SharkyUA
12-06-2011, 15:36
Решил поделится своими сведениями о вирусе который заполонил социальную сеть ВКонтакте (http://vkontakte.ru)
Способ заражения и работа вируса
Многим пользователям ВКонтакте знакома такая ситуация:
http://i23.fastpic.ru/thumb/2011/0612/91/2d68ad7905b3a22e912ee11436196b91.jpeg (http://fastpic.ru/view/23/2011/0612/2d68ad7905b3a22e912ee11436196b91.jpg.html)
При переходе по ссылке вы увидите почти точную копию YouTube и видео там где вы "в главной роли", с комментариями якобы Ваших друзей.
Вам естественно захочется посмотреть что-же там такое, но для этого Вам нужно будет скачать некий "Скачать Флеш Плеер с сайта Adobe", если вы посмотрите на ссылку вы увидите что на Adobe (http://adobe.com) она не ведет.
После загрузки и открытия вы уведите ошибку "Access denied", в это время будут созданы следующие службы (http://ru.wikipedia.org/wiki/Службы_Windows):
srvsysdriver32 (C:\WINDOWS\sysdriver32.exe srv)
srviecheck (C:\WINDOWS\update.2\svchost.exe srv)
wxpdrivers (C:\WINDOWS\update.1\svchost.exe srv)
Если у Вас установлено антивирусное ПО тогда Ваш компьютер будет перезагружен после чего вы войдете в Безопасный режим (http://wiki.drweb.com/index.php/Безопасный_режим_Windows) в это время будет выполнятся удаление антивирусного ПО и замена его иконки в трее с последующей перезагрузкой компьютера. После перезагрузки пользователь увидит такое:
Dr. Web (http://drweb.com/)
http://i23.fastpic.ru/thumb/2011/0612/67/e19cc9053787325f72ceffbea409ec67.jpeg (http://fastpic.ru/view/23/2011/0612/e19cc9053787325f72ceffbea409ec67.jpg.html)
Avira Free (http://www.avira.com/ru/avira-free-antivirus)
http://i23.fastpic.ru/thumb/2011/0612/e8/a0f2f6770fe2e1c5a898d30ca292ebe8.jpeg (http://fastpic.ru/view/23/2011/0612/a0f2f6770fe2e1c5a898d30ca292ebe8.jpg.html)
и не сможет установить антивирусное ПО:
http://i23.fastpic.ru/thumb/2011/0612/02/ba9483c50b6edb16fdbdbc07a1589c02.jpeg (http://fastpic.ru/view/23/2011/0612/ba9483c50b6edb16fdbdbc07a1589c02.jpg.html)
Лечение
Для лечения нам понадобится следующее ПО:
Process Hacker 2 (http://sourceforge.net/projects/processhacker/files/processhacker2/processhacker-2.16-setup.exe/download)
Dr.Web CureIt! (http://www.freedrweb.com/cureit/?lng=ru)
Подготовка:
Устанавливаем Process Hacker 2 согласно инструкций установщика.
Для установки ПО Вам могут понадобится права Администратора
Скачиваем в удобную для Вас папку Dr.Web CureIt!
Лечение:
Запускаем Process Hacker 2, вы должны увидеть основное окно программы
http://i23.fastpic.ru/thumb/2011/0612/89/ff2cb3d76baa0cfffbd54de27d5edc89.jpeg (http://fastpic.ru/view/23/2011/0612/ff2cb3d76baa0cfffbd54de27d5edc89.jpg.html)
Далее выделяем основные процессы вируса
http://i23.fastpic.ru/thumb/2011/0612/c6/18dce57e15c43e367fad2bf0cdbc28c6.jpeg (http://fastpic.ru/view/23/2011/0612/18dce57e15c43e367fad2bf0cdbc28c6.jpg.html)
и "убиваем" их
http://i23.fastpic.ru/thumb/2011/0612/40/46936a4ced4751bc846774cfd3c79e40.jpeg (http://fastpic.ru/view/23/2011/0612/46936a4ced4751bc846774cfd3c79e40.jpg.html)
Внимание! Обязательно нужно закрыть все процессы вируса, иначе они будут восстановлены.
Переходим на вкладку Services и удаляем следующие службы:
srvsysdriver32
srviecheck
wxpdrivers
http://i23.fastpic.ru/thumb/2011/0612/fe/a6fb3adc0b26870de74aef9593049bfe.jpeg (http://fastpic.ru/view/23/2011/0612/a6fb3adc0b26870de74aef9593049bfe.jpg.html)
Для удаления служб Вам могут понадобится права Администратора
Внимание! Удаляйте только эти службы, удаление любых других служб может привести к нестабильной работе системы.
Если удаление прошло успешно вы увидите всплывающее сообщение (если служба почему-то не удалилась перезагрузите компьютер и попробуйте сначала)
http://i23.fastpic.ru/thumb/2011/0612/2d/4837db6e305edaedaa8c3991119ae72d.jpeg (http://fastpic.ru/view/23/2011/0612/4837db6e305edaedaa8c3991119ae72d.jpg.html)
Отключаем вручную автозагрузку антивирусного ПО т.к. оно заражено для этого нужно: Выполнить \ msconfig \ Автозагрузка
После удаления служб и автозагрузки антивирусного ПО, нужно удалить исполняемые файлы вируса и автозагрузку. Для этого скачиваем мой батник (http://narod.ru/disk/15734473001/cleaner.zip.html) (зеркало (http://dump.ru/file/5265302)) , после выполнения компьютер будет автоматически перезагружен.
Далее проводим процедуру лечения с помощью Dr.Web CureIt!
После процедуры лечения обязательно переустанавливаем антивирусное ПО
Надеюсь вы найдете то что искали. :oszone:
Администрация прошу не судить строго это моя первая робота в области вирусологии :sorry:
Способ заражения и работа вируса
Многим пользователям ВКонтакте знакома такая ситуация:
http://i23.fastpic.ru/thumb/2011/0612/91/2d68ad7905b3a22e912ee11436196b91.jpeg (http://fastpic.ru/view/23/2011/0612/2d68ad7905b3a22e912ee11436196b91.jpg.html)
При переходе по ссылке вы увидите почти точную копию YouTube и видео там где вы "в главной роли", с комментариями якобы Ваших друзей.
Вам естественно захочется посмотреть что-же там такое, но для этого Вам нужно будет скачать некий "Скачать Флеш Плеер с сайта Adobe", если вы посмотрите на ссылку вы увидите что на Adobe (http://adobe.com) она не ведет.
После загрузки и открытия вы уведите ошибку "Access denied", в это время будут созданы следующие службы (http://ru.wikipedia.org/wiki/Службы_Windows):
srvsysdriver32 (C:\WINDOWS\sysdriver32.exe srv)
srviecheck (C:\WINDOWS\update.2\svchost.exe srv)
wxpdrivers (C:\WINDOWS\update.1\svchost.exe srv)
Если у Вас установлено антивирусное ПО тогда Ваш компьютер будет перезагружен после чего вы войдете в Безопасный режим (http://wiki.drweb.com/index.php/Безопасный_режим_Windows) в это время будет выполнятся удаление антивирусного ПО и замена его иконки в трее с последующей перезагрузкой компьютера. После перезагрузки пользователь увидит такое:
Dr. Web (http://drweb.com/)
http://i23.fastpic.ru/thumb/2011/0612/67/e19cc9053787325f72ceffbea409ec67.jpeg (http://fastpic.ru/view/23/2011/0612/e19cc9053787325f72ceffbea409ec67.jpg.html)
Avira Free (http://www.avira.com/ru/avira-free-antivirus)
http://i23.fastpic.ru/thumb/2011/0612/e8/a0f2f6770fe2e1c5a898d30ca292ebe8.jpeg (http://fastpic.ru/view/23/2011/0612/a0f2f6770fe2e1c5a898d30ca292ebe8.jpg.html)
и не сможет установить антивирусное ПО:
http://i23.fastpic.ru/thumb/2011/0612/02/ba9483c50b6edb16fdbdbc07a1589c02.jpeg (http://fastpic.ru/view/23/2011/0612/ba9483c50b6edb16fdbdbc07a1589c02.jpg.html)
Лечение
Для лечения нам понадобится следующее ПО:
Process Hacker 2 (http://sourceforge.net/projects/processhacker/files/processhacker2/processhacker-2.16-setup.exe/download)
Dr.Web CureIt! (http://www.freedrweb.com/cureit/?lng=ru)
Подготовка:
Устанавливаем Process Hacker 2 согласно инструкций установщика.
Для установки ПО Вам могут понадобится права Администратора
Скачиваем в удобную для Вас папку Dr.Web CureIt!
Лечение:
Запускаем Process Hacker 2, вы должны увидеть основное окно программы
http://i23.fastpic.ru/thumb/2011/0612/89/ff2cb3d76baa0cfffbd54de27d5edc89.jpeg (http://fastpic.ru/view/23/2011/0612/ff2cb3d76baa0cfffbd54de27d5edc89.jpg.html)
Далее выделяем основные процессы вируса
http://i23.fastpic.ru/thumb/2011/0612/c6/18dce57e15c43e367fad2bf0cdbc28c6.jpeg (http://fastpic.ru/view/23/2011/0612/18dce57e15c43e367fad2bf0cdbc28c6.jpg.html)
и "убиваем" их
http://i23.fastpic.ru/thumb/2011/0612/40/46936a4ced4751bc846774cfd3c79e40.jpeg (http://fastpic.ru/view/23/2011/0612/46936a4ced4751bc846774cfd3c79e40.jpg.html)
Внимание! Обязательно нужно закрыть все процессы вируса, иначе они будут восстановлены.
Переходим на вкладку Services и удаляем следующие службы:
srvsysdriver32
srviecheck
wxpdrivers
http://i23.fastpic.ru/thumb/2011/0612/fe/a6fb3adc0b26870de74aef9593049bfe.jpeg (http://fastpic.ru/view/23/2011/0612/a6fb3adc0b26870de74aef9593049bfe.jpg.html)
Для удаления служб Вам могут понадобится права Администратора
Внимание! Удаляйте только эти службы, удаление любых других служб может привести к нестабильной работе системы.
Если удаление прошло успешно вы увидите всплывающее сообщение (если служба почему-то не удалилась перезагрузите компьютер и попробуйте сначала)
http://i23.fastpic.ru/thumb/2011/0612/2d/4837db6e305edaedaa8c3991119ae72d.jpeg (http://fastpic.ru/view/23/2011/0612/4837db6e305edaedaa8c3991119ae72d.jpg.html)
Отключаем вручную автозагрузку антивирусного ПО т.к. оно заражено для этого нужно: Выполнить \ msconfig \ Автозагрузка
После удаления служб и автозагрузки антивирусного ПО, нужно удалить исполняемые файлы вируса и автозагрузку. Для этого скачиваем мой батник (http://narod.ru/disk/15734473001/cleaner.zip.html) (зеркало (http://dump.ru/file/5265302)) , после выполнения компьютер будет автоматически перезагружен.
Далее проводим процедуру лечения с помощью Dr.Web CureIt!
После процедуры лечения обязательно переустанавливаем антивирусное ПО
Надеюсь вы найдете то что искали. :oszone:
Администрация прошу не судить строго это моя первая робота в области вирусологии :sorry: