Значит, такое дело: подхватил тут недавно мой "малыш БиМо" заразу заморскую - нет, не "корону" (слава догу, хоть компьютеры этим пока еще не болеют!), а некий Brontok. Судя по названию - продукция шаловливых ручек индонезийских кул-хацкеров (слопав слово "brontok", гугл-переводчик определил язык как индонезийский, и сообщил, что на этом языке оно означает "орел"). Первый (и самый заметны) симптом - в папке "Мои рисунки" появляется html-файл с агитацией на странном языке, который все тот же гугл-транслитер вновь определяет как индонезийский (в "письме счастья" сообщается, что нужно перестать принимать наркотики, запретить аборты, прекратить истреблять вымирающий вид индонезийских орлов и вообще, весь наш мир катится в бездну). Бездна она, конечно, бездной; да только вот удалить сей крик души из "Моих рисунков" не представлялось возможным - висящий в памяти процесс вируса вновь и вновь пихал надоевший файлик обратно...
Но это - только начало: помимо агитации вирус прячет виндовское меню "Свойства папки", блокирует вызов редактора реестра, а обнаружив в заголовке запущенного окна некоторые ключевые слова ("regedit", "antivirus" и еще множество других, угрожающих его безопасности) - безжалостно перезагружает систему. Еще одно проявление болячки - завидная плодовитость: вирь забивает своими копиями папку "Мои документы", а так же подключаемые к системе флешки. Размножение идет следующим образом: вирус сканирует все каталоги, находящиеся в "Моих документах" (или на флешке), и помещает туда копию своего exe-файла; причем имя этого файла совпадает с именем директории, в которую он копируется, а значок экзешника маскируется под значок виндовской папки. Стоит кликнуть на таком файле (подумав нечто наподобие: "А что это за странная папочка такая? Я такую, вроде как, не создавал! Интересно, что же в ней?") - и вирус снова и у вас в гостях (при этом откроется папка "Мои рисунки" - вирь к ней явно неравнодушен!). В итоге, через некоторое время в "Моих документах" появляются сотни копий "орленка" - видимо, для спасения вида от вымирания))
Плюс, анализ с помощью утилиты FileMon показал, что процесс вируса постоянно висит в памяти и сканирует винчестер компа. Зачем - энигма, но после заражения я недосчитался нескольких exe-файлов, причем не только из папки "Program Files"... Не скажу, что пропало очень много - но сам факт того, что твои приложения удаляются помимо твоей воли, думаю, особой радости не добавит! Вообще, вирус не особенно агрессивный - систему не крашит, в загрузочную область не лезет, драгоценные фоточки не трогает, даже экзешников удалить успел только 5 или 6... Но лучше, конечно, без "незваных гостей" на винте; к тому же, требующих для своей, не очень-то полезной, деятельности еще и ресурсов компа!..
Вот и я стал гуглить - как же расстаться с надоедливым индонезийским "орлом". Капитан Очевидность (в лице Гугля) предложил поставить какую-то там антивирусную программу, мегабайтов под 200 весом... Но мне было сильно неохота качать все эти 200 мегов)) Стал искать - как же можно удалить сие чудо программерской мысли вручную? Просто "спортивный интерес" проснулся... Нашел, но тут (исключительно из "любви к искусству") родилась идея: написать утилитку - автоматическую удалялку этого самого Бронтока... А аппетит, как известно, приходит во время еды - "Остапа понесло")) В итоге изваялось то, что и выкладываю на суд почтенной публике - программка "Brontok Hunter" (ну, да - "Охотник на орла", логично жеж!)), взашей выгоняющая с компа "незваного гостя". Может быть, кому-нибудь она тоже поможет избавиться от навязчивой "птички"!..
Если вкратце, то сначала прога прибивает в памяти процессы Бронтока; потом исправляет покоцанные вирусом ключи реестра, убирая тем самым вирус из автозагрузки и разблокируя меню "Свойства папки" и запуск RegEdit; а после удаляет файлы вируса, оставленные им в "стандартных местах" (вообще, на выбор их можно либо удалить - чего я и рекомендую сделать, либо просто переименовать). Естественно, есть возможность выбрать, какие файлы удалять, а какие - нет. А так как вирус (как уже говорилось) любит забивать систему своим "потомством", то в программу был добавлен еще и сканер, ищущий это самое "потомство" - причем, пользователь может задать любые маршруты поиска. Сканер, кстати, довольно-таки быстрый (на рекурсивном алгоритме); плюс он проверяет именно внутреннее содержимое файла - так что для него совершенно неважно, как называется "вражеский" файл, и какое там у него расширение. Вообще, утилитка писалась для удаления той версии вируса, которую "посчастливилось" подхватить мне - Win32.Brontok.A; но теоретически она может работать и с другими версиями Бронтока - по крайней мере, в коде я предусмотрел такую возможность. Дело в том, что (если верить информации из интернета, конечно же) разные версии Бронтока запускают в памяти процессы с одними и теми же именами - а как раз по именам-то они и прибиваются. Так же дела обстоят и с изменяемыми ключами реестра, и с местами, куда "по умолчанию" обычно залезает вирус. Единственное - у разных версий вируса разные исполняемые файлы; поэтому, для сохранения работоспособности сканера, в программу была введена процедура анализа файла найденного вируса: если файл отличается от версии "A", но запускает типичные для Бронтока процессы, то он анализируется и помещается в импровизированную базу данных. С этой-то базой и сверяется сканер при поиске копий вируса. Так что, должно работать и с другими версиями - хотя я этого и не гарантирую (ну, не запускать же мне у себя на компе все версии этого вируса - типа, для проверки)).
Так что, кому надо - берите, пользуйтесь!!! Буду рад, если мои труды окажутся полезными! У программы простой и понятный интерфейс на русском языке; прилагается подробная инструкция. Программа не требует какой-либо установки - ее можно запускать даже непосредственно из архива. Единственное: прога не тестировалась на 64-х разрядных версиях Винды, поэтому под 64-ку она и не запустится - я установил ограничитель (ну, на всякий случай)...
https://www18.zippyshare.com/v/CmEWr3dO/file.html