Чистил один компьютер давно от этого вируса.
Проявляет вирус себя в появлении дубликатов папок в папке "Мои документы". Эти дубликаты являются EXE-файлами. При запуске такого файла открывается проводник с папкой "Мои документы".
Структура папок зараженного компьютера выглядит так:
- Мои документы
- Мои рисунки
- Мои рисунки.exe
- Моя музыка
- Моя музыка.exe
- Мои документы.exe
Жирным выделены файлы вируса.
Дополнительно создает
System's settings.scr (путь не помню)
%AppData%\csrss.exe
%AppData%\smss.exe
%AppData%\winlogon.exe
%AppData%\lsass.exe
%AppData%\services.exe
%AppData%\inetinfo.exe
Хотя может эти файлы создаются в %UserProfile%\Local Settings\Application Data...
Также создается Empty.pif с вирусом.
Где найти точное описание вируса? У меня есть от Symantec, но нужно еще.
Просто хочу, если получится, написать удалялку этого вируса.
Логов нет, так как вопрос не о зараженном компьютере. Все компьютеры я почистил, просто хочу узнать об этом вирусе.

Email-Worm.Win32.Brontok.a (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=96428)

Чистил один компьютер давно от этого вируса. »
Я уже устал от этих Brontokов руссо-туристо и прочих тварях. Тема хорошая предлагаю рассказывать о местожительстве наиболее распространнёных зловредах.
Вопрос к модераторам. Можно или на каждого прийдется создаватьновую тему?

Вопрос к модераторам. Можно или на каждого прийдется создаватьновую тему? »
Я не модератор, не знаю, но лучше создать новую тему, т.к. тут и голосование.

Я уже устал от этих Brontokов руссо-туристо и прочих тварях »
Рекомендации от автозапуска есть почти в каждой теме этого раздела :) Например тут (http://forum.oszone.net/post-839974-14.html)

Просьба к тем, кто хорошо знает вирус Brontok.a. Подскажите, какой алгоритм должна иметь утилита его удаления.
Владею языками BAT и AutoIt.

Котяра, При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX

XX – 2 случайные цифры.

%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe »
Я так понимаю, это можно удалить, например, так

del "%userprofile%\Local Settings\Application Data\csrss.exe"
del "%userprofile%\Local Settings\Application Data\smss.exe"
del "%userprofile%\Local Settings\Application Data\winlogon.exe"
del "%userprofile%\Local Settings\Application Data\services.exe"
del "%userprofile%\Local Settings\Application Data\inetinfo.exe"

Правильно? Что будет, если эти команды будут выполнены на чистой машине? Не будут ли удалены системные файлы? Нужно ли делать if-проверку?
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0" »
Это чистить REG-файлом?

%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe »
Удалять также, как и левый winlogon.exe?

%System%\<Имя пользователя>'s Setting.scr »
Где это и как его удалить?
C:\System's settings.scr?

какой алгоритм должна иметь утилита его удаления. »
Какой смысл писать такую утилиту, если можно воспользоваться утилитами (антивирусами)? Или, если однотипные системы и заражены пока ещё неизвестной модификацией, можно написать скрипт карантина/удаления для AVZ или/и отправить файлы в вирлаб и на следующий день лечить антивирусом (AVPTool напр.)
Или это лаб. работа? :)

Какой смысл писать такую утилиту, если можно воспользоваться утилитами (антивирусами)? Или, если однотипные системы и заражены пока ещё неизвестной модификацией, можно написать скрипт карантина/удаления для AVZ или/и отправить файлы в вирлаб и на следующий день лечить антивирусом (AVPTool напр.)
Или это лаб. работа? »
Просто так.

Правильно? Что будет, если эти команды будут выполнены на чистой машине? Не будут ли удалены системные файлы? Нужно ли делать if-проверку? »
эти файлы к системе не имеют ни малейшего отношения, прото имена одни
Это чистить REG-файлом? »
да
Удалять также, как и левый winlogon.exe? »
да
Где это и как его удалить?
C:\System's settings.scr? »
del "%windir%\system32\%USERNAME%'s settings.scr

эти файлы к системе не имеют ни малейшего отношения, прото имена одни »
Это мне понятно, но вот команда del, если она не найдет указанного файла, не "полезет" ли она за ним в system32?

del "%windir%\system32\%USERNAME%'s settings.scr »
На одном ПК я видел еще и файл SYSTEM's settings.scr.
Может еще нужно добавить

del "%windir%\system32\SYSTEM's settings.scr"

?

Это мне понятно, но вот команда del, если она не найдет указанного файла, не "полезет" ли она за ним в system32? »
DELманьяк :D а еще она полезет в корень системного диска и потрёт все файлы, которые найдёт, потом найдёт все документы и удалит их
Может еще нужно добавить »
можно

а еще она полезет в корень системного диска и потрёт все файлы, которые найдёт, потом найдёт все документы и удалит их »
:)