Охотник на зелёных

Здравствуйте мои глубокоуважаемые читатели!

Простите, что долго не оставлял тут заметок, но так, уж случилось, что я занят новыми проектами и поэтому так сказать не до блогов. Но, в любом случае про эту тему я всё-таки напишу, т.к. выкроил немного времени, да и тема я так понимаю горячая.

Предыстория  банальная. Позвонил давний знакомый, говорит так мол и так у секретарши на компе вылезла бяка. Всё бы ничего, но она не убирается. Выглядит, как розовый баннер с сосущими лицами женского пола и отнюдь не карамельки. Можно в принципе было отправить SMS, но во-первых нет никакого доверия, что он и в правду уберётся, а во-вторых был конец рабочего дня и он сам (т.е. “шеф”) это дело уже увидел, поэтому поржал над секретаршей и  просто позвонил мне, чтобы я приехал и “починил”. Ехать я отказался, поэтому приехал он за мной сам, ну а далее уже “с места событий”.

Как выяснилось Баннер не зависит от браузера. Т.е. это не тот баннер, который вешается в Оперу, FireFox и IE через надстройки и UserJS. Баннер этот просто висит себе по среди экрана. При чём занимая почти всю его часть. Несколько раз в секунду перекидывает себя выше всех окон, становясь главной примечательностью монитора. Иногда перехватывает фокус, т.е. “розовый” делает себя активным окном. Закрывает “Диспетчер задач”, не давая себя обнаружить. В общем (якобы) сливается крепко с системой и становиться её частью. Занимает почти всё пространство (монитор на подопытном компе был 17 дюймов ЖК), как мне показалось 1024 на 768 пикселей. При перезагрузке, самое первое что появлялось (даже до панели задач с кнопкой пуск) это порно баннер.

В общем дело было так…

Первое, что сделал я - это проверил базы NOD32, который стоял на компе. Базы оказались свежие, т.к. нод лицензия и обновляется ежедневно. Через другой комп (можно было бы и через подопытного, но там были маленькие щелочки, т.к. баннер занимал почти весь экран) я скачал Dr.Web CureIt свежий и просканировал комп им. На офисной машине это в принципе не долго (минут 15), но всё-равно куреит достаточно долгий парень. В итоге – НИЧЕГО! Тогда я достал флешку на которой у меня был портабельный Kaspersky. Я не помню где я его взял в своё время, но в систему его не поставишь, а как сканер очень даже подходящий вариант. Обновил базы на нём и запустил сканер Касперского. Увы, опять ничего. Дело тут не в антивирусе, видимо “говнописатели” тоже не дремлют и успевают подстраиваться. Конечно очень жаль, что в база антивирей (на тот момент) не было ничего, но как говориться, значит полезем дальше.

Второе, куда я полез – это перезагрузка в безопасном режиме. Если кто не знает как это делать, то “Пуск – Завершение работы – перезагрузка” и вот когда компьютер сделал вид, что он только что включился, появился чёрный экран с циферками и непонятными надписями, нужно понажимать много раз (пока не появиться меню с выбором) кнопочку F8. Не делайте это слишком часто, раз в секунду будет достаточно. Итак появилось меню. Выбрал “загрузка в безопасном режиме” (ну или типа того, я не помню точную фразу) и комп в нём и загрузился.

В безопасном режиме розовый баннер не выскакивал, что радовало. Я нажал Ctrl+R и набрал msconfig. Выбрал вкладку Автозагрузка и присмотрелся. Посмотрел и как бы это не показалось странным, я не увидел там ничего лишнего. Да, всё так, как я в своё время настроил (хотя, как мне написали после в одном письме, там можно отключить всё что не нравиться, а именно подозрительные вещи, т.к. бывают SMS-вымогалки, которые прописываются и туда). После этого я подумал, что могло прописаться в службы. Я запустил autoruns . Стал смотреть вкладки. Посмотрел Хайджеки (Image Hijack), посмотрел Logon (в принципе в этой вкладе тоже самое, что в msconfig), посмотрел Службы (Servises) (на службах у меня глаз уже намётан, если не знаете, то лучше тут ничего не трогать). Вроде ничего. А надо было мне поглядеть ещё в одном месте, но я этого не сделал, потом мы к этому вернёмся.

В общем заразу я не нашёл. Поворачиваюсь к товарищу и говорю: “увы, я не нашёл падлюку, видимо придётся переставлять винду, чего совершенно не хочется, но увы”. Ладно, сказал друг, я тогда схожу за кофе и пошёл к кофе-машине.

Винду перестанавливать и вправду не хотелось, потому как сразу придётся ставить и всё остальное, а офисная машина, есть офисная машина, там всё важно и переустанавливать придётся всё. Итак, пока мой приятель ходил за кофе, я нажал на пуск – программы – стандартные и стал смотреть. Не знаю почему я туда полез, просто видимо интуитивно, стал смотреть то, это, пятое, десятое. Так я забрёл в служебные программы и моё внимание привлекло название “Назначенные задания”. В общем в тот момент когда друг поставил рядом с мышкой кофе, я открыл “Планировщик Windows”. Посмотрел и вижу, что там (у него) помимо обновлялки Apple, стоял ещё один странный процесс. Если перевести с компьютерного, то задание гласило “При каждой загрузке, запускать некий файл exe, который находится в папке WIndows/TEMP и при этом запускать не просто так, а с параметром другого файла”.

“Вот он, гадёныш” - сказал я,  “через планировщик запихнут и что же это я сразу не поглядел в авторунсе”. Так и есть, я удалил это задание, при этом записав путь, название файла и название другого файла (который был параметром).

Пе-ре-заг-ру-жа-ем-ся … ииииииииии … УРА! Это было оно! Баннер не выскакивал. Ну что ж, теперь можно пить кофе. В общем я скопировал файлы из темпа к себе на флеху. Как оказалось в темпе этих файлов было несколько копий (и исполняемых и параметральных), я их по размеру смотрел и скопировал себе все. Допил кофе и меня отвезли домой.

Дома я запаковал эти файлы и отправил в ESET, чтобы они добавили его в базы NOD32 . Делается это так. Копию в распакованном виде я оставил лежать в папочке на рабочем столе и назвал папку “Ждёт своего часа”. На следующий день мне пришёл ответ от нодовцев, что мол да, вы отправили вирусняк, он будет добавлен в базу под номером таким-то. А вечером того же дня, когда нод в очередной раз обновился, у меня стали выскакивать красные окошки, что мол вот, у вас на рабочем столе в папочке, лежат вирусы. Я с гордым видом сказал: “ну вот, дождались”, и открыв уже пустующую папку, закрыл и удалил её.

Теперь вернёмся к моей ошибке. Она заключалась в том, что в программе Autoruns, я не посмотрел  “Sheduled Tasks”, ведь если бы посмотрел, то увидел бы сразу. А ведь если бы я не нашёл чисто интуитивно, то во-первых не знал бы до сих пор, где оно сидит, а во-вторых пришлось бы переустанавливать винду.

Итак, посмотрите на картинку ниже и запомните, где нужно смотреть всякие бяки, хотя прогуляться по остальным пунктам для ознакомления что там есть, тоже не помешает:

Успехов всем! ( И чистых компов ).

p.s. путём выяснения, как зараза попала на комп, было установлено, что секретарша самолично поставила его на комп. А как, а вот так. Зашла на порносайт (какой выяснить не удалось), где для просмотра видео-ролика на этом сайте было написано, что нужно обновить Flash-плеер. Она нажала, скачался файл, который назвался именно flash_player и она его запустила, но (как говорит) ничего не произошло и ничего вроде бы не установилось. Правда ролик так и не показывал, поэтому она скачала повторно и снова запустила. Опять ничего не произошло и порно-ролик на сайте не показывал. Тогда она закрыла порно-сайт и стала собираться домой, но через 15 минут вылез баннер, который она не смогла убрать. Перезагружала компьютер, не помогает. И тут вышел шеф и увидел сее чудо , а рядом монитор с жопно-сосущими личностями. Дальше вы уже знаете. Так что я ещё раз напомню, что в принципе в 99% случаев (да что уж там, наверное во всех 100) в появлении баннера виноваты сами юзеры, т.е. пользователи, которые сами чего-то туда поставили.

p.s. вы меня тоже кстати можете отблагодарить, отправив SMS-ку мне стоимостью 5 или 10 рублей. Это признак хорошего тона. Кликните на копилочку и вперёд.

Рекомендую почитать