Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Борьба с "Флеш плеером" (http://forum.oszone.net/showthread.php?t=208809)

SharkyUA 12-06-2011 15:36 1693164

Борьба с "Флеш плеером"
 
Решил поделится своими сведениями о вирусе который заполонил социальную сеть ВКонтакте
Способ заражения и работа вируса
Многим пользователям ВКонтакте знакома такая ситуация:

При переходе по ссылке вы увидите почти точную копию YouTube и видео там где вы "в главной роли", с комментариями якобы Ваших друзей.
Вам естественно захочется посмотреть что-же там такое, но для этого Вам нужно будет скачать некий "Скачать Флеш Плеер с сайта Adobe", если вы посмотрите на ссылку вы увидите что на Adobe она не ведет.
После загрузки и открытия вы уведите ошибку "Access denied", в это время будут созданы следующие службы:
srvsysdriver32 (C:\WINDOWS\sysdriver32.exe srv)
srviecheck (C:\WINDOWS\update.2\svchost.exe srv)
wxpdrivers (C:\WINDOWS\update.1\svchost.exe srv)

Если у Вас установлено антивирусное ПО тогда Ваш компьютер будет перезагружен после чего вы войдете в Безопасный режим в это время будет выполнятся удаление антивирусного ПО и замена его иконки в трее с последующей перезагрузкой компьютера. После перезагрузки пользователь увидит такое:
Dr. Web

Avira Free

и не сможет установить антивирусное ПО:

Лечение

Для лечения нам понадобится следующее ПО:
Process Hacker 2
Dr.Web CureIt!

Подготовка:
Устанавливаем Process Hacker 2 согласно инструкций установщика.
Для установки ПО Вам могут понадобится права Администратора
Скачиваем в удобную для Вас папку Dr.Web CureIt!

Лечение:
Запускаем Process Hacker 2, вы должны увидеть основное окно программы

Далее выделяем основные процессы вируса

и "убиваем" их

Внимание! Обязательно нужно закрыть все процессы вируса, иначе они будут восстановлены.
Переходим на вкладку Services и удаляем следующие службы:
srvsysdriver32
srviecheck
wxpdrivers


Для удаления служб Вам могут понадобится права Администратора
Внимание! Удаляйте только эти службы, удаление любых других служб может привести к нестабильной работе системы.
Если удаление прошло успешно вы увидите всплывающее сообщение (если служба почему-то не удалилась перезагрузите компьютер и попробуйте сначала)

Отключаем вручную автозагрузку антивирусного ПО т.к. оно заражено для этого нужно: Выполнить \ msconfig \ Автозагрузка
После удаления служб и автозагрузки антивирусного ПО, нужно удалить исполняемые файлы вируса и автозагрузку. Для этого скачиваем мой батник (зеркало) , после выполнения компьютер будет автоматически перезагружен.
Далее проводим процедуру лечения с помощью Dr.Web CureIt!
После процедуры лечения обязательно переустанавливаем антивирусное ПО

Надеюсь вы найдете то что искали. :oszone:
Администрация прошу не судить строго это моя первая робота в области вирусологии :sorry:

iskander-k 12-06-2011 15:55 1693188

SharkyUA, Объясните - зачем пользователю для скачивания вашего батника устанавливать яндекс-бар ?

SharkyUA 12-06-2011 16:29 1693215

iskander-k, это Вам предлагает сам файлообменник его установить. Просто уберите галочки на Яндекс Бар во время скачивания.

iskander-k 12-06-2011 16:38 1693222

Цитата:

Цитата SharkyUA
Для этого скачиваем »

could not connect to 03.dl1-filestore-kiev-narod.yandex.ru

SharkyUA 12-06-2011 17:36 1693249

iskander-k, у меня все скачивается, но на всякий случай перезалил на dump.ru


Время: 21:01.

Время: 21:01.
© OSzone.net 2001-