Pojawił się nagle podczas przeglądania netu, wyłączył się Firefox i przestał działać Windows Explorer, po czym komputer zawiesił się wyświetlając “policyjny” ekran. Natychmiast odłączyłem go od netu i uruchomiłem w awaryjnym z wiersza poleceń.
Microsoft Security Essentials po wielogodzinnym pełnym skanie znalazł i usunął:
Exploit: Java/CVE-2013-2423
Exploit: Java/CVE-2013-0431
Adware: Win32/OpenCandy - plik 18GB (!), który usunąłem ręcznie.
Pozostały jednak wpisy w rejestrze uruchamiające rootkit, ComboFix ściągnięty z innego komputera poradził sobie.
Odinstalował mi jednak także edytor www Pajączek, program był dość stary i często się wieszał.
Odinstalował się też E-mule, którego nie używałem już kilka lat.
Te dwa programy (i tylko te) znajdowały się w utworzonym przeze mnie podfolderze C:\Program Files\www\
Czy folder był zainfekowany Czy może nie powinien nazywać się “www”?
Teraz przechodzę do sedna. Znalazłem informację, że Ukash i podobne rootkit rozprzestrzeniają się przez otwarzacze Flash.
Czy istnieje jakieś oprogramowanie, które sprawdza player Flash (na stronie w sieci) i plik przed jego uruchomieniem?
Czy pobrane z sieci i zapisane na dysku pliki w formacie .flv i .swf mogą być zainfekowane lub po włączeniu ściągnąć jakiegoś virusa?
ComboFix używałem nie po raz pierwszy, przed tą decyzją przeczytałem z różnych stron w sieci, m.in. tego forum, że są tylko dwie możliwości usunięcia wpisów w rejestrze, które zmodyfikowały boot systemu.
Albo saperska robota z kluczami winlogon, zapisywanie kopii każdej modyfikacji rejestru i sprawdzanie czy ruszy, albo ComboFix. To drugie wydało się bezpieczniejsze.
Jeśli chodzi o log utworzony przez ComboFix, jest tutaj.
Znów zaatakował, tak samo jak tydzień temu, w piątek wieczorem. Czytałem forum, na nim była reklama we Flash. Firefox zamknął się.
MS Security Essentials wyświetlił informację o wykryciu podejrzanego pliku ‘dlugiciagznakow.exe’ w Users\User\AppData\
Pojawiło się okno: Wybierz urządzenie przechwytywania video - i zawiesił się. Ekranu “policja” nie zdążył wyświetlić, odłączyłem net gdy tylko mignęła przeglądarka.
Tym razem antyvirus znalazł i usunął: Trojan: Win32/Urausy.C w folderze
C:\Qoobox\Quarantine\C\Users\User\AppData\Roaming\Skype.dat.vir (wygląda to na pozostałość po poprzednim użyciu ComboFix).
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Teraz reszta.Odinstaluj pdfforge Toolbar v1.0,ESET Online Scanner v3,V9 Homepage Uninstaller.Użyj AdwCleaner http://general-changelog-team.fr/fr/dow … adwcleaner z funkcji Usuń(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).