среда, 19 октября 2011 г.

Ох, не легкая это работа - выкорчевывать червя



Многие люди пользуются бесплатными антивирусами. Я пользуюсь Avira и обычно антивирус спасает, но в этот раз было отнюдь не так.

Ко мне на "ремонт" привезли компьютер родственников - это было нечто забитое заразой. Доступ практически ко всем ресурсам с антивирусами был заблокирован - знакомая картина. Вставлять флешку я не решился, как впоследствии оказалось не зря. Разобрав системный блок и выкрутив два жестких диска, решил лечить вставив в свой системник. Avira долго и много пищала спикером и поскольку время приближалось к 12 ночи пришлось его отключить. Как первичный результат было закопано приблизительно 860 боевых единиц враждебной культуры. Антивирус предложил перезагрузку для полного добивания паразитов. После перезагрузки я провел повторное сканирование и выявились еще несколько десятков вирусов и троянов. Все, выключаю систему и проверяю второй диск - намного меньше, и зачистило с первого раза.

Выключив системный блок и перенеся жесткие диски обратно в родной корпус, я запустил систему. Вроде все работает - пора ставить и на нее антивирус. Запускаю Opera открывают сайт Avira - не открывается. Проверяю %SystemRoot%\system32\drivers\etc\host - чисто. Ах тыж колючий ты кактус!

В списке процессов диспетчера задач видны какие то подозрительные процессы. Погуглив нашел описание jenyay.livejournal.com
Загрузился в безопасном режиме и зачистил заразу. К слову для более удобного ковыряния основных настроек использую XP Tweaker Russian Edition и еще почистил автозагрузку, которая содержала более четырех десятков подозрительных ссылок. Перезагрузка показала, что aadrive32 успешно помер, но сайт Avira по прежнему не открывался и не пинговался тоже.

Снова заглянув в автозагрузку вижу восстановленную левую ссылку. Снова перезагрузка в безопасный режим и действия по зачистке территории. Загружаюсь в обычном режиме и вижу картину - здравствуй бабашка я пришел. Все восстановлено в прежнем виде, а может еще лучшем. Поняв, что мне досталась новая зараза решил ее выловить и скормить virustotal - не тут то было! Ресурс не открывается.

Вернулся на свой основной комп и тут обнаруживаю подарочек - те же симптомы. Хитрый троян прописался и там. Все, приехали! Однако выручил ноут - на нем стояла другая система. Нет это была не красноглазая система - та у меня тоже есть, но мысль загрузить ее не пришла - системный блок был отключен от внешнего мира. Старший брат (седьмой) колосса на глиняных ногах к заразе оказался иммунен.

Перезагружаюсь в защищенный режим и забираю файл вируса на флешку. Через ноутбук загружаю на virustotal - да, зараза новая.

Что-же делать? Решаю порыться на форуме самой Avira и нахожу решение. К слову Malwarebytes’ Anti-Malware вполне себе бесплатный. Решил отрабатывать метод для начала на своем компе. Загрузившись в защищенном режиме провожу сканирование и программа находит не только искомую заразу, но и другую. После перезагрузки доступ к вожделенным ресурсам открыт. Для надежности прогнал полную проверку всех файлов. Программа умеет не только сканировать, но и мониторить, в том числе обращения к "левым" ресурсам.

Вылечив компьютер родственников решил помочь победе коммунизма во всем мире отдельно взятого антивируса над злобной заразой. Отправил репорт в лабораторию. К 21.00 следующего дня ко мне пришел ответ, что запрос обработан и спасибо.

З.Ы. На сегодня, как уже можно заметить по результату в virustotal, со зверьком знакомы несколько больше докторов. Файл cln32.exe был в числе удаленных мной вручную из корня жесткого диска, привезенного от родственников.


Антивирусный юмор по-немецки. Подборка рекламы Avira

2 комментария:

Анонимный комментирует...

OMG, вантуз по-прежнему дырявое решето...

Mario комментирует...

Вантуз, не вантуз - какая разница? Как сказал дохтур Хаус "В интернете столько порнухи - сама она не скачается!"