Несколько дней назад позакрывав окна бровзера и прочие я вдруг увидел рабочий стол в странном виде - фон был другого цвета и посреди торчала предупреждающая о вирусе надпись. Сначала подумал что это шутка - что какое-то окно распахнулось в режиме kiosk - но как тогда шоркаты апликух торчат поверх чужого фона?
Набрав в поисковике текст сообщения “Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer” я понял что дело плохо - во-первых вирус не имел названия, во-вторых с таким сообщением было уже много разных вирусов и в третьих не было "таблетки". Посмотреть как выглядел рабочий стол можно тут: http://www.pcthreat.com/parasitebyid-6955en.html
На этой и на множестве других страниц предлагалось пройтись антивирусным сканером - ссылки на который тут же давались. Ну что, прошелся и как ожидал - получит список более чем 400 "инфицированных" файлов, каждый из которых был файлом кукей. Скачал еще один сканер - эквипенисуально. Ad-aware и Spy-aware сканеры - это просто маразм какой-то.
Как все это выглядело: вирус записал исполняемый файл в ключ Run в реестре и запускался оттуда при загрузке винды. Заменял обои на рабочем столе на то, что вы видите на том примере выше, и заменял скринсейвер. В окне свойств экрана не было вкладок Wallpapers и Screen Saver - через редактор групповой политики вирус убирал их, и как-то запрещал доступ к этому редактору. В списке процессов легко можно было увидеть процесс с бессмысленным именем типа lpbfldsh20sj90d.exe
Но сначала я сдуру взял и откатил Винду на предыдущую системную точку. В результате файлы моего профиля были заменены, и перезаписать новые файлы старыми, рабочими было нетрудно, но юзеровский кусок регистра оказался убитым. И что самое милое-премилое, в долбаном regedit.exe ОТСУТСТВУЕТ команда File > Open. В результате провозился вечер с потерянными настройками софта.
Казалось бы и все. Но нет. Обратил внимание что у меня все время идет коннект - значок выведен в трей. В процессах нашел запущенный бровзер и активный svchost.exe - прибил и трафик заглох. Проработал день, потом уехал на дачу, вечером в вск обнаружил что с моего компа нет локальной сети - ну, наверно не тот svchost убил. Перезагрузил, все ок, поработал и вдруг бац - нет доступа в инет.
Захожу на биллинговую страницу а там мне провайдер сообщает, что мой ойпи заблокирован из-за массовой рассылки почты. Вот так! У меня сроду не было антивирусных программ - за все время я видел одного ад-аварного вируса, который поставил один сотрудник вместе с каким-то тулбаром в бровзер. Удалилось все легко и просто. Схема подключения к инету у меня - через сервер. Элементарная кибер-гигиена, файрволы и вовремя скачанные апдейты для Винды - и живи спокойно.
И вот тут похоже уловка - я скачал и установил накопившиеся обновления Винды, но на запрос перезагрузки отвечал Later, Later, Later - и в этом окне все и сработало. С какого сайта поймал - теперь уже не понятно. Но похоже надо было сразу давить Reset Now и может быть так я и не увидел бы живого вируса.
Короче, пришлось провести более углубленный поиск и методом научного тыка я идентифицировал два файла, один из которых имеет постоянное название, а второй с изменяемым окончанием. Удалить их было нельзя. Один даже просмотреть нельзя было. В безопасном режиме - удалить было нельзя ни тот, ни другой. Я уже подумал искать загрузочный диск винды, но позвонил своему сисадмину и тот мне сказал скачать демку Др.Веб. Я сразу обматерил все эти сканеры, но чел настаивал.
В общем особой помощи от др.Веб я не получил - но за минуту он без всякой куки-вони нашел эти файлы, я нажал Удалить и их не стало. Позвонил провайдеру, сказал что если мне надо рассылать почту тысячам адресов - я это буду делать, а ихнее дело брать с меня плату за трафик, а не смотреть чем я занимаюсь - они меня подключили. Перед запуском Др.Веба я отключил службу мониторинга системы - чтобы она сама эти вирусы не восстановила. Хотя может и не надо было - документацию на др.Веб я не читал.
Такая вот штука, интересная - вирус сообщает о себе и видимо для того, чтобы снесли видимую часть айсберга, а невидимую - которая гадит - не замечали некоторое время. Сработало.
Набрав в поисковике текст сообщения “Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer” я понял что дело плохо - во-первых вирус не имел названия, во-вторых с таким сообщением было уже много разных вирусов и в третьих не было "таблетки". Посмотреть как выглядел рабочий стол можно тут: http://www.pcthreat.com/parasitebyid-6955en.html
На этой и на множестве других страниц предлагалось пройтись антивирусным сканером - ссылки на который тут же давались. Ну что, прошелся и как ожидал - получит список более чем 400 "инфицированных" файлов, каждый из которых был файлом кукей. Скачал еще один сканер - эквипенисуально. Ad-aware и Spy-aware сканеры - это просто маразм какой-то.
Как все это выглядело: вирус записал исполняемый файл в ключ Run в реестре и запускался оттуда при загрузке винды. Заменял обои на рабочем столе на то, что вы видите на том примере выше, и заменял скринсейвер. В окне свойств экрана не было вкладок Wallpapers и Screen Saver - через редактор групповой политики вирус убирал их, и как-то запрещал доступ к этому редактору. В списке процессов легко можно было увидеть процесс с бессмысленным именем типа lpbfldsh20sj90d.exe
Но сначала я сдуру взял и откатил Винду на предыдущую системную точку. В результате файлы моего профиля были заменены, и перезаписать новые файлы старыми, рабочими было нетрудно, но юзеровский кусок регистра оказался убитым. И что самое милое-премилое, в долбаном regedit.exe ОТСУТСТВУЕТ команда File > Open. В результате провозился вечер с потерянными настройками софта.
Казалось бы и все. Но нет. Обратил внимание что у меня все время идет коннект - значок выведен в трей. В процессах нашел запущенный бровзер и активный svchost.exe - прибил и трафик заглох. Проработал день, потом уехал на дачу, вечером в вск обнаружил что с моего компа нет локальной сети - ну, наверно не тот svchost убил. Перезагрузил, все ок, поработал и вдруг бац - нет доступа в инет.
Захожу на биллинговую страницу а там мне провайдер сообщает, что мой ойпи заблокирован из-за массовой рассылки почты. Вот так! У меня сроду не было антивирусных программ - за все время я видел одного ад-аварного вируса, который поставил один сотрудник вместе с каким-то тулбаром в бровзер. Удалилось все легко и просто. Схема подключения к инету у меня - через сервер. Элементарная кибер-гигиена, файрволы и вовремя скачанные апдейты для Винды - и живи спокойно.
И вот тут похоже уловка - я скачал и установил накопившиеся обновления Винды, но на запрос перезагрузки отвечал Later, Later, Later - и в этом окне все и сработало. С какого сайта поймал - теперь уже не понятно. Но похоже надо было сразу давить Reset Now и может быть так я и не увидел бы живого вируса.
Короче, пришлось провести более углубленный поиск и методом научного тыка я идентифицировал два файла, один из которых имеет постоянное название, а второй с изменяемым окончанием. Удалить их было нельзя. Один даже просмотреть нельзя было. В безопасном режиме - удалить было нельзя ни тот, ни другой. Я уже подумал искать загрузочный диск винды, но позвонил своему сисадмину и тот мне сказал скачать демку Др.Веб. Я сразу обматерил все эти сканеры, но чел настаивал.
В общем особой помощи от др.Веб я не получил - но за минуту он без всякой куки-вони нашел эти файлы, я нажал Удалить и их не стало. Позвонил провайдеру, сказал что если мне надо рассылать почту тысячам адресов - я это буду делать, а ихнее дело брать с меня плату за трафик, а не смотреть чем я занимаюсь - они меня подключили. Перед запуском Др.Веба я отключил службу мониторинга системы - чтобы она сама эти вирусы не восстановила. Хотя может и не надо было - документацию на др.Веб я не читал.
Такая вот штука, интересная - вирус сообщает о себе и видимо для того, чтобы снесли видимую часть айсберга, а невидимую - которая гадит - не замечали некоторое время. Сработало.
