вторник, 9 августа 2011 г.

Удаление вируса sshnas с рабочего комьютера

После возвращения из отпуска обнаружил странное поведение рабочего компьютера - после запуска на какое-то время блокировался доступ в интернет и к сервисам, расположенном на прокси-сервере. Полная проверка антивирусом Symantec Antivirus (у нас корпоративная версия), все обновляется прекрасно нашла один троян, да и тот уже обезвреженный. На прокси-сервере установлен клиент Symantec Endpoint Protection (SEP), изучение логов которого показало, что мой компьютер блокируется из-за активности W32.Changeup.Worm, причем блокировался на 10 минут, после чего все работало нормально. При повторном сканировании антивирусом ничего нового обнаружено не было.

Оказалось все достаточно просто. При изучении списка запущенных служб была обнаружена неизвестная служба sshnas, тип запуска - авто. Для удаления достаточно сделать следующее: перезагрузиться в безопасном режиме (нажать F8 в начале загрузки и выбрать Safe Mode), и удалить следующие файлы:

C:\Windows\msa.exe
C:\Windows\System32\sshnas.dll
C:\Windows\System32\sshnas21.dll
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

Кроме этого, проверить ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и удалить все упоминания sshnas.dll, после чего перезагрузить компьютер. Можно еще удалить из реестра упоминания sshnas.dll, правда из разделов ControlSet удалить не получилось, но это не столь важно.

После проведенного лечения все работает прекрасно, ничего больше не блокируется. Что вызывает вопросы - на всех серверах и клиентах установлен антивирус, который обновляется и периодически проходит быстрое сканирование компьютеров, тем не менее - как-то пролез зловред на компьютер. Что ж, как всегда в мире Windows - борьба щита и меча, т.е. вирусов и антивирусов продолжается, и как всегда с переменным успехом.

Надежной всем работы компьютеров и поменьше вирусов и борьбы с ними!