Воскресенье, 03.11.2024
Полигон 51
[ Обновленные темы · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Как я удалял порно вирус
NEX Дата: Понедельник, 16.05.2011, 00:54 | Сообщение # 1
Рядовой
Группа: Модераторы
Сообщений: 52
Награды: 0
Репутация: 12
Статус: Offline
Принесли ноутбук. Сказали словили вирус, и бук не включается.
Так как вирусов туева хуча, что-бы знать как с ними бороться, нужно сначала узнать чтож это за вирусы...
Включаю ноут - Грузится как обычно. Потом выскакивает "весёленький" баннер: Вы обвиняетесь в хранении и распространении детского порно... ну и так далее, с просьбой пополнить карман суммой в 400 рублей какому-то хакеру.

Ну чтож, делать нефига навёл себе кофеёк и полез себе бороздить просторы интернета...
К моему великому удивлению, на сайтах популярных антивирусов - так и не нашёл рабочий способ убрать баннер.
Пришлось искать диск с LiveCD и кумекать самому...

Сразу скажу Вход в безопасный режим НЕ ПОМОГАЕТ!!!
Для действительного (полного) удаления вируса нужна Загрузочная флешка (или диск).

Итак загрузил я ноут с флешки.
И для начала полез в "Автозагрузку".

Увидел там один странный файл - он сразу бросился в глаза 22CC6C32.EXE

Ага! Вот он серенький, лежит =)

полез в реестр, искать этот файл - нашёл!

Code
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в нём есть строковый параметр Shell. Так вот в него и прописался этот вирус!    

Documents and Settings\All Users\Application Data\22CC6C32.EXE

Зашёл в Documents and Settings\All Users\Application Data\ и просто удалил его.

так-же строчку

Code
Documents and Settings\All Users\Application Data\22CC6C32.EXE
в Shell заменил на explorer.exe
И удалил вирус из автозагрузки.

Ну и на радостях перезапустил компьютер...
Запускается ПУСТОЙ рабочий стол. Жму Ctrl+alt+delete И СНОВА ПОЯВЛЯЕТСЯ БАННЕР!

Значит где-то чтото не доглядел.
Полез в инет - смотрю а этот вирус подменяет файл userinit.exe который лежит в папке windows/system32

Захожу туда, вижу заражённый файл, а рядом с ним, свеженький 03014D3F.exe

Лезу в интернет, читаю ТАК ЭТО ЗДОРОВЫЙ userinit.exe Просто его вирус так переименовал.

Чтож, удаляю userinit.exe который лежит в папке windows/system32 и переименовываю 03014D3F.exe который лежит рядышком в userinit.exe

И снова повторяю процедуру: Зашёл в Documents and Settings\All Users\Application Data\ и удалил 22CC6C32.EXE.
так-же строчку

Code
Documents and Settings\All Users\Application Data\22CC6C32.EXE
в Shell заменил на explorer.exe
И удалил вирус из автозагрузки.

Перезапустил комп - и АЛИЛУЯ Вируса нет, рабочий стол отображается корректно =)

Вот такие вот дела...


http://vk.com/lnexl С уважением, Nex

Сообщение отредактировал NEX - Понедельник, 16.05.2011, 00:57
 
Promodz Дата: Вторник, 17.05.2011, 23:41 | Сообщение # 2
Admin
Группа: Администраторы
Сообщений: 447
Награды: 5
Статус: Offline
И тут два вопроса - что за антивирус/браузер стоит у того пипла, который хватанул этот вирус? И через инет или флэшку он его хватанул?
 
NEX Дата: Среда, 18.05.2011, 00:28 | Сообщение # 3
Рядовой
Группа: Модераторы
Сообщений: 52
Награды: 0
Репутация: 12
Статус: Offline
Антивирус стоял СВЕЖИЙ КАСПЕР 2011 ! Он даже не поймал вирус.
Браузер firefox
Зашёл на сайт к касперам, и "подарил" им заражённый файл - мне даже спасибо сказали =)))

А словили его с, ясно какого, по названию, сайта erolight.com
Потому что я когда вирус убрал, браузер запустил - и он начал усердно посылать запросы на этот сайт. Так как инет я не подключал - браузер стал писать что невозможно найти страницу. Пришлось сносить браузер и ставить заново.


http://vk.com/lnexl С уважением, Nex

Сообщение отредактировал NEX - Среда, 18.05.2011, 00:29
 
Promodz Дата: Среда, 18.05.2011, 14:39 | Сообщение # 4
Admin
Группа: Администраторы
Сообщений: 447
Награды: 5
Статус: Offline
В общем ясно, тут как и всегда сработал непрофессионализм пользователя - Firefox не дал бы этому вирусу установиться, пока юзер не нажал на кнопку "Да, я хочу установить эту фичу, которая может быть вирусом". И как я всегда говорю, вирус через инет поймать почти нереально, если сайты просматривать с отключенным Javascript.
P.S. Ты уже сержант smile
 
NEX Дата: Среда, 18.05.2011, 14:57 | Сообщение # 5
Рядовой
Группа: Модераторы
Сообщений: 52
Награды: 0
Репутация: 12
Статус: Offline
Так точно! xD

http://vk.com/lnexl С уважением, Nex
 
Promodz Дата: Среда, 18.05.2011, 17:52 | Сообщение # 6
Admin
Группа: Администраторы
Сообщений: 447
Награды: 5
Статус: Offline
Аватарочку себе поставь, а то не по понятиям как-то... Модератор с расширенными правами всё-таки!
 
NEX Дата: Понедельник, 23.05.2011, 18:22 | Сообщение # 7
Рядовой
Группа: Модераторы
Сообщений: 52
Награды: 0
Репутация: 12
Статус: Offline
Краткий курс по удалению баннера =)

загружаемся через Live-CD, грохаем файл c:\Documents and Settings\All Users\Application Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\system32\dllcache\userinit.exe на здоровый файл userinit.exe (прикреплю к сообщению)
заходим в реестр Вашей винды и меняем значение параметра Shell на Explorer.exe, который находится в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe")
значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (ОБЯЗАТЕЛЬНО С ЗАПЯТОЙ в конце строки)

Перезагрузить комп и всё =)
Надеюсь я кому то помог, и ктото прочитал мой пост =)

Прикрепления: userinit.rar (11.9 Kb)


http://vk.com/lnexl С уважением, Nex

Сообщение отредактировал NEX - Понедельник, 23.05.2011, 18:27
 
NEX Дата: Пятница, 10.06.2011, 01:53 | Сообщение # 8
Рядовой
Группа: Модераторы
Сообщений: 52
Награды: 0
Репутация: 12
Статус: Offline
Да! Кстати!
ДАННЫЙ ВИРУС БЫЛ ИЗЪЯТ МНОЮ И СОХРАНЁН!

После моей проверки антивирусы : Аваст, и нод 32 его просто не видят!!! angry
А Касперский 2011 очень даже хорошо его узнал biggrin

Статистика проверки всего архива Касперским:


Если хотите проверить свой антивирус - поймает ли он этот вирус или нет
то найти инфецированые файлы вы можете в этом архиве (прикрепяю к посту). В архиве так-же чистые файлы и инструкция для удаления вируса, в случае заражения.

НИ В КОЕМ СЛУЧАЕ НЕ ЗАПУСКАЙТЕ *.exe ФАЙЛЫ ИЗ ЭТОГО АРХИВА!!! Иначе неминуемо заразите свой компьютер

Достаточно просто проверить антивирусом ВЕСЬ архив. Или отдельные его элементы.


ВНИМАНИЕ!!! Все процедуры с этим архивом (вирусом) Проводите на свой страх и риск!!!
Вирус выложен ТОЛЬКО ДЛЯ ОЗНАКОМЛЕНИЯ в частности для ПРОВЕРКИ СВОЕГО АНТИВИРУСА!!!
ИСПОЛЬЗОВАНИЕ ВИРУСА В НЕХОРОШИХ ЦЕЛЯХ ЗАПРЕЩЕНО!!!


Я и Администрация сайта не несём ответственности за возможный ущерб причинённый вам!
Прикрепления: VIR.rar (97.1 Kb)


http://vk.com/lnexl С уважением, Nex

Сообщение отредактировал NEX - Пятница, 10.06.2011, 02:08
 
Promodz Дата: Воскресенье, 12.06.2011, 14:35 | Сообщение # 9
Admin
Группа: Администраторы
Сообщений: 447
Награды: 5
Статус: Offline
ПРОВЕРЕНО: DrWEB CureIt палит этот вирус, во всех четырёх файлах. Хотя три недели назад не палил.
 
Ne2p Дата: Среда, 15.06.2011, 16:17 | Сообщение # 10
Рекрут
Группа: Модераторы
Сообщений: 45
Награды: 0
Репутация: 5
Статус: Offline
Просканил анивирусом от Comodo. Всё видит, скрин ниже..
Прикрепления: 7721079.png (185.2 Kb)


Заплати налоги и живи спокойно, на эти деньги продолжают войны, люди делят власть и нефть, мы пешки в играх, мы не люди, нет..

Сообщение отредактировал Ne2p - Среда, 15.06.2011, 16:18
 
NEX Дата: Среда, 15.06.2011, 17:14 | Сообщение # 11
Рядовой
Группа: Модераторы
Сообщений: 52
Награды: 0
Репутация: 12
Статус: Offline
Отлично! Видимо антивирусы обновили свои базы, и стали ловить. А в тот раз не хотели.

http://vk.com/lnexl С уважением, Nex
 
  • Страница 1 из 1
  • 1
Поиск:

Copyright POLYGON51 © 2024
Сайт управляется системой uCoz