Итак сегодня мне снова попался на глаза вирус igfxtray.exe (Win32/TrojanDownloader.Carberp.AD — вроде так он зовется в Nod’ом)
Судя по названию вирус «притворяется» файлом, относящимся к драйверам на встроенную видеокарту Intel — Эта программа устанавливается с драйверами для интегрированной графии Intel и используется для различных настроек через иконку в панели задач. Не стоит их путать. Файл относящийся к Intel располагается в %Windir%/system32
Этот же паразит располагается либо В папке %APPDATA%, либо чаще встречается в %USERPROFILE%\Главное меню\Программы\Автозагрузка
С файлом igfxtray.exe может идти также и файл igfxtray.dat
Симптомы:
1) igfxtray блокирует доступ в браузерах к интернету, при этом Skype, Mail-агент, TeamViewer и прочие программы не относящиеся к браузерам, вполне себе нормально работают.
2) Компьютер начинает ощутимо подтормаживать, возможны зависания, «пропажа» информации на диске при переходе по папкам и т.д.
Защита
На этом компьютере был установлен антивирус Avast. Впрочем неудивительно, очень частно замечаю, что именно он пропускает этот вирус. Хотя ранее встречался и Nod32 — но видимо обновленные вирусные базы помогают заблокировать его сейчас. После успешного удаления вируса, был установлен именно Nod32
Инструменты
Удаление вируса производилось на этот раз без использования LiveCD (я пользуюсь Live CD Lex-Pex), хотя используя его все было бы гораздо проще, просто хотелось посмотреть возникли бы сложности без его участия. Как оказалось никаких проблем в удалении нет.
Программами, которыми я пользовался во время удаления: Total Commander (shareware-версию можно скачать тут), Autoruns, Unlocker, AVZ ну и пожалуй aswclear — для удаления антивируса Avast
Решение:
Рассмотрим подробно как от него избавится. Компьютер с которым я имел дело, видимо был заражен не только этим вирусом, но и ранее вирусом netprotocol — по крайней мере следы от него остались.
Хотелось бы заметить что за вас всю работу может сделать утилита CureIt, но в нашем случае мы подчистим даже от того, что CureIt делать точно не будет, а именно удалим не только само тело вируса — но и «потроха» относящиеся к нему.
Итак, в Total Commander заходим на системный диск. Видим следующую картину:
Видим непонятные название папок, наподобие 3aiOVQ5DGHHMHH5, gXWtglLVONwOh6V и т.д.
Это как раз и есть признак того что в системе находится вирус igfxtray -он создает в корне диска, папки с такими именами, и так как он находится в памяти, даже после удаления этих папок, на диске снова создаются новые папки с такими же «тупыми» названиями.
Так что пока их можно не трогать, хотя можете и удалить их.
Идем дальше, по пути %TMP% — видим следующее
не знаю, относятся ли эти файлы к вирусу igfxtray, на мой взляд нет, раньше такого не встречал, да и дата не соответствует, но то что это ненужные «остатки» от какого то вируса или какой нибудь ранее устанавливаемой программы — сомнений не вызывает
Также если пролистать файлы можно найти
Это скорее всего файлы относящиеся к вирусу netprotocol — и никакого отношения к igfxtray не имеют. Встречал такие названия файлов именно с вирусом netprotocol. Видимо антивирус недоработал и почистил не все.
Выделяем все (Ctrl+A) и смело удаляем все что в этой папке.
На удивление абсолютно все файлы и каталоги удалились, без каких нибудь проблем. (Если какие то файлы будут «цеплятся за жизнь» воспользуйтесь программой Unlocker)
Идем дальше %USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\
Выделяем все папки и удаляем их.
Далее переходим в %APPDATA%
Здесь мы встречаем igfxtray.dat, множество файлов *.tmp + каталоги с «дурацкими» названиями. Выделяем все это (INS) и удаляем (SHIFT+DEL).
В этот раз нам не так повезло
Интересно, вроде бы файл есть и его нет — это тоже особенность этого вируса. Ведь если посмотреть на каталог после удаления (выйти из него и снова зайти)
то файл остается на месте, что же вернемся к нему попозже, либо просто подчистите систему от него с помощью Unlocker -согласившись на удаление файла после перезагрузки компьютера.
Переходим в %WINDIR%\Temp
Здесь также наблюдаем огромное количество временных файлов, и исполняемых файлов с непонятными именами.
Также выделяем здесь все (Ctrl+A) и удаляем.
Так, временные папки почищены.
Что же, теперь поищем вирусы в не совсем стандартных местах.
Для этого запускаем программу autoruns.
Итак, видим следующее
Здесь как раз мы видим те самые вирусы которые мы еще не нашли.
Итак Файлы 3RGYU6fvr98.exe и XT83ibJLcRc.exe находятся в каталоге %USERPROFILE%\Главное меню\Программы\Автозагрузка
Вообще говоря я ожидал в этом каталоге увидеть igfxtray.exe , т.к. ранее очень часто встречался с ним именно здесь — о похоже это одна из его модификаций и встретиться с ним нам не получится.
Обратите внимание, что у файлов есть описание и производитель, причем у первого файла производитель написан как Microsoft Corporation — совсем наглость потеряли)) Если бы не название файла можно было и посомневаться в его происхождении.
Второй же файл подписан типично для таких вирусов — «тупо» видимо название берется рандомно.
Здесь же видим что в системе находился таки вирус Netprotocol — но был давно удален (file not found), а также lsass.exe — также уже удаленный (может нами при чистке каталога в котором он находился %APPDATA% , а может и ранее — впрочем не важно)
Итак, приступим к удалению 3RGYU6fvr98.exe и XT83ibJLcRc.exe
При удалении этих файлов (DEL) из программы autoruns выдается ошибка.
Что же, пойдем другим путем. Находим файлы в Total Commander
С помощью Unlocker — разблокируем их, и удаляем
После чего перезагружаем компьютер
Как только компьютер загрузится, заходим на системный диск подчищаем каталоги с дурацкими названиями, заходим в %APPDATA% — убеждаемся в отсутствии файла igfxtray.dat (если он есть — удаляем)
Заходим в autoruns, подчищаем от ненужных программ таких как netprotocol и lsass + убираем из автозапуска не нужные программы.
После очистки у меня получилось так:
Теперь займемся антивирусом (я его устанавливал во время удаления вируса, впрочем очередность не так важна)
Нам нужно удалить avast — т.к. надежности от него никакой, и поставить, в моем случае, Eset Nod32.
Проблема заключается в том что В Установка и удалении программ — данный антивирус отсутствует
При этом безопасный режим не загружается — появляется BSOD с ошибкой 0x7B.
Тут нам и пригодится программа AVZ. С помощью нее восстанавливаем систему (Файл — Восстановление системы)
Выделяем необходимые пункты (главное в нашем случае выполнить 10 пункт) и Выполняем отмеченные операции
перегружаемся и запускаем безопасный режим (F8 перед приветствием Windows)
В нем уже запускаем на выполнение файл для удаление антивируса Avast — aswclear.exe
Ждем пока пройдет удаление антивируса, пере загружаемся в обычном режиме и ставим Nod32
Что же, все задачи выполнены, вирус igfxtray удален, более надежный антивирус поставлен.
Для полного успокоения все же рекомендую скачать сканер CureIt и полностью просканировать систему (ну или хотя бы выполнить быструю проверку)
Удачи!
Файл plg.txt в корне диска тоже относится к вирусу. А еще папка MicroST с кучей файлов типа DatB0DE.tmp.xsi в Application Data, если есть, и файл ieunitdrf.inf в System32. И файлы klpclst.dat и wndsksi.inf тоже к этому вирусу относятся. Поищите, если хотите полностью избавиться от «потрохов». 🙂 Да, кстати, проверьте еще настройки зон в IE, они могут быть сбиты.
Пожалуй выложу дополнительно скрины — будет визуальное представление к написанному комментарию
Файлы klpclst.dat и wndsksi.inf расположенные в каталогах в корне диска
Файлы расположенные в %USERPROFILE%:
Точно не уверен что они связаны с этим вирусом, т.к. на компе находился баннер на голубом фоне с просьбой отправить смс и скорее всего именно эти файлы относятся к нему.
Но проверить наличие таких файлов в каталоге %USERPROFILE% не помешает
Наличие папки с дурацким названием (не MicroST) с кучей файлов типа Dat1FOE.tmp.xsi в Application Data:
Также наличие в Application Data файла wndsksi.inf, igfxtray.dat и файлов без расширения типа 743с55d3a:
Каталог %TEMP% и его содержимое — вычищать полностью:
Ну и файл ieunitdrf.inf в System32, а также куча файлов типа tmpCB0AE.FOT и неподписанная dll,(не знаю относятся ли эти файлы к этому вирусу или нет — но здесь они явно лишние) а также наличие двух файлов amcompat.tlb и nscompat.tlb (я их переименовал т.к. не знаю к чему они относятся — хотя на сайте с проверкой подозрительных файлов написано что они безопасны и относятся вроде бы как windows movie maker или microsoft mediaplayer):
Да, igfxtray.dat тоже к вирусу относится, забыл про него упомянуть. А вообще все потроха искал по датам создания и изменения файлов. Больше ничего подозрительного, кроме того что уже перечислил, у себя не нашел. Но прикол в том, что файл igfxtray.dat имеет даты создания и изменения точно такие же, как и большинство системных файлов винды, т.е. вирус судя по всему еще и подменяет даты в своих файлах. Так что мой список потрохов возможно далеко не полный, но Ваших файлов по крайней мере у себя не обнаружил (amcompat.tlb не в счет, обычный системный файл от WMP). И у меня скорее всего была другая модификация вируса (Trojan.DownLoader5.43515/Trojan.Carberp.30 по версии CureIt!), поэтому и файлы отличаются. Сам вирус, прописанный в автозагрузку имел имя файла BNk7tb211xA.exe.
Класс! Ты так четко и подробно описал!!! Всё у меня сбылось! ОГРОМНОЕ СПАСИБО!!!
Почему-то отказывает в доступе к %USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\ (2-й пункт) Винда 8.1 Подскажи пожалуйста, как эт оисправить?