Убиваем переход на webpoiskovik.net



Любой спец по информационной защите стопроцентно скажет, что самого надежного антивируса нет.  Лучше использовать файрволы и искать малварь вручную. Однако это не посилу даже большинству продвинутых пользователей.

Когда в 2008 году мой двоюродный брат занес на мой компьюте флэшкой интересного червя. Стоявший Касперский 7 благополучно его пропустил. Я видел следы червя, да он особо и не прятал свое присутствие – моментально отключил regedit, отключил возможность просмотра скрытых фалов и т.д.  Сносить систему не было смысла, так как там была куча сред программирования. Интернет выдал мне решение в виде Dr.Web CureIt. Однако тогда он мне не сильно помог и пришлось убивать зловреда вручную. Так что с вирусами я приучен бороться сам.

Этот опыт помог мне и сейчас.  Я регистрировал свой сайт на одном из каталогов, после чего выключил компьютер. Nod 32 абсолютно спокойно реагировал на тот сайт, что расслабило и мою бдительность. Как оказалось, напрасно.

Включив компьютер и запустив любимую Мозиллу, увидел, что все мои закладки исчезли, а на стартовой странице отображается сайт webpoiskovik.net. Приняв все за глюк браузера, я выключил его и запустил по новой. Результат был тот же самый.  Тогда я запустил Оперу и увидел этот изрядно надоевший сайт. Експлорер, аська – все выдавало одно и то же. На лицо было заражение рекламной программой.

Сканирование компьютера Нодом ничего не дало. Не помог и Cure IT. Промолчал AVZ. В пору было начинать нервничать. Тем более, что я сидел на XP ( просто я еще перепрограммирую чипы на принтерах, поэтому без хрюши никак). К 7-рке UAC такое бы не дал сделать. В этом плане семерка надежнее. Хотя и в  XP можно было сделать ограниченную учетную запись для интернета и ею пользоваться. Но уже назад все не вернешь. Нужно было бороться с вирусом.

Панель задач вирус не отключил. Но и там ничего постороннего не отображалось. Пришлось использовать утилиту от Марка Руссиновича Procexp.  Данная тулза умеет находить все запущенные процессы в системе. Наряду с Procmon она должна быть в арсенале любого уважающего себя компьютерщика .

Убираем переход на  webpoiskovik.net

Procexp.exe

Эта утилита сразу же нашла непонятный екзешник. Лежал он в излюбленном для вирусов месте в папке Documents and Setting/user/LocalSettings/Temp. У вируса хватило наглости сделать под себя отдельную папку. Естественно, нужно было удалять. Самое интересное, что вирус был качественным –он использовал нулевое кольцо, что помогла ему укрываться от антивирусов и работать в защищенном режиме (иными словами, если он работал, его невозможно было выключить).

Проверив автозагрузку утилитой Autoruns от того же Руссиновича и убедившись, что ничего в автозагрузке нет (гаденыщ прописал себя в бутовом ini файле), я приступил к удалению.  Эту всю папку можно было удалить либо в Досе, либо в другой системе. Я использовал свой любимый лайв дистрибутив Linux Slax, через который удалил все проблемные файлы.

Запуск Windows и Procexp показывают, что виря больше нет. Но вот Mozilla считает иначе. Хорошо, хоть аська отучилась от этого.

Что делать в этом случае? Берем нажимаем Win+F и вызываем поиск файлов.  Вирус заразил сегодня, а значит, что и напакостил сегодня. Это упрощает задачу по его поиску. Устанавливаем в поиске параметры поиска фалов и папок на текущей дате и ждем результат. А вот он неприятно удивил.

Наряду с несколькими файлами мой наметанный глаз заметил и файлы с .js расширением. В принципе, я и ожидал увидеть яваскрипт или vbs скрипт. Первй смутил меня файл user.js.

Открыв его блокнотом, я увидел следующее:

user_pref(«browser.startup.homepage», «http://webpoiskovik.net»);

user_pref(«browser.startup.page», 1);

Этот скрипт вносил этот сайт во внутренний регистратор браузера. Стираем эти строчки и сохраняем скрипт.

Следующий файл носил название sessionstore.js. Также открываем его блокнотом и стираем надоедливый сайт. Перед сохранением откроем Мозиллу и установим страницу по умолчанию на тот же Яндекс. Теперь сохраняем наш скрипт и закрываем его и браузер.

Запускаем все браузеры и убеждаемся, что надоедливый сайт отстал от нас.

Если вы не используете 7 или Vista, то в XP под интернет сделайте себе ограниченную учетную запись. Работая  в ней вредоносная программа уже не запустится.  Кроме этого, не стоит полагаться на антивирус. В довесок к нему установите еще и брэндмауер.

Все это позволит вам максимально защитить свой компьютер от всевозможных вирусов.

Скачать procexp и Auroruns можете здесь (один архив).

Вячеслав «VeGA» Головлев

Яндекс.Метрика