Еще раз о подмене startpage и т.п.

MarkusX · 10.05.2005, 16:50

Во-первых, как зараза попала в систему? Да очень просто. Сквозь антивирусы, файрволлы и апдейты виндовса в придачу.
Лазил в нете. И просто во время загрузки какой-то страницы сначала начал тормозить комп. Потом Outpost Firewall выдал сообщение, что мол Internet Explorer обновился (там еще компонент был какой-то подозрительный - ms32.tmp), что дальше делать? Ну и варианты ответов:
- разрешить обновление
- запретить приложению доступ к сети
- отключить контроль компонентов
Что выбирать? Последний вариант сразу отпадает. Когда выбираю второй вариант, я не знаю как после лечения в файрволле вернуть доступ IE к сети. Думаю, выбиру первый вариант, заодно поковыряюсь немного.
Потом, как обычно, комп подвис. Я - на ресет. И здесь я лохонулся. Вместо "сейф моде" подгрузился в обычном. Уже при загрузке открылся IE со стартовой страницой типа lookfor.cc. Смотрю, iexplorer уже в автозагрузке.
Есть у меня прога такая, называется BHODemon. Нашел там (кроме bho, который прописал FlashGet - 100%) еще один странный bho под названием aiaa.dll. Ничего похожего я вроде бы не устанавливал. Снял галочку, думаю поможет. Мне еще программа пару вопросов задала, типа "после отключения этого элемента его дальнейшее использование будеи невозможным. продолжить???" Жму "да". Лезу в реестр. Меняю все вхождения с lookfor.cc на нужные. Запустил еще avz. Просканил ним систему. Ничего не нашел. Перезагружаюсь...

Ни фига

Стартовая страница опять вылазит.

Опять открываю avz. В разделе поиска указываю aiaa.dll. Нашел его в c:\windows\system. Думаю, попробую сделать так:
regsvr32 /u aiaa.dll.
Опа. Тут проснулся Касперский, мол, я тоже крутой, тоже зверя обнаружил. Причем обнаружил где-то в папке temporary internet files файл .gif !!! Ну, удалил я конечно его.
Дальше запускаю hijackthis. Просканил, пофиксил нужный bho. Пофиксил все адреса (стартовой страницы, поиска и т.п.). Удалил aiaa.dll, ms32.tmp (который втупую лежал в корне диска С).

Перезапустил машину - вроде бы пронесло на этот раз. Копии вышеуказанных файликов проверил через virusscan (http://virusscan.jotti.org/). Навыдавало мне на .tmp файл следующее:

File: ms32.tmp
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 a3f3b8941f611df3f631d64e2bc3ac14
Packers detected: -
Scanner results
AntiVir Found TR/Dldr.Small.ats
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Downloader.Small.Gen (probable variant)
ClamAV Found nothing
Dr.Web Found Trojan.DownLoader.2511
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Small.ats
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Trojan.DownLoader.2511

А теперь вопросы:
1) как восстанавливать разрешение приложению ходить в сеть в "аутпост файрволле"?
2) как закрыть описанную мною дыру попадания заразы в систему? Ну, понятно, скачать и установить все обновления и т.д. Но все таки, стрёмно немного, когда без лишних вопросов тебе на систему может установиться всякая дрянь. Это хорошо, что аутпост заметил, а если бы нет?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

Geser · 10.05.2005, 17:42

1) как восстанавливать разрешение приложению ходить в сеть в "аутпост файрволле"?

Закрыть и открыть заново.

) как закрыть описанную мною дыру попадания заразы в систему? Ну, понятно, скачать и установить все обновления и т.д. Но все таки, стрёмно немного, когда без лишних вопросов тебе на систему может установиться всякая дрянь. Это хорошо, что аутпост заметил, а если бы нет?

Хм...
Один способ описан тут http://www.securinfo.ru/SecurIe
Второй способ это установить SurfinGuard http://virusinfo.info/index.php?boar...y;threadid=170

**SDA** · 10.05.2005, 19:25

3) Установить другой браузер - Firefox или Opera, а можно оба вместе и не мучиться с дырками Internet Explorer. В 99% опасность получить заразу из сети через браузер будет перекрыта. Internet Explorer можно будет использовать только для закачки апдейтов для ОС и для выхода на сайты, которые плохо читают вышеуказанные браузеры, хотя в большей степени виноваты не браузеры а кривые руки вебпрограмистов.