Эпидемия нового вируса?

Question

[Jecky]

blogs.yandex.ru/search.xml?text=%D1%8D%D1%82%D0%BE+%D0%BD%D0%BE%D0%B2%D1%8B%D0%B9+%D0%B0%D0%B2%D0%B0%D1%82%D0%B0%D1%80+%D0%B2%D0%B0%D1%88%D0%B5%D0%B3%D0%BE+%D0%BF%D1%80%D0%BE%D1%84%D0%B8%D0%BB%D1%8F

Антивирусники не видят. Где почитать, что это и кто его лечит?

Answer 1

[MrShoor]

Это руткит. Вылечить можно с помощью Vba32 AntiRootkit. Сначала через эту утилиту прибиваем процесс (будет случайный набор английских символов, а адрес запуска будет в %APPDATA%. Потому в этой же утилите выбираем низкоуровневый доступ к харду, и косим экзешник. Можно еще почистить реестр в Windows/CurrrentVersion/Run. Так же не забудьте вычистить гору других экзешников с подобными случайными названиями, лежащих в %APPDATA%, но это уже можно обычными средствами.

Comments

[Артём Цыплаков]

а не подскажете, если руками снести все екзешники в аппдата — останется ли где бяка — и как провериться?

[MrShoor]

Да, бяка останется. Бяка — это руткит, который скрывает себя из списка процессов и файлов в файловой системе. Стандартными средствами вы эту бяку не сможете ни увидеть, ни удалить. Удалить можно с помощью Vba32 AntiRootkit, или подключив зараженный носитель к другой системе (а если на харде например 2 ОС — можно загрузиться с другой ОС и удалить зловред).

[Zoom_spb]

он висит под explorer.exe

[MrShoor]

С чего бы ему висеть под эксплорером? Если вы первый раз запускаете из под эксплорера его, то да. А дальше он пишется в автозагрузку, и висит уже сам. Или что в таком случае вы имеет ввиду «висит под explorer.exe»

Answer 2

[Zoom_spb]

да, это эпидемия, причем нод ее впускает, но позже он мне поможет :)
вообщем бяка сидит в explorer.exe, по-этому нод не может ее удалить, но на самом деле, бяка хранится в \AppData\Roaming\?????.exe, еще сидит ключем в HKCU\Software\Microsoft\Windows\CurrentVersion\Run, там увидите :) но если вы его удалите — он появится, и самого файла нет в той папке, он не скрытый, его нет, быстро удалить получилось таким образом:
с открытым редактором реестра на том ключе, я в диспетчере задач завершил explorer.exe, далее в редакторе реестра — импорт, переходим в \AppData\Roaming, нажимаем отображать файлы по маске *.* и видим наш заветный ?????.exe, нод тут же его подхватывает и удаляет, потом просто запускаю процесс explorer.exe и бяки нет, надеюсь на долго, кстати, эта гадость атакует флешки, ставя всем папкам атрибуты: скрытый и системный, а сам создает линки на себя в виде папок, ну и не забыть удалить уже не нужный ключ :)

Comments

[MrShoor]

Не вводите человека в заблуждение. Бяка не сидит в explorer.exe, а вполне себе самостоятельный процесс. Из ваших слов — заменить explorer.exe на здоровый и все будет типтоп. Вы кстати перезагружались после того как удалили его, или 5 минут назад удалили? Перезагрузитесь если не перезагружались. Скорее всего бяку вы не удалили :)

[Zoom_spb]

моя модификация сидит, причем не только у меня одного, так что в заблуждение не ввожу — вирус удален проверял после полным сканированием, он еще прячется в корзине, как дубль
это просто заметка о том, что у меня удачно получилось гораздо быстрее чем описано на просторах интернета, и конечно же лучше писать на virusinfo.info/

[Zoom_spb]

и подменить explorer.exe — не поможет :) я закрыл этот процесс, для того, чтобы смог увидеть файл

Answer 3

[Nickel3000]

Можно тут.