1 апр. 2010 г.

Вирусяка-блокиратор 1 апреля

С утра пришлось побороться с вирусякой-блокиратором.
Ноутбук главбуха был заражен - окно блокирует десктоп и требует отправить смс zz15012 на номер 8353. На форуме forum.kasperskyclub.ru нашел инструкцию по удалению вирусяки:

Нужно выполнить скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('c:\documents and settings\all users\systems.exe','');
TerminateProcessByName('c:\documents and settings\all users\systems.exe');
DeleteFile('c:\documents and settings\all users\systems.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.


и после перезагрузки еще один скрипт

var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.



Пошел правда своим путем - загрузился с Boot-CD с ERD-Commander'ом и вручную удалил 'c:\documents and settings\all users\systems.exe' и перезаписал '%windir%\system32\sfcfiles.dll', а файла 'C:\WINDOWS\System32\Drivers\sfc.SYS' не оказалось. Перезагрузился и все ОК!

--------------------

С начала недели недоступен popunder.ru:

К сожалению, политика лояльности к клиентам английского дата-центра, в котором размещались
наши серверы, оставляет желать лучшего; в этой связи мы вынуждены в срочном порядке менять
локацию. Наш сервис представляет собой сложную систему, поэтому её перенос требует времени.

Увы, но вынуждены сообщить об очередном изменении в плане восстановления, преположительно,
мы сможем подняться к первым апрельским выходным. Все выплаты будут произведены 6го апреля.
Статистика и балансы сохранены, ни одна копейка не потеряется. Приносим свои самые искренние
извинения и надеемся на понимание, команда PopUnder & ADSkape


Денежка у них подзависла, а мне как раз нужны деньги продлевать хостинг...

--------------------

Первой шуткой 1 апреля для меня стала новость от Маинлинка о помощи Яндексу в раскрутке - и правильно, давайте поможем и подарим Яндексу продвижение его сайта!


Второй шуткой 1 апреля для меня стал новый облик сайта kinopoisk.ru в стиле Google.

И выложенный у них удаленный фрагмент из Lost с вставленной записью Эдуарда Хиля.


Третьей шуткой 1 апреля для меня стал новый облик сайтов Спрута topsape.ru (сдоходами Медвепута 10000000000 рублей в день)



и блог spryt.ru (Начинающему веб мастеру).

2 комментария:

  1. А антивирусники этот скрипт не видят? Просто у меня обычно действия при вирусах такие - загрузиться в save mode, выкачать cure it и пробить им все винты. Получается от блокировщика винды это не поможет.

    ОтветитьУдалить
  2. На этом ноутбуке установлен лицензионный Касперский 2010 с вчерашним обновлением баз - не помогло. Модификация вирусяки совсем свежая - в базы еще не добавлен. Осталось загадкой как "оно" проникло на компьютер - главбух достаточно опытный пользователь и "глупостей" не делает. Если бы не нашел инструкцию, тогда бы загрузился в save mode и проверил систему CureIt!

    ОтветитьУдалить