Alek: Все сообщения за 29 Января 2010 года

Джентльмены! Спасибо за Ваши советы и ссылки на хорошее ПО. Благодаря Вам и удаче я полностью разобрался в этом деле. Я 100% вычислил откуда подхватил заразу. Выяснил какие возникаю признаки заражения еще до его проявления. Выяснил где прячутся вредоносные файлы. Выяснил как восстановить контроль над системой.

Более того! Я как Луи Постер сегодня только и делаю что специально заражаю себя и лечу. Захожу на сайт-инфектор заражаюсь и мониторю в реальном времени что происходит. Изучил не только описанный в первом посте вирус но и еще один аналогичный но отличный. Я почти уже эксперт! Я даже записал ролик с экрана как происходит заражение.

Сейчас я подготовлю два поста по двум эти вирусам и чуть позже выложу здесь со скриншотами и видео.

Да, сразу говорю источником заразы оказался сайт mobiledevice.ru на который я заходил почти ежедневно читать компьютерные новости. Точнее похоже не сам сайт а подгружаемая на него реклама.

•  2
•  инфо
•  инструменты
• Ответить на сообщение

Вирус номер один. Тот что описан в первом посте.

1. Как происходит заражение?

При заходе на сайт, после полной загрузки страницы (в левом нижнем углу броузера в уведомлениях появляется "Готово") проходит несколько секунд и мы видим там надпись "передачча данны с" и что-то сново начинает подгружаться. Передача идет с адреса какоето_произвольное_имя.inplay.tubemogul.com В этот момент в системном трее на несколько секунд появляется иконка явы и все! Вуаляя компьютер заразился. Сразу же можно об этом узнать нажав Alt+Cntr+Del Вместо диспетчера задач выскочит сообщение что он отключен администратором. При перезагрузке компьютер будет заблокирован.

2. Какие файлы и записи в реестре появляются от деятелности вируса?

Основной файл вируса C:\windows\system32\user32.exe
Этот файл прописывается вирусом в автозагрузку в секцию winlogan вместо эксплорера
Кроме того в корень каждого диска кроме С: вирус пишет скрытые файлы md.exe и autorun.inf
Внимание! Возможно есть и другие файлы этого вируса которые я не смог найти.

3. Как восстановить контроль над системой?

Загрузиться с CD с ERDCommander'ом и удалить вредносные файлы и запись в реестре.

•  инфо
•  инструменты
• Ответить на сообщение

Второй вирус. Подхваченый там же в результате изучения первого.

1. Похож на первый. Способ заражения такой же. Но после перезагрузки блокирующее экран поле красного цвета и вверху три порнокартинки. Текст гласит что это баннер который установлен на месяц чтобы разблокировать досрочно - пошлите СМС и т.д.

2. Файлы вируса.

Обнаружил два файла относящиеся кэтому вирусу. Возможно их больше! Файл в корне "програм файл" под именем plugin.exe прикидывается макромедиа флешплеером. И файл в папке темп который имеет разное имя но вида EB75.TMP, FE43.TMP и т.п. Вычислить его можно по дате.

3. Удалить как и впервом случае эти файлы ERD Commanderom и можно получить доступ к системе

4. Каким то образом вирус повреждает или блокирует ветку реестра куда прописывается и получить к ней доступ невозможно! Оснастка ERD Commander просто выгружается при попытке доступа.

•  1
•  инфо
•  инструменты
• Ответить на сообщение