- Регистрация
- 19 Авг 2007
- Сообщения
- 15,802
- Реакции
- 491
- Баллы
- 0
Предыстория:
Принесли из финотдела компьютер с порнобанером на весь экран. Удалить его особого труда не составило, благо доступ к сайту деблокера всегда есть. Потом по стандартной схеме прошерстил систему CureIT-ом, AVZ-ом и установленным Avast-ом на максимальных настройках, удалил временные файлы, еще пару часов погонял на тестах и отдал обратно.
Теперь непосредственно к самому вирусу.
На следующее утро звонок с истерическими криками, мол, комп нещадно тормозит, сетку не видит, приложения не запускает, а нам в край проводки делать надо и т.д. и т.п. В-общем, недолечил систему. Забрал на глубокое сканирование, гонял почти сутки, AVZ-ом отловил подозрительную активность файла userini.exe. Данный файл в системе быть не должен, оригинальный файл носит другое имя - userinit.exe, поэтому я его удалил, следы в реестре подчистил, в автозагрузке снес все упоминания и отправил компьютер на перезагрузку. Но после загрузки проблема опять проявилась.
Проанализировав логи сканирования AVZ и список автозагрузки, заметил, что данный файл, как и оригинальный, использует для запуска процесс explorer.exe. Также в логе сканирования упоминается о возможной маскировке explorer.exe с минимальным (5%) процентом опасности, на которую я в первый раз внимания не обратил. На всякий случай принял решение заменить файл explorer.exe оригинальным с установочного диска.
Скопировал оригинальный файл на флешку. Предварительно подчистив систему AVZ, загрузился с DrWEB LiveCD, подмонтировал флешку и при помощи MC удалил подозрительный файл, затем скопировал файл с флешки в системную папку, после чего удалил файлы во временных папках и перезагрузился. Итоги превзошли все мои ожидания - от вируса не осталось и следа, компьютер перестал тормозить, все заработало.
Оказалось, вирус прикреплял себя к explorer.exe и запускался вместе с ним при входе в систему. Находилось тело вируса в том же секторе диска, что и данный файл и маскировалось под него. Если бы не глубокое сканирование на руткиты - не обнаружил бы.
Вы спросите, к чему всё это я написал? Серьезнее относитесь к логам сканирования и сэкономите львиную долю времени при устранении неполадок. Если бы я с самого начала был повнимательнее - мне не пришлось бы тратить дополнительное время на поиск неисправности.
Принесли из финотдела компьютер с порнобанером на весь экран. Удалить его особого труда не составило, благо доступ к сайту деблокера всегда есть. Потом по стандартной схеме прошерстил систему CureIT-ом, AVZ-ом и установленным Avast-ом на максимальных настройках, удалил временные файлы, еще пару часов погонял на тестах и отдал обратно.
Теперь непосредственно к самому вирусу.
На следующее утро звонок с истерическими криками, мол, комп нещадно тормозит, сетку не видит, приложения не запускает, а нам в край проводки делать надо и т.д. и т.п. В-общем, недолечил систему. Забрал на глубокое сканирование, гонял почти сутки, AVZ-ом отловил подозрительную активность файла userini.exe. Данный файл в системе быть не должен, оригинальный файл носит другое имя - userinit.exe, поэтому я его удалил, следы в реестре подчистил, в автозагрузке снес все упоминания и отправил компьютер на перезагрузку. Но после загрузки проблема опять проявилась.
Проанализировав логи сканирования AVZ и список автозагрузки, заметил, что данный файл, как и оригинальный, использует для запуска процесс explorer.exe. Также в логе сканирования упоминается о возможной маскировке explorer.exe с минимальным (5%) процентом опасности, на которую я в первый раз внимания не обратил. На всякий случай принял решение заменить файл explorer.exe оригинальным с установочного диска.
Скопировал оригинальный файл на флешку. Предварительно подчистив систему AVZ, загрузился с DrWEB LiveCD, подмонтировал флешку и при помощи MC удалил подозрительный файл, затем скопировал файл с флешки в системную папку, после чего удалил файлы во временных папках и перезагрузился. Итоги превзошли все мои ожидания - от вируса не осталось и следа, компьютер перестал тормозить, все заработало.
Оказалось, вирус прикреплял себя к explorer.exe и запускался вместе с ним при входе в систему. Находилось тело вируса в том же секторе диска, что и данный файл и маскировалось под него. Если бы не глубокое сканирование на руткиты - не обнаружил бы.
Вы спросите, к чему всё это я написал? Серьезнее относитесь к логам сканирования и сэкономите львиную долю времени при устранении неполадок. Если бы я с самого начала был повнимательнее - мне не пришлось бы тратить дополнительное время на поиск неисправности.
)