И снова он - порнобаннер при загрузке ОС. Удалён ли ?
Исходные условия: Windows XP 2006 с нек. модификациями (PROWise Manager по умолчанию вместо диспетчера задач, AlfaClock вместо стандартных часов и др.) Защита - KIS 7 Браузер - Opera 10.51
Возникновение проблемы: В процессе поиска по сайтам в Opera нарисовалось всплывающее в новой вкладке, KIS заявил о наличии вредоносного кода, я добросовестно всё запретил, на всякий случай решил провести перезагрузку - нехорошее предчувствие меня не обмануло: после загрузки на рабочем столе успешно нарисовался 1-ый в моей интернет-жизни порнобаннер. Требовал отправить код aa75025 на номер 8353.
Поиск решения: 1. Баннер возникал при загрузке как в обычном, так и в безопасном режиме. Блокировал работу виндового диспетчера задач, однако PROWise пусть и со значительными глюками загружался. Посредством его было установлено никаких видимых опознаваемых по имени процессов в автозагрузке и среди процессов не было - маскировался подо что-то системное. 2. Вручную обнаружить типичные файлы типа Plugin.exe в Program file, services.exe в С:/Windows и т.п. не удалось. 3. Чтобы не мучиться дальше, воспользовался сервисом deblocker этого форума. 4. После этого был запущён Dr. Web CureIT - при первом запуске винда вместе с Доктором упала в "синий экран" - было ли в этот раз что-то вылечено неизвестно. Второй прогон ничего не дал. 5. Одновременно был проверен реестр на предмет присутствия посторонних записей в Winlogon в различных местах - ничего. 6. После этого был устроен почти тотальный геноцид файлов C:/Windows/Temp, а также временных файлов Opera и, на всякий случай, IE заодно с ними восстановления системы. 7. Проведена проверка диска С на максимальных настройках в KIS 7, которая ничего не дала.
8. В соответствие с указаниями этого форума выполнены скрипты в AVZ и проверка HIjackThis
(в рез-те сканирования оба exe файла блокнота почему-то были распознаны как Keylogger - их можно восстановить или как? )
9. Как завершающий этап было проведено выборочно удаление файлов, созданных или изменённых в тот день на диске.
Вопрос:
Можно ли считать, что зловред помер - не хотелось, чтобы через n-ое кол-во дней он снова "воскрес" в каком-нибудь виде
.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Похоже что так - ни вчера, ни сегодня при загрузке-перезагрузках никаких последствий не наблюдалось. Для страховки была выполена дополнительная проверка - при помощи Trojan Remover, которая также ничего не выявила.
Что касается рекомендуемых обновлений - последние два установлены. Накатить SP3 на систему в ближайшее время не получится - комп интенсивно используется. С IE 8 есть негативный опыт работы на др. машине - при заходе на отдельные общераспространённые сайты (типа gismeteo) начинаются жуткие тормоза с загрузкой под 100%, в то время как на других всё в порядке - правда, возможно дело в том, что он был установлен поверх IE 7, который был поставлен поверх IE 6. Да и потом "сюрприз" я приобрёл в новой Opera - из IE мне как ни странно ловить ничего не приходилось, хотя может быть это только пока
Можно ли воскресить Notepad из карантина ? а то без него как-то неудобно - я так понимаю, он был забанен не по делу
Уважаемый(ая) mystwalker, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
И снова он - порнобаннер при загрузке ОС. Удалён ли ?
)
Сообщение от thyrex
