winesm32.exe - jak usunąć tego wirusa (malware)?

2010-03-14 09:20

Pamiętacie, drodzy czytelnicy, te piękne czasy, kiedy to wirusy komputerowe podmieniały nam tapety, zmieniały strony startowe w Internet Explorerze albo podmieniały dźwięki systemowe na jakieś śmieszne komunikaty? Tych niewinnych żarcików nadszedł kres wraz z pojawieniem się CIH-a, znanego również jako Chernobyl lub Spacefiller. CIH znany był z tego, że zamiast podmienić nam tapetę w systemie, niszczył (w telegraficznym skrócie) BIOS komputera, przez co nikt nie mógł go potem uruchomić. Jedyną opcją na naprawę sprzętu było zaniesienie go do specjalistycznego serwisu i zabulenie konkretnej kwoty (często była to 1/3 wartości nowej płyty głównej).

Dlaczego taki wstęp? Otóż w dniu wczorajszym do mojego - wydawało by się dobrze zabezpieczonego systemu - przedostał się wirus. Jego nazwa to winesm32. Nie jest to może program o tak niszczycielskich zamiarach jak CIH, niemniej był w stanie ominąć router, olać firewalla (COMODO) i pacnąć w czoło NODa 32. A wszystko to podczas normalnego korzystania z Internetu za pomocą Firefoxa.

Nie przynudzając dłużej, napiszę w kilku krokach co zrobiłem, aby to cholerstwo usunąć (metod jest kilka, ale wydaje mi się, że ta jest najprostsza):

1. Klikamy Start > Uruchom i wpisujemy msconfig
2. Przechodzimy na zakładkę uruchamianie, na dole listy powinniśmy znaleźć winesm32 - nie tykamy go, niech tam sobie siedzi. Usunięcie ptaszka nic i tak nam nie da, program automatycznie po starcie dopisuje się do listy ponownie.
3. Przechodzimy na stronę malwarebytes.org i klikamy na przycisk Download Free Version. Pobieramy program i instalujemy go.
4. Po instalacji program poprosi nas o możliwość ściągnięcia nowych definicji wirusów - pozwalamy mu. Gdy wszystko zainstaluje się poprawnie, zamykamy połączenie internetowe (jeśli macie na kabelku, wyciągnijcie kabelek, jeśli WiFi/GSM, rozłączcie się z Internetu).
5. Odpalamy Malwarebytes' Anti-Malware i uruchamiamy pełne skanowanie. Z góry zaznaczam, że trochę to potrwa - na wolniejszych/starszych komputerach nawet ponad godzinę. Na chwilę obecną skanujcie tylko partycję systemową.
6. Voila. Malwarebytes to jeden z nielicznych programów, który radzi sobie z tym świństwem. Znając życie, na liście będzie jeszcze kilka szpiegów o których nie mieliście pojęcia. Usuńcie znaleziony przez Anti-Malware syf i uruchomcie komputer ponownie. Winesm32 powinien zniknąć też z listy msconfig / uruchamianie.

Słowem końca: nie jestem gościem, który klika w każdego przypadkowego linka jakiego dostaje od znajomych. Ten przypadek sugeruje mi, że to mogło stać się każdemu. Otóż jeden z moich klientów zgłosił specyficzne zachowanie się swojej strony internetowej i poprosił, abym sprawdził co się dzieje. Nie wnikając w szczegóły udałem się na wskazany adres i... to był koniec mojego surfowania. Zajęcie procesora wskoczyło na 100%, w tle mignął mi Adobe Acrobat i Sun Java, komputer zaczął się dławić i po chwili NOD32 zgłosił nieautoryzowaną próbę odwołania się na jakiś adres www którą poprawnie udało mu się zablokować. Tyle. Ale, że procesor nadal był zajęty, pomyślałem sobie, że zrestartuję komputer, bo może jakiś z procesów się zwyczajnie zwiesił (menedżer zadań wskazywał na svchost). Po restarcie procesor był zajęty RÓWNO na 50%... Po kolejnym na 100%, jeszcze jeden i 50%. Za każdym razem, jedyne co go zajmowało, to svchost.

Jak się zabezpieczyć? Ciężko. Przed nieznanymi stronami powinien ochronić nasz komputer Firefox z dodatkiem NoScript. Mój przypadek jest o tyle trudny, że strona WWW była stroną klienta, którą do noscripta (jako zawsze odblokowaną) dodałem jakiś czas temu. Tak czy inaczej, w razie "w", Malwarebytes' Anti-Malware uratuje nam kuper przed ponowną instalacją Windowsa.