Это конечно не вирус, а всего лишь капелька воды, но разговор у нас пойдет не о воде.
Начну с того, что я уже описывал способы борьбы с вирусом, требующим активации windows, а также вторую часть борьбы с вирусом, просящим отправить смс.
Способы в обоих случаях были примерно одинаковы, но требовали загрузки в безопасный режим. Сегодня я хотел бы рассказать о более продвинутом, хорошо продуманным вирусом-рекламой.
Я специально выделил слово «Реклама», так как по сути данный тип назойливых программ не являются вирусами. Для этого дам небольшое определение вируса, оно хоть и не по учебнику, но отлично объясняет суть:
Вирус — программа преследующая собой цели получения данных о пользователе (трояны), размножение и внедрение своего кода в другие программы и контроль над персональным компьютером и т.п. (черви и прочая ерунда).
В данном конкретном случае мы имеем дело с программным вариантом рекламного спама на площадке клиента (определение моё кому не нравится можете оспаривать в комментариях), именно поэтому антивирусное обеспечение в очень редких случаях реагируют на них и правильно действуют в таких случаях.
С теорией пока хватит, теперь я расскажу об одном из тяжелых случаев заражения таким рекламным вирусом. Скорее всего написаны нашими, так как очень и очень продуман, расскажу симптомы:
- запуск любого приложения моментально вызывает экранную заставку с тремя рекламными картинками (это или 3 прон картинки или реклама маек и т.п.)
- безопасный режим или не запускается или работает в таком же режиме как обычный
- редактор реестра не запускается ни в каком из вариантов
- диспетчер задач не запускается также и комбинации Alt+F4, CTRL+ALT+DELETE, CTRL + ESCAPE и т.п. также эффекта не дают.
- Вставка флешки с любым из установочных файлов любых антивирусов привод к стиранию инсталлятора последнего.
Вобщем не работает ни одна из тактик по обезвреживанию. Установить ничего нельзя, так как запуск установки вызывает полное зависание компьютера и моментальное появление рекламной заставки. Вот её скриншот:
Вот так выглядит это дело, это не скриншот, а фотография, так что немного искажена. Как видите тут у нас «Рекламная панель устанавливается только при посещении сайта …».
Каждый запуск сайт меняется, так что отследить откуда это счастье Вам не удастся.
Сначала, в который раз повторюсь о том, чего делать не нужно:
- не отправляйте СМС!!! Оно скорее всего Вам не поможет и стоить будет скорее всего больше чем запрашиваемая сумма
- не пробуйте удалять папку Windows
- обратитесь к профессионалу, если сами не можете справится, так как неправильное поведение может вызвать негативные последствия — например я слышал такой случай, что программа отформатировала винчестер низкоуровневым форматированием (не было записи даже про модель потом)
Теперь о том, что делать?
Подведу итог о состоянии ПК:
- безопасный режим не загружается
- редактор реестра, диспетчер задач и пункт выполнить не работают
- запуск любых установочных файлов приводит к зависанию ПК
- проверка на вирусы не возможна, установленный антивирус не реагирует
В общем перепробовал оба варианта описанный мной раннее я пришел к мысли, что без LiveCD тут никак не обойтись.
Я постарался подобрать более менее толковый лайвсиди, чтобы не нужно было копаться в командной строке, но при этом все инструменты были в наличии.
Выбор пал на Lex Live CD 2009, хорошая сборка и все, что нужно для поднятия и проверки системы. Lex можно достать на торрентах и некоторых форумах, а если не найдёте — могу выложить на deposit.
На диске есть своё антивирусное обеспечение, но как и ожидалось проверки ничего не дали. Пришлось искать это дело вручную — для этого проверяем автозагрузку с помощью Autoruns , но и тут ничего не нашлось.
Я уж было стал подумывать о сносе windows, но решил проверить ещё кое что.
Так как у меня работал безопасный режим, но в нем вирус все равно работал также как и в обычном режиме я решил проверить общий ключ автозагрузки .
Подробнее, с помощью Лекс Сиди загружаемся и запускам редактор реестра, который идет на диске. Редактор реестра предложит Вам выбрать пользователя, выбирайте свой. Скриншоты у меня не сохранились, так как ноутбук не мой, но там ничего сложного.
Дальше проверяем вот эти ключи реестра:
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Там тоже ничего лишнего, но я не зря сказал Вам о том, что безопасный режим у меня работал — следовательно, загружались настройки по умолчанию , а они находятся тут:
Именно в ключе HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, я нашел наше «чудовище» по имени indicdll с параметрами запуска shellexecute.exe/h — indicdll.cmd. Именно он и был нашим пришельцем. Вы можете также проверить остальные ключи вида «S-1-….» кроме .Default
Вобщем подведу саммари:
- Если ничего не помогает и безопасный режим не работает, Вам необходим хороший LiveCD
- LiveCD должен обладать редактором реестра
- Проверяйте все ключи автозагрузки — не только HKCU и HKLM, но и HKU
- Меньше кликайте на всплывающих окнах и Никогда не отправляйте смски.
22 комментария
Санёк says:
Янв 18, 2010
Я знаю еще пару способов и могу ими поделится!!!
Protera says:
Янв 18, 2010
Не вопрос с радостью их опубликую от твоего имени. Или пиши в комментах
Protera says:
Янв 25, 2010
Поделись, комменты принимают мноооооого символов
вадим says:
Янв 24, 2010
2 часа назад побывала, ну так как не впервой сразу перезапустил комп зажал f8 при загрузке «последняя удачная загрузка системы»
когда загрузился во всех папках temp поочищал.
И последний момент, антивирусом прогнал ны высоком уровне «резиденской защите».
после этого начал включаться диспетчер задач и появилась связь с
интернетом.ююю
УДАЧИ!!!! пишити!
Protera says:
Янв 25, 2010
Все получится, если немного помучиться
ale3x says:
Июн 17, 2010
люди нужна ваша помощь такая же штука вылезла на рабочем столе!тоже зашел через liveCD и там реестр только там почему то не могу найти!((((
Voff says:
Июн 17, 2010
в смысле нет таких ключей?
Влад says:
Июл 3, 2010
Если не открывается диспетчер задач, то : C:\WINDOWS\system32\ дальше ищем файл «taskkill.exe» и удаляем его. Иначнёт открываться диспетчер задач. Мне помогло. За негативные последствия этих действий не отвечаю!!! У меня их не было. Иногда этот способ не действует!
Voff says:
Июл 3, 2010
Спасибо за вариант, я не пробовал подтвердить или опровергнуть не смогу — используйте на свой риск. Если чего пишите, Влад ещё раз спс!
Shelby says:
Авг 11, 2010
нежна помощь…..При входе в систему высвечивается банер на весь экран с предложением полусить код разблокировки в обмен на переведенные средства на счет вконтакте,естественно никакие горячие клавиши не откликаются и никаких элементов рабочего стола нет…при попытке загрузиться в Безопасном режиме вылетает синий «экран смерти»…… через Live CD в реестре нашел ключ indicdll.cmd с параметром shellexecute.exe/h run–indicdll.cmd по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run в остальных местах автозагрузки пусто, так же пусто по адресу HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и в остальных местах хранения настроек по умолчанию (соответственно ключей для загрузки по умолчанию там тоже нет)…….я прописал в реестре принудительную загрузку explorer’a при входе в систему и удалил из реестра indicdll, это привело к тому что вместо банера начал отображаться фоновый рисунок моего раб.стола, однако элементы раб стола так и не появились, на вызов диспетчера задач система отвечает что диспетчер задач заблокирован админом…вернувшись в Live CD я обнаружил что все ключи размещенные мной удалены а indicdll на том же месте, поискал в реестре «indicdll» (вдруг еще где-то сидит)-ничего удалил «taskkill.exe» дописал в HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ключ загрузки по умолчанию-никаких изменений безопасный режим так и не запускается диспетчкр задач тоже,однако и банер больше не высвечивается…..(Под Live CD прогонял антивирусами всяческими-они что то находят удоляют но без результата) как мне найти само тело вируса?откуда он вызывается? и вообще какие еще варианты?
Voff says:
Авг 11, 2010
Проверь скрытые системные папки типа Recycle bin а также папки вида S-куча цифр очень часто прячутся там и попробуй прогнать последним AVZ. Также аккуратно проверь boot.ini — но может быть придется сносить систему. По сносу системы ставь Avira с фаерволом + AdBlocker — у меня ни разу этой фигни не было на компе при такой обороне
TAPAH55 says:
Сен 3, 2010
Подробная инструкция как избавится от баннера, который полностью блокирует компьютер, или пример лечения компьютера с помощью Alkid Live CD&USB.
http://indor.g-service.ru/index.php?option=com_content&view=article&id=81:beeline&catid=47:2010-06-29-03-02-02&Itemid=73
from Voffa> Способ не пробовал, так что используйте на свой страх и риск)
Demon says:
Фев 9, 2011
Дрянь конечно редкосная встретил её впервые имеено indicdll.cmd shellexecute.exe/h run–indicdll.cmd в параметре реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run но выкорчевать её никак не могу… реально мозг уже набекрень проверил все ветки как тут рекомендуется HKCU, HKLM, HKU там ничего такого нет пробовал и поиском по всему реестру. Зачистил все места где эти сволочи обычно живут корзины, временные папки TEMP и temporary internet files грохнул всё в System Volume Information кароче перешеррстил всё на что фантазии хватило и нифига… грохаю в реестре эту дрянь перезагружаю комп снова банер, снова загружаю live CD иду в ветку KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и он снова там… т.е. при загрузке винды какая-то сволочь его снова туда записывает… tasks тоже зачистил не помогает так, что его не предлагать… Больше всего выносит абсолютное непонимание того как и что запускается в системе нет файлов indicdll, indic.dll, shellexecute.exe, run–indicdll.cmd хотя по идее как минимум run–indicdll.cmd должен был бы быть. В итоге снёс винду т.к. комп клиенту срочно нужен к сожалению так и не получилось его добить, от этого чувствую себя поршыво т.к. до этого момента ещё не попадалось банера который бы не смог снести. Надеюсь у кого нибудь будет такая же ситуация и Вы поделетесь опытом как его снести… Больше всего то всё таки выносит что shellexecute.exe должен быть здесь по идее C:\Windows\system32\shellexecute.exe, но его там нет! скрытые файлы тоже смотрел… При этом он всё таки запускается иначе винда бы сообщала об ошибке во время загрузки…