Как я "порвал" с Emanuel (I-Worm.Navidad(b2))

Итак, Дамы и Господа, смею Вас заверить - пренеприятное это дело подцепить вышеназванную заразу.

Мне пришлось с ней столкнуться в силу моих неких профессиональных особенностей. Дело в том, что я являюсь SysAdmin'ом Управления ОИЯИ. Управление ОИЯИ это эдакий, иногда очень сплочённый коллектив, человек эдак на 200 (к сожалению точной цифры я назвать не могу - не в силу каких-то там причин секретности или моей огромной лени, которую я впитал с молоком матери, а просто из-за размытости границ Управления - мне иногда не очень понятно где оно начинается и где ему приходит конец... Да ещё и иногда некая контора пишет "бумагу" большому Боссу: "Хочу быть в течение 40 минут Управлением", Большой Босс, в свою очередь пишет: "Принять того-то и того-то на 40 минут в дружный коллектив Управления...".

Так вот представьте себе, как однажды, вышеописанный коллектив так сплотился и увлёкся чтением писем, к которым был прикреплён файл emanuel.exe...Я никогда не знал, что бок о бок со мной существует столько "читателей". А потом, каждый "читатель" считал своим долгом поделиться той радостью, тем видом, что представлял его компьютер... Если Вы из числа тех, кого соблазнила  emanuel, то я Вам не позавидую - мне эта особа с первого взгляда не понравилась:  Компьютер бился в сумасшедших конвульсиях, нельзя сказать чтобы ему это доставляло огромное удовольствие, мой SMTP-сервер пребывал в состояние шока - он был похож на пережатый пожарный шланг...  Похоже, что коллеги, друзья и близкие "читателей" (тех кто был соблазнён Emanuel) начинают постепенно оных ненавидеть...

Ладно, не буду я здесь описывать то, что Вы это всё и сами видите - если есть такое желание подробнее узнать о данной заразе - см. http://www.viruslist.com/viruslist.asp?id=4252&key=00001000140000100050.
Я же попытаюсь рассказать как избавится от данной пакости, не прибегая к процедуре "форматирования" Вашего жесткого диска.

Что самое неприятное в этой штуке - нет возможности запустить какой-либо .exe файл - вместо него пускается ещё одна копия вируса, который в свою очередь пускает  outlook express и почта заново "молотится". По этой же причине нельзя запустить какой-нибудь новый антивирус - он просто не запустится :-(

Его можно "чистить" руками, но после такой "чистки" двух компьютеров - я несколько приуныл, взирая на гору того что мне оставалось ещё...

Посему, "накропал" я некую программулину и обозвал её aemanuel.com. (Взять её можно здесь) Заметьте - .com, а не .exe - чем она по сути является. Этим самым я немного обманываю Emanuel. Конечно женщины - существа очень нежные, чувствительные и не стоит их так обманывать, но иногда нет другого выхода, надеюсь, хотя бы половина человечества меня поймёт, а другая - простит :-). 

Несколько слов об этой программулине:  Я не старался выиграть конкурс "На лучший программный продукт года" - чувствуется эта номинация мне не грозит - писал я её на "скорую" руку, время от времени прерываясь и отвечая на звонки со всего ОИЯИ. Мне почему-то звонили, как в фильме "Охотники за привидениями" - как будто я один такой "герой", который может справится с данной напастью. Эту программулину я писал для своего личного пользования, но если она окажется кому-то полезной - я буду рад. Принимайте эту программулину "как есть" - не стану я заниматься её поддержкой: у меня и так забот -"полон рот". Я проверил её на версиях Win95, Win98, WinME. Не проверял на WinNT и Win2k, но теоретически она должна там работать тоже, только Вы должны иметь administrat'ивные права (Вам это что-нибудь говорит?).

Данная программулина не средство профилактики, а хирургическое средство и предназначена, для уже поражённых компьютеров, хотя ей же можно проверить есть ли Emanuel на Вашем компьютере.

Так же я не претендую на "единственно верное решение борьбы" - возможно это моя "первая мысль" и она, скорее всего не самая удачная.  Если кто-то предложит иной более оптимальный метод борьбы с Emanuel - надеюсь, Вы поделитесь со всеми, как это сделал я... 

Ладно, хватит лирики, давайте приступим к делу - я приступил к нему вот так:

  1. На "чистом" компьютере скачал файл aemanuel.com на дискету
  2. Выключил зараженный компьютер 
  3. Отсоединил его сетевой провод (patch cord) от сетевой платы
  4. Включил компьютер
  5. После того как он "стабилизировался" - сказал ему "Пуск"->"Выполнить" ("Start"->"Run...") и набрал там "a:aemanuel.com"
  6. Дальше следовал "экранным инструкциям" программы.
  7.  После перезагрузки удалил содержимое TEMP-директории: В том же меню "Выполнить" - набрал вот такую команду: "DELTREE /Y C:\WINDOWS\TEMP" (если у Вас WinNT или Win2k, то "rmdir c:\winnt\temp /s/q") - этим самым я удалил temp-директорию совсем, затем, командой "MD C:\WINDOWS\TEMP" (это для всех wind'ов) - я её вновь создал - теперь она "чистая". Можете почистить данную директорию FAR'ом или Explorer'ом (Проводником)- как кому удобно.
  8. Запустил OutlookExpress - не реагировал на его сообщения об ошибках (помните, что сетевой интерфейс у нас всё ещё отключён?),  добрался до Папки "Исходящие" и удалил все сообщения (все они имеют копию Emanuel и при запуске компьютера в "нормальном" режиме, с включенным сетевым интерфейсом - будет последняя порция "разноса заразы" - "она просто уйдёт к другому").
  9. В принципе можно почистить и Папку "Отправленные" - там наверняка много писем с "заразой".
  10. Подключил сетевой провод (patch cord).
  11. Нашёл свежее антивирусное программное обеспечение, установил его и проверил весь компьютер.

Вот и всё, надеюсь, она больше не вернётся!

Удачи Вам! Alexey Gushin (gushin@cv.jinr.ru)

P.S. Кстати, через два дня  после того как я написал данную программулину - я нашёл ещё одну, аналогичную написанную специалистами Trend Micro. Что меня вдохновило, то алгоритм они применили аналогичный моему, правда сделали это в консольной версии (моя же GUI'шная - так наз. имеет "дружественный интерфейс"(!)). Правда моя лечит только от разновидности, которая поразила ОИЯИ, TrendMicro'вская же лечит от всех разновидностей данного червя(!). TrendMicro в отличие от моей придётся запускать дважды: вначале очистить реестр, а затем удалить файлы самого червя - моя делает это всё в один заход + удаляет все копии червя из памяти(!). Если есть желание - можете TrendMicro'вкую тоже взять отсюда.