Вирус, который нелегко победить
Добрый вечер, друзья. Сейчас я вам расскажу про то, как я целый день боролся с одним очень вредным вирусом :)
Началось все вчера, ближе к вечеру, когда мой комп сперва перезагрузился, а потом вывалился в синий экран смерти. Открыв google.ru я обнаружил вместо сайта набор html-кода. На части других сайтах творилось аналогичное. Иногда при обновлении сайт загружался нормально.
Потом в один прекрасный момент сверху выплыло сообщение такого вида.
Я подумал, посмотрел куда ведет ссылка - на update.mozilla.org. Перешел, нажал скачать - и тут меня попросили отправить смс. И началооооось....
Мета, для тех кто будет гуглить этот вирус:
Trojan.Win32.Ddox.ci
- Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 - Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 - Обновление баз фишинговых сайтов (12.11.2010)
Суть вируса:
Отображать панельку про заражение, чтобы человек скачал обновление за смс. Ввиду кривости реализации, при попытке внедриться в код страницы в 90% случая просто показывает корявую страницу в виде кода.
Для каждого браузера предусмотрена своя картинка, например вот вариант для Оперы:
Видно, что разработчики старались, дизайн рисовали - лишь бы пользователь поверил.
Вирус создает .dll библиотеку с произвольным именем и запускает ее на выполнение. Антивирусы его при этом не могут распознать!
Как удалять вирус:
Методов лечения, можно сказать три.
Метод первый, для суровых
1. Скачиваем AVZ.
2. Анализируем систему, пишем скрипт удаляющий подозрительные файлы скриптом, вроде вот такого:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\system32\xohtmtc.dll','');
DeleteFile('C:\Windows\system32\xohtmtc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
3. Если повезет и вы найдете файл, где сидел вирус - то поздравляю. Если нет, то переходим к следующим методам.
Метод второй, который помог мне
1. Регистрируемся на сайте Онлайн-помощи Касперского.
2. Логинимся, добавляем заявку, максимально подробно описывая проблему.
3. Сразу скачиваем Kaspersky Removal Tool и дальше следуем советам, что будут присылать консультанты из лаборатории Касперского.
Я добавил заявку в сегодня в 18:14, а в 21:18 моя система уже была вылечена. Это намного быстрее, учитывая что начал битву я еще в 18 вечера вчерашнего дня :)
Метод третий, альтернативный
1. Регистрируемся на этом форуме.
2. В этом разделе создаем тему с описанием вируса, но при этом:
3. Сразу в сообщение вкладываем результаты анализа системы утилитами AVZ и HijackThis. Подробная инструкция как это сделать доступна тут.
4. Через рандомный промежуток времени умные люди выложат вам скрипт лечения для программы AVZ. Утром выкладывали скрипт сразу, минут через 15-20, но я так и не дождался (человек, который этим занимался, ушел в оффлайн), и поэтому пошел спрашивать у лаб. Касперского.
Следует отметить, что второй и третий способ могут быть применены к лечению любой заразы, а не только этого вируса, так что добавьте в закладки, чтобы знать, куда обратиться за помощью. Это проверенные методы, люди реально помогают.
Ах да, обновите на всякий случай антивирус ;)
Началось все вчера, ближе к вечеру, когда мой комп сперва перезагрузился, а потом вывалился в синий экран смерти. Открыв google.ru я обнаружил вместо сайта набор html-кода. На части других сайтах творилось аналогичное. Иногда при обновлении сайт загружался нормально.
Потом в один прекрасный момент сверху выплыло сообщение такого вида.
Я подумал, посмотрел куда ведет ссылка - на update.mozilla.org. Перешел, нажал скачать - и тут меня попросили отправить смс. И началооооось....
Мета, для тех кто будет гуглить этот вирус:
Trojan.Win32.Ddox.ci
- Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 - Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 - Обновление баз фишинговых сайтов (12.11.2010)
Суть вируса:
Отображать панельку про заражение, чтобы человек скачал обновление за смс. Ввиду кривости реализации, при попытке внедриться в код страницы в 90% случая просто показывает корявую страницу в виде кода.
Для каждого браузера предусмотрена своя картинка, например вот вариант для Оперы:
Видно, что разработчики старались, дизайн рисовали - лишь бы пользователь поверил.
Вирус создает .dll библиотеку с произвольным именем и запускает ее на выполнение. Антивирусы его при этом не могут распознать!
Как удалять вирус:
Методов лечения, можно сказать три.
Метод первый, для суровых
1. Скачиваем AVZ.
2. Анализируем систему, пишем скрипт удаляющий подозрительные файлы скриптом, вроде вот такого:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\system32\xohtmtc.dll','');
DeleteFile('C:\Windows\system32\xohtmtc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
3. Если повезет и вы найдете файл, где сидел вирус - то поздравляю. Если нет, то переходим к следующим методам.
Метод второй, который помог мне
1. Регистрируемся на сайте Онлайн-помощи Касперского.
2. Логинимся, добавляем заявку, максимально подробно описывая проблему.
3. Сразу скачиваем Kaspersky Removal Tool и дальше следуем советам, что будут присылать консультанты из лаборатории Касперского.
Я добавил заявку в сегодня в 18:14, а в 21:18 моя система уже была вылечена. Это намного быстрее, учитывая что начал битву я еще в 18 вечера вчерашнего дня :)
Метод третий, альтернативный
1. Регистрируемся на этом форуме.
2. В этом разделе создаем тему с описанием вируса, но при этом:
3. Сразу в сообщение вкладываем результаты анализа системы утилитами AVZ и HijackThis. Подробная инструкция как это сделать доступна тут.
4. Через рандомный промежуток времени умные люди выложат вам скрипт лечения для программы AVZ. Утром выкладывали скрипт сразу, минут через 15-20, но я так и не дождался (человек, который этим занимался, ушел в оффлайн), и поэтому пошел спрашивать у лаб. Касперского.
Следует отметить, что второй и третий способ могут быть применены к лечению любой заразы, а не только этого вируса, так что добавьте в закладки, чтобы знать, куда обратиться за помощью. Это проверенные методы, люди реально помогают.
Ах да, обновите на всякий случай антивирус ;)