Worm:Win32/AutoKMS: що це і як позбутися шкідливої загрози?

З недавніх пір деякі користувачі комп'ютерних систем почали помічати присутність в системі невідомого процесу Worm:Win32/AutoKMS. Що це таке насправді, багато хто навіть не здогадуються, вважаючи програму якимсь активатором. На жаль, ніякого відношення до утиліти керування КЛЮЧАМИ цей процес не має.

Worm:Win32/AutoKMS: що це?

Обмовимося відразу і безповоротно: не варто плутати цю загрозу з відомим додатком KMSAuto Net (іноді його називають Auto KMS Activator), яке було розроблено компанією MSFree Inc. для швидкої реєстрації програмних продуктів Microsoft. Звичайно, зі свого боку і ця утиліта є незаконною, оскільки здатна генерувати ключі для реєстрації Windows або MS Office (це звичайне комп'ютерне піратство). Але вона не йде ні в яке порівняння з Worm:Win32/AutoKMS. Що це таке, зараз і подивимося.


Насправді це досить небезпечний вірус-троян, який може доставити користувачеві багато клопоту. Але визначити його присутність у системі досить просто.

Worm:Win32/AutoKMS (активатор): природа впливу вірусу на систему і дані користувача

Цей троян діє за типом вірусів, які прийнято називати викрадачами браузерів. Як правило, першим симптомом зараження є зміна стартової сторінки у всіх встановлених в системі веб-браузерах, постійне перенаправлення на небезпечні або потенційно небезпечні сайти, а також неможливість використання пошукових систем на зразок Google або Yahoo!. Але тільки цим шкоду, що наноситься системі, не обмежується. Після проникнення в комп'ютер починається впровадження не тільки на системному рівні. Відбувається активне зчитування користувацьких даних, де перевага віддається реєстраційним логінів і паролів, які зберігаються в незашифрованому вигляді. Також можуть постраждати і дані власників банківських карток і рахунків.


Така програма Worm:Win32/AutoKMS. Що це: троян, шпигун або злодій? Як виявляється, і те, і інше, і третє. До речі, прояв активності може призвести користувача зараженої системи ще й на якийсь сайт, де йдеться про те, що у юзера на комп'ютері віруси, програма розробника їх видалила, а Worm:Win32/AutoKMS – активатор вилікуваним програми – є єдиним засобом відновлення реєстрації потерпілого програми. Абсолютна брехня!

Видалення за допомогою класичного антивірусного сканера

Але займемося питанням усунення загрози. Перше, що приходить на розум, це використання встановленого в системі або портативного антивірусного сканера. На жаль, це не завжди допомагає. Наприклад, судячи з відгуків користувачів, навіть самі просунуті продукти Dr. Web нічого не знаходять, а Microsoft Security Essential і зовсім зависає. В цьому випадку потрібно перевіряти ще не завантажену систему. І зробити це можна за допомогою дискових програм на зразок Kaspersky Rescue Disk, які запускаються до старту Windows. Їх можна записати на звичайну флешку або оптичний диск, після чого встановити для них пріоритет завантаження в налаштуваннях BIOS.

Використання вузьконаправлених утиліт

На просторах Інтернету нерідко можна зустріти поради з приводу того, що Worm:Win32/AutoKMS видалити можна виключно за допомогою спеціально розроблених для цього програм.
У більшості випадків пропонується використання програм на зразок YAC Anti-Malware Free і їй подібних. З цим можна погодитися. Але, коли пропонується завантажити і встановити додаток Win32/AutoKMS virus Removal Tool, тут точно задумаєшся. Деякі, звичайно, «ведуться» на такі хитрощі. І в результаті отримують установку SpyHunter, який, можливо, вірус і видалить (правда, тільки після повної реєстрації), але від самої програми згодом недосвідченому в знаннях користувачеві позбавитися буде дуже складно (без спеціальних знань практично неможливо). Так що краще зайнятися видаленням загрози вручну, тим більше зробити це досить просто.

Видалення загрози вручну

Першим ділом слід використовувати розділ програм і компонентів у стандартній Панелі керування, завантаживши систему в безпечному режимі. Не чекайте, що там вірус буде показаний під своїм початковим ім'ям. Замість цього відсортуйте встановлені програми за датою. Як правило, тут буде показано декілька компонентів, від яких потрібно позбутися. Це:

Search Snacks;

Search Protect;

HighliteApp;

Fre_Ven_s Pro 23;

FLV Player (remove only);

PassShow;

Coupon Server;

TidyNetwork;

V-bates 200.440;

MyPC Backup.

Майте на увазі, що MyPC Backup і FLV Player не мають нічого спільного з офіційними утилітами. Як вже зрозуміло, все це треба негайно видалити. Після цього, записавши назви видаляються компонентів і ім'я самого вірусу, потрібно увійти в редактор реєстру (regedit в консолі «Виконати») і використовувати пошук, з подальшим видаленням всього знайденого. Якщо був встановлений вищезгаданий плеєр, а користувач видаляє з реєстру пов'язані з ним ключі, краще так і зробити. Сам плеєр є безкоштовним. Завантажити його і встановити заново не є проблемою.
Але для кращого ефекту можна скористатися програмою iObit Uninstaller, яка має в своєму арсеналі засобів модуль потужного сканування, застосування якого позбавить користувача від редагування реєстру і пошуку залишкових файлів на вінчестері. Тільки при видаленні результатів пошуку потрібно задіяти додатково рядок знищення файлів. В браузерах потрібно видалити деякі активні надбудови. У випадку з Chrome це SupraSavings. Навіть у такому, здавалося б, захищеному продукт, як Mozilla Firefox, цей вірус теж може залишати свої сліди. Тут потрібно звернути увагу на розширення UNiDealsa, яке теж потрібно деінсталювати. В інших браузерах видалення розширень виглядає майже аналогічно, змінюється лише зовнішній вигляд розділів.

Різновиди вірусу

Такий вірус Worm:Win32/AutoKMS. Що це таке, напевно, вже стало зрозуміло. Але тільки цим справа не обмежується. Треба бути напоготові, оскільки сама загроза може мати кілька різновидів, найвідоміші з яких наступні: Worm Win32/KeyGen, Suspicious_Gen4.ATNVF, Malware.Packer.Gen, HackKMS.C, Артеміс! A0E4F5BCD5AF та інші.