Из личного опыта: хитрый вирус
Запись от AlexZir размещена 06.08.2010 в 07:30
Метки avz, cureit, livecd, вирус, способ заражения, способ лечения
Предыстория:
Принесли из финотдела компьютер с порнобанером на весь экран. Удалить его особого труда не составило, благо доступ к сайту деблокера всегда есть. Потом по стандартной схеме прошерстил систему CureIT-ом, AVZ-ом и установленным Avast-ом на максимальных настройках, удалил временные файлы, еще пару часов погонял на тестах и отдал обратно.
Теперь непосредственно к самому вирусу.
На следующее утро звонок с истерическими криками, мол, комп нещадно тормозит, сетку не видит, приложения не запускает, а нам в край проводки делать надо и т.д. и т.п. В-общем, недолечил систему. Забрал на глубокое сканирование, гонял почти сутки, AVZ-ом отловил подозрительную активность файла userini.exe. Данный файл в системе быть не должен, оригинальный файл носит другое имя - userinit.exe, поэтому я его удалил, следы в реестре подчистил, в автозагрузке снес все упоминания и отправил компьютер на перезагрузку. Но после загрузки проблема опять проявилась.
Проанализировав логи сканирования AVZ и список автозагрузки, заметил, что данный файл, как и оригинальный, использует для запуска процесс explorer.exe. Также в логе сканирования упоминается о возможной маскировке explorer.exe с минимальным (5%) процентом опасности, на которую я в первый раз внимания не обратил. На всякий случай принял решение заменить файл explorer.exe оригинальным с установочного диска.
Скопировал оригинальный файл на флешку. Предварительно подчистив систему AVZ, загрузился с DrWEB LiveCD, подмонтировал флешку и при помощи MC удалил подозрительный файл, затем скопировал файл с флешки в системную папку, после чего удалил файлы во временных папках и перезагрузился. Итоги превзошли все мои ожидания - от вируса не осталось и следа, компьютер перестал тормозить, все заработало.
Оказалось, вирус прикреплял себя к explorer.exe и запускался вместе с ним при входе в систему. Находилось тело вируса в том же секторе диска, что и данный файл и маскировалось под него. Если бы не глубокое сканирование на руткиты - не обнаружил бы.
Вы спросите, к чему всё это я написал? Серьезнее относитесь к логам сканирования и сэкономите львиную долю времени при устранении неполадок. Если бы я с самого начала был повнимательнее - мне не пришлось бы тратить дополнительное время на поиск неисправности.
Принесли из финотдела компьютер с порнобанером на весь экран. Удалить его особого труда не составило, благо доступ к сайту деблокера всегда есть. Потом по стандартной схеме прошерстил систему CureIT-ом, AVZ-ом и установленным Avast-ом на максимальных настройках, удалил временные файлы, еще пару часов погонял на тестах и отдал обратно.
Теперь непосредственно к самому вирусу.
На следующее утро звонок с истерическими криками, мол, комп нещадно тормозит, сетку не видит, приложения не запускает, а нам в край проводки делать надо и т.д. и т.п. В-общем, недолечил систему. Забрал на глубокое сканирование, гонял почти сутки, AVZ-ом отловил подозрительную активность файла userini.exe. Данный файл в системе быть не должен, оригинальный файл носит другое имя - userinit.exe, поэтому я его удалил, следы в реестре подчистил, в автозагрузке снес все упоминания и отправил компьютер на перезагрузку. Но после загрузки проблема опять проявилась.
Проанализировав логи сканирования AVZ и список автозагрузки, заметил, что данный файл, как и оригинальный, использует для запуска процесс explorer.exe. Также в логе сканирования упоминается о возможной маскировке explorer.exe с минимальным (5%) процентом опасности, на которую я в первый раз внимания не обратил. На всякий случай принял решение заменить файл explorer.exe оригинальным с установочного диска.
Скопировал оригинальный файл на флешку. Предварительно подчистив систему AVZ, загрузился с DrWEB LiveCD, подмонтировал флешку и при помощи MC удалил подозрительный файл, затем скопировал файл с флешки в системную папку, после чего удалил файлы во временных папках и перезагрузился. Итоги превзошли все мои ожидания - от вируса не осталось и следа, компьютер перестал тормозить, все заработало.
Оказалось, вирус прикреплял себя к explorer.exe и запускался вместе с ним при входе в систему. Находилось тело вируса в том же секторе диска, что и данный файл и маскировалось под него. Если бы не глубокое сканирование на руткиты - не обнаружил бы.
Вы спросите, к чему всё это я написал? Серьезнее относитесь к логам сканирования и сэкономите львиную долю времени при устранении неполадок. Если бы я с самого начала был повнимательнее - мне не пришлось бы тратить дополнительное время на поиск неисправности.
Всего комментариев 3
Комментарии
-
Хорошее дело, а если ничего не запускается? Даже в безопасном режиме ролик с девочками на весь экран. Только возможен запуск с загрузочного диска.(вопросы от новичков "Как избавится от банера")
Запись от Cth`ufrep размещена 06.08.2010 в 19:44 -
Запись от KUS размещена 07.08.2010 в 11:33 -
Cth`ufrep
Посмотрите в разделе Библиотека мою статью http://www.tehnari.ru/f25/t36562/
Дима, про профессионализм я как-то в тот момент не думал, не до того былоЗапись от AlexZir размещена 07.08.2010 в 15:06