Win32.Virut.56 нападает

Нападению зверя подвергся старенький ноут на CeleronM. К признакам заражения, помимо писка антивирусов, коих владелец поставил аж два — Avast и Avira, можно отнести практически полный паралич системы после загрузки. Перемещение мыши происходило рыками, ярлыки не выделялись, запуск программ происходил с задержкой от 30 секунд до нескольких минут. Собственно это и стало причиной, по которой вирус требовалось излечить, веди он себя тихо и мирно, мог бы годами заражать флешки и красть пароли.

Win32.Virut.56 вирус старинный, пил кровь еще в 2009 году. Этот полиморфный вирус заражает массово exe файлы на диске, иногда портит безвозвратно, способен дописывать в конец HTML файла тег инициирующий загрузку вредоносной программы.

Линк на вирусопедии DrWeb

В безопасном режиме система работала более менее сносно, поэтому была предпринята атака (а вдруг повезет) при помощи CureIT последней версии. Ныне это 7-я версия с переработанным интерфейсом. После полуторачасового сканирования было выявлено заражение практически всех exe-файлов, из которых только один не был вылечен, его оказалось достаточно чтобы после перезапуска заражение произошло повторно.

Так как быстрого лечения не получилось пришлось прибегнуть к более радикальным методам. В дело пошел Live CD от DRWeb. Live CD построен на базе Linux и использует для лечение DRWeb для Linux. Для работы с файловой системой используется Midnight Commander, запустив который проверил доступное место для файловой системы ROOT (команда DF из консоли), результат расстроил — доступно было только 225МВ. Затем прошелся по всем местам где могут храниться лишние файлы и поудалял их. К местам хранения временных файлов можно отнести папки TEMP в папках Windows и Documents and Settings, папки кешей браузеров в данном случае это Opera и IE. Очистка этих папок принесла около 1 ГБ свободного места и минус 7000 файлов. Заодно была проверена на наличие ненужных файлов папка Install — оттуда было удалено все, что можно было потом залить из безопасного источника. После уменьшения числа проверяемых объектов запустил полную проверку.

Тут тоже пошло не все так гладко как хотелось и могло бы. После обнаружения 900 зараженных exe-файлов память закончилась и процесс остановился, продолжить его штатными средствами не получилось. Пришлось проверять по директориям — отдельно папку Windows, отдельно Program Files и т.д. Процесс тронулся с мертвой точки, было замечено, что память начинает расходоваться при обнаружении зараженных объектов.

В процессе проверки был замечен еще один интересный момент. DR Web наотрез отказывался проверять три файлика, дойдя до них он останавливался и долго долго их проверял (больше часа, дальше терпения не хватило). Файлы входили в состав программа Avast, ничем не выделялись — размер до 300Кб, не исполняемые. Копия одного из этих файлов лежала в папке восстановления системы. После удаления этих файлов процесс наконец то успешно завершился.

Для защиты системы на ближайшее время был установлен DR Web с бесплатной месячной лицензией. При установке Dr Web честно предупредил, что работать все это будет исключительно тяжело по причине отсутствия мощного процессора и низком объеме памяти.

Лечить и защищать от вирусов старые системы крайне трудно и затратно по времени. На лечение было потрачено около 8 часов времени, на восстановление системы (на ноуте R-40 есть область с записанной системой) ушло бы 20-30 минут с подъемом всего ПО и бекапом пользовательских данных.