей про вирус ssfk.exe в сети интернет, вирус впервые появился отнюдь не в начале ноября. Что же, получение сертификатов поставлено на поток или в чем дело? Подкиньте и мне чистый сертификат чтоли…
  • И к тому же для получения сертификата нужно полностью пройти идентификацию личности и места проживания. Не думаю что хакеры выдадут свои данные.

Для тех кто не в курсе, наличие сертификата автоматически делает программу доверенной в глазах многих антивирусов, в следствии чего те практически не ограничивают действия таких программ. В общем, вирус развивает во мне немало тем для дальнейшего размышления, а может быть я вовсе не понимаю какую-то главную суть. Но не суть, главное чтобы вы смогли избавить свои браузеры от надоедливой рекламы.

UPDATE: Кстати, интересно было видеть в процессах файлы расширения .tmp. Есть информация как проделать такой трюк?

UPDATE2:  Пришлось столкнуться еще раз с данным вирусом, который на этот оказался чуть агрессивнее. Избавление от вируса так же пришло благодаря очистке служб от вирусных, которые палятся сразу же(за что спасибо автору-хакеру).

Некоторые проблемы вызвал процесс chrome.exe, которым явно рулил наш вирус. Хоть и расположение, иконки да и все сопутствующие файлы говорили о том, что это самый настоящий Хромик, он все же имел явные свойства вируса: плодил процессы сразу после запуска компьютера(без запуска chrome`а), а так же в ответку на завершение данных процессов плодил по несколько новых процессов. Победить эту Гидру оказалось делом веселым: если переименовать запускаемый файл на что-то другое, нежели chrome.exe, то новые головы у Гидры переставили расти. Далее выцепляете все процессы и удаляете зараженный Хром.

Интересным оказалось борьба с процессом QC.exe, который явно образован от Quality Checker, который под видом легитимного приложения тихо и мирно уселся в c:\program files. Кстати, если не ошибаюсь, этот процесс был единственным(ну, конечно же, кроме нашего вируса SSFK, ради которого и открыта эта статья) , кто полез в положенное для приложений место на диске, тогда как все остальные вирусные процессы лежали либо в Program Data, либо в глубинах AppData нашего пользователя, тем самым дополнительно выдавая себя. А вот qc.exe, хоть и не отображался в процессах, явно был запущен и работал, так как сразу по удалению исполняемого файла(что кстати, удавалось без проблем), вирус восстанавливал обратно данный файл. Это можно было увидеть всего лишь обновив папку. Но вирус удаляется как миленький в Безопасном режиме.

Кроме этого, вирус SSFK со своей компанией, подпортили что-то где-то с запуском Explorer. Процесс Проводника хоть и запускался по загрузке компьютера, не понять это можно было только по Диспетчеру Задач, так как фон был черный и от Проводника ничего не работало. Костылем в данном случае может послужить дополнительный запуск explorer.exe через Выполнить. Однако адекватное лечение должно состоять из сканирования sfc /scannow и проверкой адекватности записи в параметре Shell, что находится по адресу

[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]

Напомню, что в параметре должно быть значение explorer.exe. На этом думаю все.