MarkusX
10.05.2005, 16:50
Во-первых, как зараза попала в систему? Да очень просто. Сквозь антивирусы, файрволлы и апдейты виндовса в придачу.
Лазил в нете. И просто во время загрузки какой-то страницы сначала начал тормозить комп. Потом Outpost Firewall выдал сообщение, что мол Internet Explorer обновился (там еще компонент был какой-то подозрительный - ms32.tmp), что дальше делать? Ну и варианты ответов:
- разрешить обновление
- запретить приложению доступ к сети
- отключить контроль компонентов
Что выбирать? Последний вариант сразу отпадает. Когда выбираю второй вариант, я не знаю как после лечения в файрволле вернуть доступ IE к сети. Думаю, выбиру первый вариант, заодно поковыряюсь немного.
Потом, как обычно, комп подвис. Я - на ресет. И здесь я лохонулся. Вместо "сейф моде" подгрузился в обычном. Уже при загрузке открылся IE со стартовой страницой типа lookfor.cc. Смотрю, iexplorer уже в автозагрузке.
Есть у меня прога такая, называется BHODemon. Нашел там (кроме bho, который прописал FlashGet - 100%) еще один странный bho под названием aiaa.dll. Ничего похожего я вроде бы не устанавливал. Снял галочку, думаю поможет. Мне еще программа пару вопросов задала, типа "после отключения этого элемента его дальнейшее использование будеи невозможным. продолжить???" Жму "да". Лезу в реестр. Меняю все вхождения с lookfor.cc на нужные. Запустил еще avz. Просканил ним систему. Ничего не нашел. Перезагружаюсь...
Ни фига :( Стартовая страница опять вылазит.
Опять открываю avz. В разделе поиска указываю aiaa.dll. Нашел его в c:\windows\system. Думаю, попробую сделать так:
regsvr32 /u aiaa.dll.
Опа. Тут проснулся Касперский, мол, я тоже крутой, тоже зверя обнаружил. Причем обнаружил где-то в папке temporary internet files файл .gif !!! Ну, удалил я конечно его.
Дальше запускаю hijackthis. Просканил, пофиксил нужный bho. Пофиксил все адреса (стартовой страницы, поиска и т.п.). Удалил aiaa.dll, ms32.tmp (который втупую лежал в корне диска С).
Перезапустил машину - вроде бы пронесло на этот раз. Копии вышеуказанных файликов проверил через virusscan (http://virusscan.jotti.org/). Навыдавало мне на .tmp файл следующее:
File: ms32.tmp
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 a3f3b8941f611df3f631d64e2bc3ac14
Packers detected: -
Scanner results
AntiVir Found TR/Dldr.Small.ats
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Downloader.Small.Gen (probable variant)
ClamAV Found nothing
Dr.Web Found Trojan.DownLoader.2511
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Small.ats
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Trojan.DownLoader.2511
А теперь вопросы:
1) как восстанавливать разрешение приложению ходить в сеть в "аутпост файрволле"?
2) как закрыть описанную мною дыру попадания заразы в систему? Ну, понятно, скачать и установить все обновления и т.д. Но все таки, стрёмно немного, когда без лишних вопросов тебе на систему может установиться всякая дрянь. Это хорошо, что аутпост заметил, а если бы нет?
Лазил в нете. И просто во время загрузки какой-то страницы сначала начал тормозить комп. Потом Outpost Firewall выдал сообщение, что мол Internet Explorer обновился (там еще компонент был какой-то подозрительный - ms32.tmp), что дальше делать? Ну и варианты ответов:
- разрешить обновление
- запретить приложению доступ к сети
- отключить контроль компонентов
Что выбирать? Последний вариант сразу отпадает. Когда выбираю второй вариант, я не знаю как после лечения в файрволле вернуть доступ IE к сети. Думаю, выбиру первый вариант, заодно поковыряюсь немного.
Потом, как обычно, комп подвис. Я - на ресет. И здесь я лохонулся. Вместо "сейф моде" подгрузился в обычном. Уже при загрузке открылся IE со стартовой страницой типа lookfor.cc. Смотрю, iexplorer уже в автозагрузке.
Есть у меня прога такая, называется BHODemon. Нашел там (кроме bho, который прописал FlashGet - 100%) еще один странный bho под названием aiaa.dll. Ничего похожего я вроде бы не устанавливал. Снял галочку, думаю поможет. Мне еще программа пару вопросов задала, типа "после отключения этого элемента его дальнейшее использование будеи невозможным. продолжить???" Жму "да". Лезу в реестр. Меняю все вхождения с lookfor.cc на нужные. Запустил еще avz. Просканил ним систему. Ничего не нашел. Перезагружаюсь...
Ни фига :( Стартовая страница опять вылазит.
Опять открываю avz. В разделе поиска указываю aiaa.dll. Нашел его в c:\windows\system. Думаю, попробую сделать так:
regsvr32 /u aiaa.dll.
Опа. Тут проснулся Касперский, мол, я тоже крутой, тоже зверя обнаружил. Причем обнаружил где-то в папке temporary internet files файл .gif !!! Ну, удалил я конечно его.
Дальше запускаю hijackthis. Просканил, пофиксил нужный bho. Пофиксил все адреса (стартовой страницы, поиска и т.п.). Удалил aiaa.dll, ms32.tmp (который втупую лежал в корне диска С).
Перезапустил машину - вроде бы пронесло на этот раз. Копии вышеуказанных файликов проверил через virusscan (http://virusscan.jotti.org/). Навыдавало мне на .tmp файл следующее:
File: ms32.tmp
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 a3f3b8941f611df3f631d64e2bc3ac14
Packers detected: -
Scanner results
AntiVir Found TR/Dldr.Small.ats
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Downloader.Small.Gen (probable variant)
ClamAV Found nothing
Dr.Web Found Trojan.DownLoader.2511
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Small.ats
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Trojan.DownLoader.2511
А теперь вопросы:
1) как восстанавливать разрешение приложению ходить в сеть в "аутпост файрволле"?
2) как закрыть описанную мною дыру попадания заразы в систему? Ну, понятно, скачать и установить все обновления и т.д. Но все таки, стрёмно немного, когда без лишних вопросов тебе на систему может установиться всякая дрянь. Это хорошо, что аутпост заметил, а если бы нет?