Собственный и заимствованный опыт

Главные "вирусоборцы" страны: Лаборатория Касперского и Dr.Web заявили, что наиболее часто пользователи Интернет страдали от всевозможных порно-баннеров, как в прошлом году, так и в настоящем. Легко распространяющиеся и трудновыводимые вирусы-вымогатели практически обрели статус эпидемии.

Попытаюсь привести собственную классификацию зловредов, с коими приходилось успешно бороться.

Простейший случай: рекламный баннер, зачастую "недетского" содержания, перекрывающий значительную часть монитора. Кроме рекламы содержит настоятельное предложение отправить SMS на короткий номер для получения ключа-деактиватора. Всплывает эта "нечисть" только после запуска Internet Explorer.

Для изничтожения заразы нужно ухитриться, используя незанятую часть экрана, пробраться в настройки IE (Сервис-->Свойства обозревателя) и отключить подозрительные надстройки. Если подозрительных нет или все являются таковыми - отключать поочередно, с перезагрузкой системы.

Более профессиональный способ - использование бесплатной утилиты Марка Руссиновича autoruns.

После первого запуска утилиты соглашаемся с условиями использования и через пару секунд перед нами огромный список служб, файлов, драйверов и всего того, что стартует вместе с системой.

Autoruns.exe Марка Руссиновича

Дабы не плутать в сотнях строк, вверху выбираем закладку InternetExplorer и пытаемся "отделить зерна от плевел".

Снятая галочка - отключение автозапуска данного компонента.

Более серьёзный противник - очень похожий по проявлениям, но не "привязанный" к веб-браузеру от MicroSoft. Часто блокирует диспетчер задач. Поэтому - опять sysinternals.com - очередной шедевр Руссиновича: ProcessExplorer. Полноценная замена taskmgr от MS.

Запускаем и внимаем. Нужно приблизительно представлять себе, что за процессы крутятся на компьютере. Тогда "чужие" процессы сами бросаются в глаза. Чужих - убиваем через контекстное меню или красным крестиком в верхнем меню.

Убили баннер - снова в autoruns. Ищем откуда зараза стартовала.

Особое внимание - на разделы:

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

В userinit - только userinit, в shell - разумеется explorer, а вот в run - наборы у всех свои. Очень может быть, что среди всяких QuickTime и SoundMan затесался неприметненький plugin.exe (такой был у меня).

Итак, локализуем посторонних, снимаем галочку и перезагружаем систему, дабы убедиться в правильности нашего определения.

Самый сильный соперник, с собирательным именем WinLocker, блокирует вход в систему и вывешивает баннер.

Для победы на этой напастью потребуется LiveCD с возможностью редактирования реестра гостевой системы.

На мой взгляд, вполне подходит ERD-Commander. Скачиваем, прожигаем на диск, загружаемся с диска. В загрузившейся оболочке, через меню запускаем редактирование реестра и тщательно исследуем те же разделы, что и выше.

Нередко зараза сидит в ключе userinit - через запятую. Встречался и переписанный ключ shell - там вообще не упоминался проводник, а сидел некий jhgk4yujydf7sd.avi.exe.

Изменяем значения ключей на правильные и перезагружаемся.

Баннер на столе. Свежий примерчик (12.06.2010)

 

Как убрать такой баннер

Пришел на работу,   а посредь рабочего стола - красотки на розовом фоне

Случай - промежуточный, между вторым и третьим. То есть Windows загружается, программы запускаются, но никак не реагируют в дальнейшем.

Загрузка с CD-Live (ERD-Commander 2005) и анализ ситуации выявили:

  • файлик agent.exe из папки c:\Program Files\Common Files\Agent\ запускаемый ключом реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • файлик 8511124.exe из папки c:\TEMP\ - через ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Поправил реестр, удалил (точнее припрятал в коллекцию) зловредов с диска.  И вот, уже описал ситуёвину...