Подмена hosts в данном случае прописывается в системном реестре. Файл вируса лежит в папке
C:\WINDOWS\ и носит гордое название activate.exe.
Обнаружить заразу традиционно помог AVZ.
Во первых - список файлов в hosts:
127.0.0.1 localhost hellhead.ru anonimvk.ru anonim.do.am webvpn.org unboo.ru xy4-anonymizer.ru nekontakt2.ru
|
127.0.0.1 urlbl.ru anonymizer.ru timp.ru workandtalk.ru dostyp.ru neklassniki.ru nemir.ru
|
127.0.0.1 anonimix.ru waitplay.ru nezayti.ru webmurk.ru vkanonim.ru dostupest.ru
|
127.0.0.1 v.vhodilka.ru o.vhodilka.ru raskruty.ru diazoom.ru razblokirovatdostup.ru anonim.ttu.su
|
127.0.0.1 spoolls.com jelya.ru antiblock.ru websplatt.ru dardan.ru cameleo.ru obhodilka.ru pinun.ru
|
127.0.0.1 ok-anonimaizer.ru netdostupa.com adminimus.ru vhodilka.ru
|
95.156.222.135 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru
|
Во-вторых - прямое указание на опасность обнаруженную при проведении эвристического анализа:
| 7. Эвристичеcкая проверка системы Обнаружен вызов интерпретатора командной строки в автозапуске [DR=15] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\itbgl = [cmd.exe copy "C:\DOCUME~1\admin\LOCALS~1\ .... часть текста удалена с точки зрения безопасности ... "C\system32\drivers\etc\hosts"] >>> C:\WINDOWS\activate.exe ЭПС: подозрение на Файл с подозрительным именем |
В третьих, странные записи в секции "Автозапуск", в отчете AVZ:
Автозапуск
| Имя файла | Статус | Метод запуска | Описание |
| copy C:\DOCUME~1\admin\LOCALS~1\Temp\9640421FdOh C:\WINDOWS\system32\drivers\etc\hosts | Активен | Ключ реестра | HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, 9640765 |
| copy C:\DOCUME~1\admin\LOCALS~1\Temp\t1 C:\WINDOWS\system32\drivers\etc\hosts | Активен | Ключ реестра | HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, itbgl |
Лечится все как обычно достаточно легко.
Получается скрипт следующего вида:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9640765');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','itbgl');
ClearHostsFile;
DeleteFile('C:\WINDOWS\activate.exe');
end.
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9640765');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','itbgl');
ClearHostsFile;
DeleteFile('C:\WINDOWS\activate.exe');
...
ExecuteSysClean;end.
Дополнительно был удален файл 'C:\WINDOWS\System32\Drivers\lbrtfdc.sys', потому как хозяина у данного файла не нашлось, а бездомного файла на компьютерах быть не должно.
Собственно, НЕ РЕКОМЕНДУЮ, удалять наотмашь все неизвестные файлы, но с подозрением к ним относиться можно и нужно.
Проверить неизвестные Вам файлы можно отправив их на известные ресурсы он-лайн проверки.
P.S. Незатейливо получилось, и наверное скучновасто, но может кому и поможет...
Не болейте!
обьясни как сделать скрипт а то я незнаю.Заранее спасибо
ОтветитьУдалитьПрошу прощения за опоздание. Скрипт делается очень просто. Под каждым пунктом таблицы есть ссылки "удалить". Нажимешь на эту ссылку и в окошко, находящееся в нижней части протокола исследования системы AVZ, добавляется соответствующая строка. Потом просто копируешь этот скрипт в программу и выполняешь.
Удалить