Убиваем переход на webpoiskovik.net



Любой спец по информационной защите стопроцентно скажет, что самого надежного антивируса нет.  Лучше использовать файрволы и искать малварь вручную. Однако это не посилу даже большинству продвинутых пользователей.

Когда в 2008 году мой двоюродный брат занес на мой компьюте флэшкой интересного червя. Стоявший Касперский 7 благополучно его пропустил. Я видел следы червя, да он особо и не прятал свое присутствие – моментально отключил regedit, отключил возможность просмотра скрытых фалов и т.д.  Сносить систему не было смысла, так как там была куча сред программирования. Интернет выдал мне решение в виде Dr.Web CureIt. Однако тогда он мне не сильно помог и пришлось убивать зловреда вручную. Так что с вирусами я приучен бороться сам.

Этот опыт помог мне и сейчас.  Я регистрировал свой сайт на одном из каталогов, после чего выключил компьютер. Nod 32 абсолютно спокойно реагировал на тот сайт, что расслабило и мою бдительность. Как оказалось, напрасно.

Включив компьютер и запустив любимую Мозиллу, увидел, что все мои закладки исчезли, а на стартовой странице отображается сайт webpoiskovik.net. Приняв все за глюк браузера, я выключил его и запустил по новой. Результат был тот же самый.  Тогда я запустил Оперу и увидел этот изрядно надоевший сайт. Експлорер, аська – все выдавало одно и то же. На лицо было заражение рекламной программой.

Сканирование компьютера Нодом ничего не дало. Не помог и Cure IT. Промолчал AVZ. В пору было начинать нервничать. Тем более, что я сидел на XP ( просто я еще перепрограммирую чипы на принтерах, поэтому без хрюши никак). К 7-рке UAC такое бы не дал сделать. В этом плане семерка надежнее. Хотя и в  XP можно было сделать ограниченную учетную запись для интернета и ею пользоваться. Но уже назад все не вернешь. Нужно было бороться с вирусом.

Панель задач вирус не отключил. Но и там ничего постороннего не отображалось. Пришлось использовать утилиту от Марка Руссиновича Procexp.  Данная тулза умеет находить все запущенные процессы в системе. Наряду с Procmon она должна быть в арсенале любого уважающего себя компьютерщика .

Убираем переход на  webpoiskovik.net

Procexp.exe

Эта утилита сразу же нашла непонятный екзешник. Лежал он в излюбленном для вирусов месте в папке Documents and Setting/user/LocalSettings/Temp. У вируса хватило наглости сделать под себя отдельную папку. Естественно, нужно было удалять. Самое интересное, что вирус был качественным –он использовал нулевое кольцо, что помогла ему укрываться от антивирусов и работать в защищенном режиме (иными словами, если он работал, его невозможно было выключить).

Проверив автозагрузку утилитой Autoruns от того же Руссиновича и убедившись, что ничего в автозагрузке нет (гаденыщ прописал себя в бутовом ini файле), я приступил к удалению.  Эту всю папку можно было удалить либо в Досе, либо в другой системе. Я использовал свой любимый лайв дистрибутив Linux Slax, через который удалил все проблемные файлы.

Запуск Windows и Procexp показывают, что виря больше нет. Но вот Mozilla считает иначе. Хорошо, хоть аська отучилась от этого.

Что делать в этом случае? Берем нажимаем Win+F и вызываем поиск файлов.  Вирус заразил сегодня, а значит, что и напакостил сегодня. Это упрощает задачу по его поиску. Устанавливаем в поиске параметры поиска фалов и папок на текущей дате и ждем результат. А вот он неприятно удивил.

Наряду с несколькими файлами мой наметанный глаз заметил и файлы с .js расширением. В принципе, я и ожидал увидеть яваскрипт или vbs скрипт. Первй смутил меня файл user.js.

Открыв его блокнотом, я увидел следующее:

user_pref(«browser.startup.homepage», «http://webpoiskovik.net»);

user_pref(«browser.startup.page», 1);

Этот скрипт вносил этот сайт во внутренний регистратор браузера. Стираем эти строчки и сохраняем скрипт.

Следующий файл носил название sessionstore.js. Также открываем его блокнотом и стираем надоедливый сайт. Перед сохранением откроем Мозиллу и установим страницу по умолчанию на тот же Яндекс. Теперь сохраняем наш скрипт и закрываем его и браузер.

Запускаем все браузеры и убеждаемся, что надоедливый сайт отстал от нас.

Если вы не используете 7 или Vista, то в XP под интернет сделайте себе ограниченную учетную запись. Работая  в ней вредоносная программа уже не запустится.  Кроме этого, не стоит полагаться на антивирус. В довесок к нему установите еще и брэндмауер.

Все это позволит вам максимально защитить свой компьютер от всевозможных вирусов.

Скачать procexp и Auroruns можете здесь (один архив).

Вячеслав «VeGA» Головлев

Рубрика: Хакинг

Комментарии

4 коммент. на “Убиваем переход на webpoiskovik.net”
  1. Руслан:

    Автор, респект тебе! Очень помог!

  2. Андрей:

    Оказывается, что вирус можно удалить вручную. Автор — ты молодец. Жаль только, что я много чего не понял в статье :)

  3. Юлия:

    Андрей, ты лол. Реально. Не знать что можно удалять вручную, это как минимум глупо… И тут в статье просто и понятно. Для меня тут «не понять» это просто нереально. Не поймет разве что деревенский человек не знающий ничего в компах и вообще что такое программирование…

  4. admin:

    Уважаемые читатели, на одном из форумов давали ссылку на эту статью. Хочу обратить Ваше внимание на то, что на этом скриншоте нет вредоносного бинарника, а файл wmiprvse.exe, который приводят в цитату в качестве зловреда является очень важным для работы XP. Я писал статью уже после того, как вылечил свой компьютер, поэтому скриншот просто демонстрирует возможности программы.
    Зловреда в ProcExp вы можете обнаружить и сами — у него будет причудливое название (всякие цифры и непонятный набор символов). В этой утилите смотрите путь к зловреду и удаляете его (вам проще указать его опасным для антивируса, он удалит бинарник не хуже Slaxa).
    Кроме того, не нужно искать js скрипты в папке Local/Temp.
    Я же писал, что просто нужно посмотреть файлы в поиске Windows, установив датой поиска день заражения. В качестве фильтра просто поставьте *.js -поиск выдаст вам только скрипты.
    Надеюсь, что немного прояснил ситуацию

Добавить комментарий

Внимание! Не будут добавляться комментарии в виде откровенного спама или прямого анкора на свои сайты. Все спамеры будут передаваться в базу Akismet

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: