?

Log in

No account? Create an account
  Journal   Friends   Calendar   User Info   Memories
 

Электронный миссионер

25th December, 2007. 5:15 am. Наш вирус пал смертью храбрых!

Хехехехе!!! Сразу хочу высказать отдельную благодарность уважаемой mona_sax, которая посоветовала мне один антивирь. Но антивирь пустая побрякушка в неумелых руках ламера, как показала практика. Мной лично были испытанны NOD32, AVZ4, AVG75, DR WEB, А касперский вообще наглая гадина отказался ставится и сказал чтобы я снёс антивири. МНе не жалко, но он просил снести драйвеб, который я отродясь не инсталил, или инсталил когда-то но он криво удалился и висит в реестре. Что обыдно.

Мои тщетные попытки выгружания DLLок процес эксплорером ничего не дали. Вирь прочно и капитально сидел в системе. Тогда я пошёл более простым, я бы сказал решил проблему влоб. Через вин командер, который зырит скрытые файлы, я нашёл на диске С:\ файл autorun.inf, и открыл его для просмотра. Это ОБЯЗАТЕЛЬНЫЙ файл авторановых вирей. Моему вниманию предавился такой вид:

[AutoRun]
open=uxdeiect.com
;shell\open=Open(&O)
shell\open\Command=uxdeiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=uxdeiect.com


Хехе, подумал я. Хаха, подумал вирус и творил своё чёрное дело. Оговорюсь сразу, как лакмусовую бумажку поверженности вируса я использовал созданный в папке обычный текстовик, с атрибутами скрытный. Как только через обычный проводник я его стану видеть (разумеется поставив соответствующие галки), то значить вирь повержен. Я пробовал найти онный файл и грохнуть его, но разум подсказывает, что хороший вирь имеет кучу резервок, да и ещё висит в памяти, что сильно осложняет задачу. Тогда я вбил в гугл запрос uxdeiect.com в надежде, что кто-то сталкивался с такой проблемой. Были сайты на всех языках, кроме англицкого и русского. В общем беглый просмотр ВСЕХ сайтов (а там, как ни странно было немного - свежачёк), не дал ощутимых результатов. Тогда я открыл нелюбимый яндух, и вбил запрос туда. И мне выпала, всего одна ссылка, но которая давала ИСЧЕРПЫВАЮЩИЙ ответ на мой вопрос!

Берём бесплатный антивирь AVZ (дёрнуть можно тут: http://www.z-oleg.com/secur/avz/download.php ), качаем. Жмакаем Файл-> Выполнить скрипт, и загоняем туда такой скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\jwbnlb.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\drivers\jwbnlb.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта, комп ПРИНУДИТЕЛЬНО ребутнётся. И всё, наслаждаемся жизнью! Заинтересованные иследователи могут почитать по теме - http://virusinfo.info/showthread.php?s=d7bb23eb8411f66e2f1ebd4754fe325f&t=15532 там же можно качнуть САМ ВИРУС для исследования!

От себя замечу, напоследок, чтобы предохраниться от подобныых неприятностей, надо сделать как я уже писал ранее! Создать файл траляля.reg, в который внести следующуие строки:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
"NoDriveTypeAutoRun"=dword:000000FF

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF


И запустить его. Этот скрипт пропишет в реестр запрет авторанов со всех сьёмных носителей. А чтобы обезопасится окончательно НИКОГДА не открывать флешки через мой компьютер, ТОЛЬКО командерами!!! ТОЛЬКО! Удачи на антивирусном поприще, и будте здоровы.
UPD Спешу обратить внимание на мой предыдущий пост по этой теме http://community.livejournal.com/x_crew/30570.html , правда там вирус был значительно проще и примитивнее.

Read 24 Notes -Make Notes

Back A Day - Forward A Day