scr файл вирус

Ответ от Doctor Virus[гуру]
Это вирус Penetrator.
Как уничтожить Penetrator и как устранить деструктивные последствия вируса
Вирус загружается и в Безопасном режиме (Safe Mode), поэтому пытаться лечить ПК, когда загружена ОС с резидентным вирусом, – бессмысленное занятие!
1. Отключите ПК от локальной и Глобальной сетей.
2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).
Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.
3. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске) .
4. Поскольку у файлов вируса установлен атрибут Скрытый, чтобы найти их и уничтожить:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки) ;
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
5. Удалите (если их не уничтожил антивирус) файлы flash.scr, <имя_папки>.scr и <имя_папки>.exe.
6. Удалите (если их не уничтожил антивирус) следующие файлы:
– WINDOWSsystem32DETER177lsass.exe (удалите файл вместе с папкой DETER177);
– WINDOWSsystem32DETER177smss.exe (удалите файл вместе с папкой DETER177);
– WINDOWSsystem32DETER177svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);
– WINDOWSsystem32AHTOMSYS19.exe;
– WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);
– WINDOWSsystem32psador18.dll;
– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – Documents and Settings<Имя_пользователя>Local SettingsApplication DataMicrosoftWindows; Windows Vista – UsersMasterAppDataLocalMicrosoftWindowsBurn).
7. Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами) . После первого запуска Word'а, он будет создан заново.
8. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– раскройте ветвь [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:WINDOWSsystem32АHTОMSYS19.exe;
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:Windowssystem32userinit.exe, (если система установлена на диске C:, если на другом диске, то <буква_диска>:Windowssystem32userinit.exe,);
– раскройте ветвь [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun], удалите строковые (REG_SZ) параметры lsass со значением C:WINDOWSsystem32DETER177lsass.exe и сtfmоn.exe со значением C:WINDOWSsystem32сtfmon.exe;
– закройте Редактор реестра.
9. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно» , нажмите OK.
10. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?) .
Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация! ) восстановить удастся.
Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается.