13 Апреля 2010
Вчера у клиента удалось побороть интересный недуг. При включенном интернете в Опере появился баннер "бла-бла-бла ... отправьте СМС". Баннер небольшой, занимал левый верхний угол.
На компьютере не установлен антивирус, и пользователь имеет права администратора, однако у Windows XP стоит SP3, что редкость для домохозяек (а также у дяденек, которые используют компьютер не по назначению). IE по словам хозяина не используется. Похвально.
Поскольку я знаю, что удалить такой баннер нетрудно, первым делом запустил HijackThis, чтобы поубивать левые процессы и подчистить автозагрузку. Так как баннер вылез в Опере, то вариант с недоброкачественными BHO (Browser Helper Objects) у Internet Explorer вроде бы отпадал.
В памяти висела пара штук explorer.exe:userinit.exe, которые также в огромном количестве присутствовали в автозагрузке. Прибил все процессы, не спросив фамилии. Смотрим Оперу - баннер висит.
Смотрим дальше. В логе нет ничего подозрительного, кроме Bonjour Service. Название показалось знакомым, но чем провинился этот бонжур, я сразу не припомнил. Помог Мистер Гуглинг, напомнив что это служба от Adobe, в которой ничего вредного нет, а полезного и еще меньше. Удалил, не моргнув.
Что ж, Hijack нам ничего больше рассказать не может, но я на всякий случай проверил его IgnoreList и запустил сканер параллельных потоков. В обоих случаях оказалось все чисто. Запускаем AVZ. Восстановление системы отключено, пользователь - администратор, базы свежие, осталось только отключить интернет. Сканируем..........
В логах нашелся не убитый до конца explorer.exe:userinit.exe и пара новых друзей со странными именами в корне диска C:\aCkeqD0gji_aI68sK.dll и C:\a__5ik2Uo.dll. Пишем скрипт, удаляем, перезагружаем. После загрузки системы включаем интернет и запускаем браузер - баннер висит. Надо почесать тыковку.
Загружаюсь в безопасном режиме, устанавливаю AVPTools, запускаю сканирование - все чисто. Подгружаю для верности папки windows и Documents and Settings, наконец-то первый улов. Найдены несколько паразитов в документах, в том числе какой-то js скрипт. Все удалено. Перезагружаюсь в обычном режиме, запускаю Оперу - баннер висит.
Снова Hijack. Смотрю лог, все чисто. Запускаю AVZ, стандартный скрипт, смотрю лог - и ничего. Система абсолютно чистая, вымытая, вычищенная, а баннер висит!
Но тут замечаю странную вещь: когда я смотрю лог AVZ, баннера не видно. Но стоит только переключиться на соседнюю вкладку, в которой загружен гугл, баннер появляется. Ну теперь стало понятно, что эта зараза показывается только, когда видит соединение с интернетом. Лезу в настройки Оперы: Инструменты --> Настройки --> Дополнительно --> Содержимое --> Настроить JavaScript и замечаю странную папку пользовательских файлов JavaScript, находящуюся в директории C:\SysFiles\Opera. А в ней оказался feeder.js, который был до того обфусцирован, что проще было его пристрелить, чем разбираться в том, что же он делает. Удалил путь к папке из настроек, и наконец-то баннер пропал!
Все вокруг танцуют и поют патриотические песни, школьники в парадной форме рисуют на асфальте мелом красочные пейзажи, а маленькие дети на руках у своих мам протягивают ручонки к солнцу и радуются жизни. Вот таким бы был примерно счастливый конец этой истории, если бы хозяин случайно не вспомнил, что в FireFox-е у него тоже показывается БАННЕР, только другой. Кхм... Ну что ж, лезу в Лисью Нору. Редко пользуюсь этим браузером, поэтому точно не знаю, где у него чего настраивается. Открываю Гугл, вбиваю в поиск "Баннер в браузере" и мне тут же подробно в картинках рассказывают, как удалять эти самые пошлости. Эх, жалко, что монитор у дяди был не очень большого размера, и этот чертов баннер в Опере закрывал мне строку поиска на сайте Гугла, я б тогда не потратил час на поиски вируса-который-на-самом-деле-не-вирус. Зато теперь меня ткнули носом, где искать хозяина баннера в Файрфоксе. Лезу в Инструменты --> Дополнения и начинаю изучать Расширения, которых там было установлено штук десять. Под подозрение сразу попал какой-то Informer 1.0, которого во-первых, было сразу две штуки, а во вторых он практически единственный не сообщал о наличии обновления. Отключаю оба Информера, баннер пропадает. Фууух!...
За полтора часа работы компьютер был полностью очищен от нечисти, и обезврежены баннеры в обоих браузерах. Все вокруг танцуют и поют патриотические песни...
| < Предыдущая |
|---|