Удаление вируса

Я думаю приведенный  пример будет полезен всем новичкам. В виду того что этих
вирусов (типо autorun.inf) заражающих флешки, щас развелось не мало и у людей
возникают много вопросов и проблем с их удалением, решил написать что то вроде
мини статьи о том как я сегодня обнаружил и удалил подобный вирус.

Придя уставший с универа, захотелось мне послушать музыки на своем ноуте, захожу
Мой компьютер>Локальный диск С: и, опа, замечаю что Диск открылся в новом окошке.
Хм подумал я , вроде бы в настройках Вида я неотмечал открытие каждой папки в новом
окне. И тут я вспомнил, что пару дней назад я что то кому то записывал на флешку
Стоп! Вроде бы автозапуск через политику локального компьютера я отменил.
Дык, так это же на домашнем компе...  Стало понятно что компьютер заражен.
Обычно подобные вирусы добавляли новую запись в меню открытия диска (что то вроде
Open (0)) а тут надо же, все как положено. Пошел дальше захотел проверить
autorun.inf, Указываю отображение скрытых файлов и нифига ничего не меняется.
Хочу снова поставить галочку на отображение скрытых файлов в меню Сервис>Свойства
Папки>Вид и замечаю что кто то ее переставляет на "Не показывать скрытый файлы и
папки" я улыбнулся в ответ =) стало как то очень интересно. Умный вирус отметил
я для себя. Идем дальше...

  Проверяю список процессов через Ctrl+Alt+Del ( taskmgr ) и... хм, ничего
лишнего вроде в процессах не висит. Проверяю известные пути Автозапуска через
regedit.exe и там все чисто. Ну очень мне захотелось посмотреть на скрытые
файлы в диске С:, я поступил так, открыл cmd.exe набрал команду dir c:\ /A
(просмотр  файлов со всевозможными атрибутами) и увидел autorun.inf, захотел
посмотреть в него, набрал команду: type c:\autorun.inf там была ссылка на некий
файл utdetect.com который кстати лежал там же на диске C:\. Файл имел атрибут
скрытый+системный и просто командой del c:\utdetect.com его не удалить, для это
сперва нужно снять эти атрибуты командой: attrib -S -H c:\utdetect.com, затем я
его удалил командой del /F c:\utdetect.com. через несколько секунд он опять
оказался там же, что и следовало ожидать. Из всего этого я сделал следующие
выводы: Вирус поместил в  память процесс либо код который постоянно следит за
сохранностью файлов utdetect.com и autorun.inf на всех дисках системы. Мало
того возможно в нем реализован перехват API функций для скрытия ключей реестра
и списка процессов ну и заражения активных процессов, методом внедрение в
процесс через WriteProccessMemory.

Понял что подручными средствами тут не обойтись, а антивируса у меня на ноуте
нет, нагружает и без того мой нагруженный старенький ноут.

Первым делом решил проверить файл utdetect.com на сайте wwwviruslist.com, файл
оказался вирусом Trojan-PSW.Win32.OnLineGames.jtn но о том как от него
избавиться ничего сказано не было, как в прочем и гугл ничего полезного сказать
о нем несмог. Решил избавляться самостоятельно, с сайта Майкрософт скачал
программу от Sysinternals (написанную Марком Русиновичем) Autoruns (программа
отображает все возможные места автозапуска программ драйверов и т.д.) оттуда же
за компанию для детального анализа решил скачать Process Explorer (показывает
детальную информацию об активных процессах) и Process Monitor (следит за
дейстиями всех процессов в системе такими как: Обращение к реестру, файловой
системе и т.д.)

Для начала я решил зайти в реестр и вернуть все таки галочку на "показывать
скрытый файлы и папки" вручную. Изменил параметр
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
                       \Advanced\Hiden = 00000001.
Опять ничего не поменялось. Загрузил Process Monitor настроил фильтр на
обращение к реестру и заметил что процесс Explorer.exe каждые 10 секунд ( я
стал засекать )

меняет этот параметр в значение 00000002 т.е. изменить его не получиться
покрайней мере пока процесс Explorer.exe активен. Кроме того он перезаписывал
еще 3 значения в реестре, но я не стал пока обращать на них внимание. Стало
понятно что покрайней мере этот процесс заражен вирусом точно. Решил покопаться
в нем запустил Process Explorer и в списке подгруженных к процессу библиотек
заметил одну странную библиотеку с названием avpo0.dll ( странной она мне
показалась, во-первых на ней отсутствовала подписть "Корпорация Майрософт"
во - вторых название очень странное, "avp" - обычно называется процесс
антивируса, а раз его у меня нет, тогда кому кроме вируса понадобится
прятаться под его именем? =) Через "Find Dll" в меню ProcessExplorer`a я
заметил что кроме Explorer.exe библиотека так же подгружена еще к некоторым
процессам. В списке был и сам ProcessExplorer не было там только процесса
cmd.exe спрашивается почему? Ответ прост потому что cmd.exe консольное
приложение и не создает окна, значит в вирусе стоит Хук на создание окна, т.о.
он подгружается ко всем "оконным" процессам. Довольно простой и
распространенный метод внедрения DLL. Я даже немного разочаровался. Далее
запустил программу Autoruns и в списке загружаемых из разных мест приложений
заметил некие файл avpo.exe ну ясно почему я его заметил Видимо это и есть
загрузчик библиотеки, который подгружает ее к explorer.exe. На этом можно
сказать самое интересное закончилось, вирус обнаружен теперь осталось его
удалить, а сделать это оказалось совсем не трудно. Во первых я все же отключил
автозапуск дисков через [Пуск>Выполнить>gpedit.msc>Политика "локальный
компьютер">Конфигурация компьютера>Административные шаблоны>Система>Отключить
автозапуск] изменил на "Включено". Далее удалил через программу Autoruns ветку
реестра которая загружала файл avpo.exe. Перезагрузил компьютер, затем через
cmd удалил C:\utdetect.com; c:\autorun.inf; (замечу что у меня на ноуте только
один диск С:\, иначе пришлось бы удалять со всех дисков) 
C:\Windows\system32\avpo.exe; c:\windows\system32\avpo0.dll предварительно
сняв с них атрибут "системный". Перезагрузил компьютер, но Explorer так и не
захотел показывать мне скрытые файлы, Значит вирус где то, что то поменял таким
образом. И тут я вспомнил про те оставшиеся 3 параметра которые обновлял вирус
через каждые 10 секунд. Эти параметры “регулировали” переключатели
“показывать/не показывать скрытые файлы и папки” в меню Сервис>Свойства Папки
Explorer`a. Я поступил самым простым способом, благо под рукой оказался
компьютер со стерильной виндой я тупо скопировал весь раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
                       \Advanced\Folder\Hidden и перенес его на свой ноут.
Внимательно посмотрев на весь этот раздел я был весьма удивлен, как легко
можно запретить Explorer`у отображение скрытых файлов достаточно поменять
значение параметра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
                        \Folder\Hidden\SHOWALL\CheckedValue с 00000001
на 00000002, и все после этого любые попытки поставить галочку на
“Показывать скрытые файлы и папки” ничего не даст (стоить взять это на заметку
  ).